Microsoft vydal do Preview větve Windows 11 25H2
Microsoft zahájil zavádění předběžné verze systému Windows 11, verze 25H2 do kanálu Release Preview Channel. Mezi nejvýznamnější změny patří odstranění starších komponent, včetně PowerShell 2.0 a příkazového řádku Windows Management Instrumentation (WMIC). Správci v podnikovém prostředí mohou nyní odebrat vybrané předinstalované aplikace z Microsoft Store prostřednictvím zásad skupiny, nebo MDM CSP na zařízeních Enterprise a EDU.
Zdroj: blogs.windows.com
Britská žádost o backdoor do iCloudu není uzavřena
Na začátku letošního roku vyšlo najevo, že Velká Británie chce po společnosti Apple vytvoření zadních vrátek pro přístup k datům uživatelů. Žádost byla doručena ve formě TCN, tedy žádosti, o jejíž existenci nesmí společnost informovat veřejnost ani své uživatele. Žádost vzbudila vlnu nevole zejména z obavy ohrožovat soukromí, ale také z důvodu, že se netýkala pouze britských uživatelů, ale uživatelů a dat z celého světa. Financial Times nyní informuje, že Velká Británie požadavek nejen nestáhla, ale požadavek se netýká pouze dat iCloud účtů chráněných pomocí ADP, ale týká se přístupů k datům uloženým v iCloudu obecně, tedy i záloh iMessage zpráv a hesel.
Zdroj: ft.com
Kritická zranitelnost v systému SAP – S/HANA
Kritická zranitelnost Command-injection (CVSS skóre 9.9) v ABAP módu umožňuje vložení libovolného ABAP kódu a obejití autorizací. Zranitelnost je aktivně využívána útočníky v reálném prostředí. Zasaženy byly všechny SAP S/HANA verze (On-Premise i private Cloud). Potenciál útoku umožňoval vytváření superuživatelů, modifikaci databází, procesů, stahování heslových hashů, podvržení backdoorů, nebo ransomware. Společnost SAP poskytla opravný patch 6 týdnů po nahlášení od SecurityBridge.
Zdroj: thehackernews.com
0-Click chyba v ChatGPT agentovi vystavila data Gmailu útočníkům
Výzkumníci objevili kritickou zranitelnost typu zero-click v agentu Deep Research aplikace ChatGPT, která útočníkům umožňuje tiše krást citlivá data z Gmailu bez jakékoli interakce uživatele. Útočník odešle zdánlivě nevinný e-mail obsahující skryté HTML pokyny pomocí technik, jako jsou malé písmo, bílý text na bílém pozadí a triky s rozvržením. Tyto neviditelné příkazy nařizují agentovi, aby vyhledal konkrétní citlivé informace v doručené poště oběti a odeslal je na server ovládaný útočníkem. Když uživatelé později požádají agenta Deep Research o analýzu svých e-mailů, ten nevědomky provede tyto škodlivé pokyny.
Zdroj: gbhackers.com
Únos npm balíčků
Útočníkům se podařilo získat přístup k účtu správce pomocí phishingu. Následně injektovali do npm balíčků škodlivé kódy (interceptor do index.js). Kód zachytával síťové požadavky a API volání týkající se transakcí s kryptoměnami a při detekci platby změnil adresu příjemce na útočníkovu. Jedná se o balíčky, které mají za týden až 2,6 miliard stažení. Úspěšný útok musel splnit specifické podmínky, kdy muselo jít o novou instalaci balíčků v časovém okně, kdy byl balíček kompromitován a musí být přítomny zranitelné balíčky jako přímé, nebo tranzitivní závislosti.
Zdroj: bleepingcomputer.com
