Üniversite güvenlik araştırmacılarından oluşan bir ekip, Apple Silicon işlemcili Mac modellerinde donanım düzeyinde bir açık buldu. Grup, kusurun bilgisayarın şifrelemesini atlayıp güvenlik anahtarlarına erişebileceğini ve Mac’in özel verilerinin bilgisayar korsanlarının eline geçebileceğini söylüyor. İstismarın Apple’ın Gatekeeper korumalarını aşmanızı, kötü amaçlı bir uygulama yüklemenizi ve ardından yazılımın 10 saate kadar (bir dizi diğer karmaşık durumla birlikte) […]

Devamı: Apple Silicon İşlemcilerde Donanım Seviyesinde Açık Keşfedildi
Kaynak Technopat

Google Tehdit Analiz Grubu (TAG), WinRAR dosya arşivleme ve veri sıkıştırma uygulamasında yeni bulunan bir güvenlik açığı hakkında ayrıntıları yayınladı. TAG’a göre çok sayıda hükümet destekli aktör, bu yılın başından bu yana bu güvenlik açığından aktif olarak yararlanıyor. WinRAR’ın otomatik güncelleme mekanizması olmamasından dolayı riski önlemek için uygulamayı manuel olarak 6.23 veya 6.24 sürümüne en […]

Devamı: WinRAR’da Güvenlik Açığı Keşfedildi
Kaynak Technopat

Intel’in sayısız işlemcisini etkileyen Downfall güvenlik açığı için nihayet yamalar yayınlanmaya başladı. Microsoft ise güvenlikten çok hıza ihtiyaç duyan kullanıcılara yönelik olarak Downfall hafifletmesini kapatmak için bir yöntem de sağladı. Downfall hafifletmesini devre dışı bırakmak için Komut İstemi’ni yönetici olarak çalıştırın ve aşağıdaki komutu tırnak işaretleri olmadan yazın: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD […]

Devamı: Microsoft, Downfall Yamalarını Devre Dışı Bırakacak Yöntemler Sundu
Kaynak Technopat

Bir hafta öncesinde AMD’nin Inception açığı ile ilgili haberler ortaya çıkmıştı. Bu kusurları hafifletmek için sunulan yamaların performans etkisine ilişkin ilk inceleme ise Linux yayını Phoronix tarafından yayınlandı. Phoronix, Linux çalıştıran AMD EPYC 7763 (Zen 3) tabanlı bir sistem kullanarak çok sayıda uygulamayı test etti, yama öncesi ve sonrasındaki sonuçları tablolaştırdı. İş yüküne bağlı olarak […]

Devamı: AMD’nin ‘Inception’ Yamaları %54’e Varan Performans Düşüşüne Neden Oluyor
Kaynak Technopat

Intel ve araştırmacı Daniel Moghimi, ‘Downfall’ adı verilen yeni bir güvenlik açığı keşfetti. Birazdan detaylarına değineceğimiz açık, 2015-2019 arasında piyasaya sürülen 6. Nesil Core Skylake’ten 11. Nesil Rocket Lake ve Tiger Lake serisine kadar tüm işlemcileri etkiliyor. Downfall, Intel işlemcileri olan bir bilgisayardaki kullanıcılardan veri ve diğer hassas bilgileri çalmak için Gather Data Sampling’i (Veri […]

Devamı: ‘Downfall’ Güvenlik Açığı Sayısız Intel CPU’yu Etkiliyor
Kaynak Technopat

Siber güvenlik firması Eclypsium, Gigabyte’ın ürün yazılımında 271 farklı anakartı riske atan bir arka kapı (backdoor) güvenlik açığı keşfetti. Bunlar arasında son birkaç yılın Intel ve AMD yonga setli modellerinden günümüzün Z790 ve X670’ine kadar olan modeller yer alıyor. Güvenlik açığı, şirketin anakart yazılımının her zaman güncel olmasını sağlamak için kullandığı küçük bir güncelleme programında […]

Devamı: Gigabyte, 270 Anakartı Etkileyen Güvenlik Açıkları İçin Güncelleme Yayınladı
Kaynak Technopat

Zyxel tarafından yayınlanan güvenlik bültenine göre, şirketin belli başlı güvenlik duvarı ve VPN ürünlerini etkileyen kritik güvenlik açıkları tespit edildi. Bu güvenlik açıkları önlem alınmadığı takdirde saldırganlar tarafından cihazların uzaktan ele geçirilmesine imkan tanıyor. CVE-2023-33009 ve CVE-2023-33010 kodlarıyla tanımlanan zafiyetler CVSS risk puanı olarak 10 üzerinden 9.8 olarak belirlendi. Güvenlik uzmanları tarafından aşağıdaki cihazlara ve […]

Devamı: Zyxel Firewall ve VPN Ürünlerinde Kritik Güvenlik Açıkları Tespit Edildi
Kaynak Technopat

SLP (Service Location Protocol) üzerinde çıkan bir güvenlik açığı, saldırganların 2200 kat daha güçlü DDoS saldırıları yapabilmesine imkan tanıyor. Güvenlik araştırmacıları Pedro Umbelino ve Marco Lux’un The Hacker News muhabirleriyle paylaştığı rapora göre açıktan yararlanan saldırganlar, gönderdiklerinin binlerce katı kadar büyük etkiler yaratabilecek. Haliyle potansiyel olarak şu ana kadar bilinen en büyük “amplification DDoS” tekniği […]

Devamı: Yeni SLP Zafiyeti 2.200 Kat Daha Güçlü DDoS Saldırıları Yapmaya İmkan Tanıyor
Kaynak Technopat

Birçok nesil Intel işlemciyi etkileyen yeni bir side-channel güvenlik zafiyeti keşfedildi. EFLAGS kaydı aracılığıyla hassas verilerin sızdırılmasını sağlayan güvenlik açığı; Tsinghua Üniversitesi, Maryland Üniversitesi ve Çin Eğitim Bakanlığı tarafından işletilen “BUPT Bilgisayar Laboratuvarları” bünyesindeki araştırmacılar tarafından tespit edildi. Şu ana kadar bilinen diğer side-channel saldırılarından farklı olarak önbellek mekanizmasını hedeflemek yerine “timing analysis” metodunu kullanan […]

Devamı: Intel İşlemcilerde Yeni Bir Side-Channel Güvenlik Açığı Keşfedildi
Kaynak Technopat

Son zamanlarda birden çok botnet ve kötü amaçlı yazılımın yayılmak için Realtek ila Cacti’deki zafiyetleri kullandığı tespit edildi. 2023 yılının Ocak ve Mart aylarında Realtek Jungle SDK üzerinde tespit edilen CVE-2021-35394 kodlu kritik seviyede uzaktan kod yürütme (RCE) güvenlik açığı ve Cacti hata yönetim aracında keşfedilen CVE-2022-46169 kodlu command injection zafiyetleri saldırganlar tarafından sıklıkla kullanılmaya […]

Devamı: Realtek ve Cacti Ürünlerindeki Zafiyetler Saldırganlar Tarafından Kullanılmaya Başlandı
Kaynak Technopat

Google ve Uluslararası Af Örgütü araştırmacıları tarafından sıfır-gün güvenlik açıklarıyla iOS ve Android kullanıcılarını hedef aldığı tespit edilen iki saldırı girişimi engellendi. Her iki girişim de devlet destekli siber casusluk girişimlerinin izlerini taşıyor ve Malezya, Kazakistan, İtalya ve Birleşik Arap Emirlikleri’ndeki kurbanlara çeşitli zararlar verdiği biliniyor. Bu saldırılarda devlet destekli hackerlar hem iOS hem de […]

Devamı: Sıfırıncı Gün Zafiyetlerinden Yararlanan Yeni Bir Mobil Casusluk Kampanyası Keşfedildi
Kaynak Technopat

Yaklaşık 12 milyon WordPress sitesinde kullanılan site oluşturma eklentisi Elementor Pro’da çıkan bir güvenlik açığı, bilinmeyen saldırganlar tarafından aktif olarak kullanılmaya başlandı. Broken Access Control olarak bilinen zafiyet, 3.1.1.6 ve öncesi eklenti sürümlerini etkiliyor. Geliştiriciler 22 Mart’ta yayınladıkları 3.11.7 sürümünde güvenlik açığını kapatmış olsalar da yamalanmamış birçok web sitesi olduğu söyleniyor. Oldukça riskli olarak kabul […]

Devamı: Elementor Pro’da Çıkan Güvenlik Açığı, 12 Milyon WordPress Sitesini Etkiliyor
Kaynak Technopat

Ocak ayında bir güvenlik araştırmacısı, yanlış yapılandırılmış bir Microsoft online servisini kullanarak Bing arama sonuçlarını tamamen değiştirebilecek, daha sonra “BingBang” olarak adlandırdıkları bir güvenlik açığı tespit etti. Ayrıca ilgili zafiyet kullanıcıların oturumlarına Office 365 hesaplarını çalmaya yarayan bazı XSS saldırıları da yapılabilmesine imkan tanıdı. Wiz Research tarafından yürütülen çalışmada, araştırmacılar Azure App Services ve Azure […]

Devamı: Güvenlik Araştırmacıları, Bing Arama Sonuçlarını Hacklemeyi Başardı
Kaynak Technopat

Siber güvenlik şirketi Quarkslab, TPM 2.0 kütüphanesinde iki yeni güvenlik açığı keşfetti. Her iki kusurun da geniş çaplı zararlara yol açabilecek potansiyeli olduğu belirtiliyor, bu nedenle uzmanlar endişeli. Bahsi geçen kusurlar CVE-2023-1017 ve CVE-2023-1018 CVE kod adıyla tanımlanıyor. Bunlardan ilki sınırlamaların dışındaki yazma işlemlerine izin verirken, ikincisi arabellek taşması güvenlik açığı olarak da bilinen sınırların dışında […]

Devamı: Milyarlarca Cihazı Etkileyebilecek TPM 2.0 Güvenlik Açıkları Keşfedildi
Kaynak Technopat