Noutățile Săptămânii din Securitate Cibernetică 05.03.2021
Instrumentul „Unc0ver” poate debloca aproape orice model de iPhone
„Unc0ver” este un instrument popular pentru jailbreaking, iar la data de 28 februarie 2021 a fost lansată cea mai nouă versiune a sa, unc0ver v6.0.0. Conform dezvoltatorului, actualizarea extinde compatibilitatea instrumentului la nivelul oricărui dispozitiv ce rulează versiunile de iOS dintre 11.0 și 14.3. Unc0ver exploatează CVE-2021-1782, o vulnerabilitate de nivel kernel ce permite aplicațiilor malițioase să-și escaladeze privilegiile.
Apple a remediat vulnerabilitatea, ca parte a actualizării 14.4 pentru iPadOS și iOS, din 26 ianuarie 2021. Reprezentanții companiei au admis că problema ar putea fi vizată activ de atacatori, dar nu au dezvăluit identitatea acestora sau nivelul de răspândire al atacului.
Sursa: https://thehackernews.com/2021/03/new-unc0ver-tool-can-jailbreak-all.html
Vulnerabilitate de tip zero-day în browser-ul Chrome
Versiunea actualizată Chrome 89.0.4389.72 a fost lansată marți pentru Windows, Mac și Linux, vine cu un total de 47 de remedieri de securitate, dintre care cea mai critică se referă la o “problemă a cilului de viață al obiectelor în audio”.
Vulnerabilitatea este urmărită ca CVE-2021-21166, iar alte detalii nu au fost publicate.
De asemenea, pe data de 4 februarie compania a emis o actualizare pentru o vulnerabilitate de tip “buffer overflow” (CVE-2021-21148) în motorul său de redare JavaScript V8.
Sursa: https://thehackernews.com/2021/03/new-chrome-0-day-bug-under-active.html
Google va utiliza “FLoC” pentru direcționarea anunțurilor publicitare
Semnalând o schimbare majoră a modelului său bazat pe publicitate, Google a declarat miercuri că nu va construi identificatori sau instrumente alternative pentru a urmări utilizatorii pe mai multe site-uri web, odată ce va începe eliminarea treptată a cookie-urilor de urmărire terță parte din browser-ul Chrome, până la începutul anului 2022.
Eliminarea cookie-urilor terțe se va face în favoarea unui nou cadru numit “Sandbox-ul de confidențialitate”, care își propune să protejeze anonimatul, oferind în același timp anunțuri direcționate. În cest sens, Google a propus o colecție în continuă evoluție de metode de direcționare și măsurare a anunțurilor, destinată înlocuirii cookie-urilor terțe, printre care FLoC (Federated Learning of Cohorts), pe care speră să îl elaboreze pentru difuzarea de reclame pe web.
Sursa: https://thehackernews.com/2021/03/google-will-use-floc-for-ad-targeting.html
Actualizări de securitate pentru vulnerabilități critice ale Microsoft Exchange Server
Microsoft a lansat în cursul zilei de ieri actualizări critice pentru versiunile de Exchange Server 2010-2019. Acest set de actualizări de securitate suplimentare sunt dedicate următoarelor versiuni de Exchange Server: 2013, 2016 și 2019.
Vulnerabilitățile afectează Microsoft Exchange Server, iar Exchange Online nu este afectat. Actualizările de securitate sunt disponibile și este recomandată aplicarea lor cât mai rapidă, pentru cei care nu au făcut asta deja.
