En popüler web barındırma ve alan adı kayıt sağlayacısı şirketlerden biri olan GoDaddy, bilinmeyen bir tehdit aktörü tarafından cPanel paylaşımlı barındırma ortamınının ihlal edildikten sonra kaynak kodlarındaki bazı kısımların çalındığını ve sunucularına zararlı yazılım yüklenildiğini duyurdu. Bu durumun belkide en kötü tarafı tehdit aktörlerinin yaklaşık 3 - 3.5 yıla yakın bir süre GoDaddy içerisinde cirit …
Meta, hata ödül avcılığı programı kapsamını genişlettiğini belirterek bu kapsamda saldırganların mobil uygulamalarında uzaktan kod yürütmesine izin veren güvenlik açıklarını bildiren güvenlik araştırmacılarına 300 bin dolara kadar teklif verecek şekilde güncellediğini duyurdu.
Yaklaşık 2 hafta önce Rapid7 güvenlik araştırmacıları, Zimpra'nın Collaboration Suite ürünü üzerinde uzaktan kod yürütülmesine olanak sağlayan CVE-2022-41352 referansına sahip sıfırıncı gün açığından tehdit aktörlerinin yararlanabileceği konusunda uyarmıştı.Daha sonrasında ise Rapid7 tarafından, CVE-2022-41352 ile ilgili PoC kodları ve diğer teknik ayrıntılarının yer aldığı bir dökümantasyonu AttackerKB üzerinde yayınlamıştı. Güvenlik zaafiyetinin, Zimbra'nın antivirus motoru Amavis'in gelen …
Fortinet, aralarında FortiOS, FortiProxy ve FortiSwitchManager ürünlerini etkileyen ve yakın bir zamanda açıklanan kritik güvenlik açığı için, kullanıcıların acilen güvenlik yamalarını yüklemesi için bir çağrıda bulundu. Şirket, geçen hafta yayınladığı bir bültenle CVE-2022-40684 referanslı güvenlik açığına ilişkin bir güvenlik güncellemesi yayınlamıştı. Bu işlemi hemen gerçekleştirmeyecek müşteriler için de saldırıya açık güvenlik cihazlarında yer alan uzaktan …
Apple, geçen hafta duyurduğu iPod, iPhone, iPad ve MacOS güvenlik güncelleştirmelerinin kullanıcılar tarafından acil bir şekilde yüklenmesi konusunda uyarıyor. Güvenlik güncelleştirmeleri, saldırganların izinsiz bir şekilde kod çalıştırmalarına ve sonrasında cihazları ele geçirmelerini sağlayan iki sıfırıncı gün açığını (0-day) düzeltmek için yayınlandı. Apple, geçen hafta Çarşamba günü MacOS'un en son sürümü Monterey 12.5.1 ve iOS işletim sistemine …
Google, güvenlik açığı ödül programının (VRP) 2021 yılı verilerine ilişkin yayınladığı bilgilerde, şirketin ürünlerine ilişkin bildirilen güvenlik açıklıkları kapsamında siber güvenlik araştırmacılarına toplamda 8.7 Milyon dolar ödül dağıttığını belirtti. Google, 2021 yılı boyunca 62 ülkeden 696 siber güvenlik araştırmacısına toplamda 8.7 Milyon dolar ödül dağıttı. Bu kapsamda Android işletim sistemlerinde bulunan güvenlik açıklıklarına 3 Milyon …
Alibaba Cloud Security ekibinde yer alan siber güvenlik araştırmacısı Chen Zhaojun tarafından, java tabanlı loglama kütüphanesi Log4j'de RCE içeren bir sıfırıncı gün güvenlik açığı keşfedildi. İlk olarak 24 Kasım'da keşfedilen bu güvenlik açığı daha sonrasında Apache yetkilileri ile paylaşıldı. MITRE güvenlik araştırmacıları tarafından Log4Shell veya LogJam olarak adlandırılan bu güvenlik açığına CVE-2021-44228 kodu atandı. Ek bir bilgi olarak …
Google tarafından yayınlanan Android güvenlik bültenine göre şirket mühendisleri, etki alanı sınırlı ve hedef odaklı düşündükleri yeni bir sıfırıncı gün güvenlik açığının (0-day) yamalandığını duyurdu. CVE-2021-1048 olarak izlenen güvenlik açığının Android'in çekirdek bileşenlerinden birinde bulunduğu, bir saldırganın ayrıcalıklarını yükseltmek için bu güvenlik açığını kullandığı belirtiliyor. Fakat Google tarafından tehdit aktörü ve etkilenen kurbanlar ile ilgili …
Çin'in Chengdu şehrinde bu yıl dördüncüsü düzenlenen uluslararası siber güvenlik yarışması Tianfu Cup 2021 gerçekleştirildi. Yarışma kapsamında Windows 10, iOS 15, Google Chrome, Apple Safari, Microsoft Exchange Server ve Ubuntu 20'de bulunan zafiyetler başarılı bir şekilde istismar edildi. 16-17 Ekim tarihlerinde Çin'in Chengdu şehrinde gerçekleştirilen iki günlük yarışma sonunda, güvenlik araştırmacılarına toplamda 1,88 Milyon Dolar …
Popüler ve en çok tercih edilen kod barındırma servisleri olan Azure, GitHub, GitLab ve BitBucket platformları, GitKraken adlı popüler bir Git GUI yazılım istemcisindeki bir güvenlik açığının keşfedilmesinden sonra SSH anahtarlarının toplu iptal işlemlerine başladı. AxaSoft tarafından yayınlanan blog gönderisinde, geliştiricilerin GitKraken uygulamalarını Azure DevOps, GitHub, GitLab, BitBucket veya diğer uzak Git kaynak kodu barındırma …
