Tech.cert-hungary.hu

A Ubiquiti UniFi OS Server három, már javított sérülékenységének láncolt kihasználásával hitelesítés nélkül, távoli kódfuttatás (RCE) érhető el rendszergazdai jogosultsággal az érintett rendszereken. A hibákat 2026 májusában javították, és a UniFi OS Server 5.0.6-os vagy korábbi verzióit érintik. A sérülékenységeket az alábbi azonosítók alatt tartják nyilván: Bár mindhárom sérülékenység kritikus besorolást kapott, a Ubiquiti biztonsági […]

A Meta tájékoztatása szerint mintegy 20 ezer Instagram-fiók eshetett áldozatul egy közelmúltbeli támadásnak, amely során a támadók egy mesterséges intelligenciával ellátott fiók-helyreállítási eszközt használtak ki.

A WhatsApp (a Meta tulajdonában lévő üzenetküldő szolgáltatás) újabb jogi lépéseket tesz az NSO Group nevű kémprogramfejlesztő vállalat ellen, mivel állítása szerint a cég megsértette a korábbi bírósági végzést, és ismét célzott támadásokat indított a WhatsApp felhasználói ellen. A WhatsApp szerint az NSO Group úgynevezett célzott adathalász (spearfishing) támadásokat hajtott végre, amelyek során a felhasználókat […]

A ShinyHunters zsaroló csoport nyilvánosságra hozott több mint 230 gigabájtnyi adatot, amelyet állításuk szerint a fogászati ellátási juttatásokat kezelő DentaQuest rendszereiből szerzett meg. A DentaQuest a Sun Life leányvállalata, és az Egyesült Államok egyik legnagyobb fogászati ellátási juttatásokat kezelő szervezete. Szolgáltatásai az ország mind az 50 államára kiterjednek, és mintegy 35 millió ügyfelet szolgálnak ki. […]

Egy a valódi Bitcoin-tárcaként ismert BlueWallet nevével visszaélő, hamis weboldal a Mac-felhasználókat veszi célba. Maga a BlueWallet nem kompromittálódott, a kiberbűnözők csupán a legitim szolgáltatás nevét és arculati elemeit használják fel arra, hogy a rosszindulatú letöltés megbízhatónak tűnjön. Amennyiben valaki kriptovaluta-tárcát keresve erre a hamis letöltési oldalra tévedt, a webhely arra próbálta rávenni, hogy egy […]

Egy új ellátásilánc-támadás során az npm-csomagindexben 36 csomagot fertőztek meg az IronWorm nevű információlopó kártevővel.

Ammar Askar biztonsági kutató nyilvánosságra hozott egy súlyos, nulladik napi (zero-day) sérülékenységet kihasználó proof-of-concept (PoC) exploitot a Visual Studio Code környezethez kapcsolódó github.dev szolgáltatásban. A kutató a hibát jelezte a GitHub-nak, majd mindössze egy órával később publikálta a részleteket és a működőképes exploitot, megkerülve a sérülékenységek felelős közzétételének folyamatát. A sérülékenység a github.dev webes fejlesztői […]

Két maximális súlyosságú, nulladik napi sérülékenységet azonosítottak az Acer Wave 7 mesh router sorozatában, amelyek a T7c_GBL_1.01.000055 és korábbi firmware-verziókat érintik. Mindkét CVE CVSS v4.0 szerinti pontszáma 10.0/10, és mindkettő távolról, hitelesítés nélkül kihasználható. Az első sérülékenység, a CVE-2026-49200, amelynek a lényege, hogy az eszköz webes felületén az acer_cgi.log naplófájl autentikáció nélkül olvasható. Ez a […]

A Red Hat 32, széles körben használt fertőzött szoftvercsomagot távolított el, miután egy kompromittált GitHub-fiókon keresztül a Mini Shai-Hulud féreg módosított változata fejlesztői hitelesítő adatok ellopására és további ellátásilánc-támadások terjesztésére szolgáló kártevőt juttatott a nyílt forráskódú ökoszisztémába.

Az Anthropic által fejlesztett Claude Code mesterséges intelligencia alapú kódolási asszisztens GitHub Actionsbe integrált munkafolyamata kritikus biztonsági sérülékenységet tartalmazott, amelyet RyotaK, a GMO Flatt Security kutatója fedezett fel. A sebezhetőség nem csupán egyetlen szervezet vagy projekt kompromittálását tette lehetővé, hanem egy klasszikus ellátási lánc támadás keretei közt minden olyan downstream repositoryt veszélyeztetett, amely az Anthropic […]

A Minecraft-játékosokat célzó WeedHack malware-as-a-service (MaaS) modellben működő információlopó kártevő január óta aktív, terjesztéséhez pedig a játékhoz köthető rosszindulatú klienseket, segédprogramokat és különböző csalási módszereket használnak az elkövetők. A McAfee kiberbiztonsági cég adatai szerint a WeedHack közel 116 464 játékost érintett, ami átlagosan napi 2000 – 3000 fertőzést jelent. A legtöbb áldozatát az Egyesült Államokból, […]

A Google kiadta a 2026. júniusi Android biztonsági javítócsomagot, amelyben 124 sebezhetőség, köztük egy aktívan kihasznált nulladik napi sérülékenység is javításra került. Az Android Framework CVE-2025-48595 számú sebezhetőség kihasználása kódfuttatást és jogosultságeszkalációt tesz lehetővé a támadók számára az Android 14-es vagy újabb verziójú eszközökön. A Google elmondása szerint a hiba már a 2025. márciusi Android […]

Az FBI figyelmeztetést adott ki a 2026-os labdarúgó-világbajnokság közeledtével megjelenő, a FIFA hivatalos weboldalát megszemélyesítő adathalász kampányokkal kapcsolatban. A támadók célja a személyes és a pénzügyi adatok megszerzése, valamint hamis jegyek és VIP csomagok értékesítésén keresztül további pénzügyi csalások elkövetése. Az FBI tájékoztatása szerint a hamis domainek a hivatalos fifa.com oldalt utánozzák, gyakran minimális eltérésekkel, […]

Kutatók nyilvánosságra hoztak egy több népszerű webszervert érintő HTTP/2-alapú támadási módszer részleteit, miután a sérülékenység javításai több szoftver esetében is elérhetővé váltak. A sérülékenység abból adódik, hogy számos szerver ugyan korlátozza a HTTP-fejlécek összesített méretét, de nem szab felső határt a fejlécmezők számára. A HTTP/2 sajátosságai miatt a cookie-k több kisebb részre – úgynevezett „cookie […]

A Signal hosszú ideje a biztonságos kommunikáció egyik etalonjának számít. Az alkalmazás végpontok közötti titkosítást használ, ezért sok újságíró, aktivista, vállalati vezető és biztonságtudatos felhasználó választja mindennapi kommunikációra. Azonban egy új adathalász kampány a felhasználókat veszi célba, hogy megszerezze a biztonsági mentések helyreállításához szükséges kulcsokat. A támadás SMS-ben érkezik, és a támadók a Signal ügyfélszolgálatának […]

Az elmúlt napokban több felhasználó is arról számolt be a Redditen és az X-en, hogy feltörték az Instagram fiókjukat. Az érintett fiókok között szerepel például az Obama adminisztráció ideje alatt használt Fehér Ház Instagram oldala, az Egyesült Államok Űrhadereje egyik magas rangú tisztjének, John Bentivegnának a fiókja, illetve Jane Wong biztonsági kutató is azt nyilatkozta, […]

A Claude Code, az Anthropic parancssoros fejlesztői asszisztense rövid idő alatt népszerűvé vált a programozók körében, és pontosan ez a népszerűség tette ideális célponttá egy kifinomult, fejlesztőkre specializált támadási hullám számára. A kutatók egy olyan kártékony kampányt tártak fel, amely a Claude Code népszerűségét használja ki fejlesztők kompromittálására. A kampány középpontjában nem egy technikai sérülékenység, […]

2026 áprilisa óta egy anonim biztonsági kutató, aki Chaotic Eclipse, illetve Nightmare Eclipse néven is publikál, hat Windows-sebezhetőséget hozott nyilvánosságra PoC-kóddal együtt. A YellowKey, GreenPlasma és a MiniPlasma névre keresztelt exploitokról korábban írtunk. A kutató azt állítja, hogy a Microsoft figyelmen kívül hagyta korábbi jelentéseit, indoklás nélkül zárt le bejelentéseket, nem fizetett bug bounty-díjazást, és […]

A Microsoft szerint egy incidens miatt nem tudtak fájlokat megnyitni a Teams és az Office Online felhasználói. Egyelőre nem tudni mely régiók érintettek az ügyben, illetve mikorra várható a hiba tényleges kiküszöbölése, de a Microsoft jelenleg is vizsgálja a problémát kiváltó lehetséges okokat. A cég elmondása szerint egyes felhasználók arról számoltak be, hogy a webes […]

Belgium Kiberbiztonsági Központja (CCB) szerint a kiberbűnözők aktívan kihasználnak egy nemrég javított Windows Netlogon sérülékenységet (CVE-2026-41089). A Netlogon egy RPC-alapú, alapvető Windows Server háttérszolgáltatás, amelynek feladata, hogy hitelesítse a szolgáltatásokat és a felhasználókat a Windows tartományalapú hálózatokon. A szóban forgó sérülékenység egy puffertúlcsordulási hiba, ami jogosultság nélküli távoli kódfuttatást tehet lehetővé a célzott tartományvezérlőkön. A […]