גוגל הכריזה ביום שני על עדכון אבטחה חדש לכרום המטפל בארבע פגיעויות חמורות הקשורות לבטיחות זיכרון, שדווחו על ידי חוקרים חיצוניים. הפגיעויות הללו, שסומנו כ-CVE-2024-6290 עד CVE-2024-6293, הן בעיות מסוג "use-after-free" המשפיעות על רכיבי Dawn ו-Swiftshader בדפדפן הפופולרי. שלוש מהפגיעויות, כולן המשפיעות על Dawn, דווחו על ידי חוקר אבטחה בשם 'wgslfuzz' בחודש האחרון, בעוד הרביעית דווחה על ידי קסידי קים בנובמבר 2023. גוגל העניקה פרס באונטי בסך $10,000 ל-wgslfuzz עבור CVE-2024-6290 ו-$4,000 לקים עבור CVE-2024-6291, אך טרם נקבעו הסכומים שישולמו עבור שתי הפגיעויות האחרות. הגרסה החדשה של כרום מופצת כעת למשתמשים בגרסה 126.0.6478.126 עבור לינוקס ובגרסאות 126.0.6478.126/127 עבור ווינדוס ו-macOS. גם כרום לאנדרואיד עודכן עם תיקונים לפגיעויות הללו והוא זמין כעת בגרסה 126.0.6478.122. בעיות מסוג "use-after-free" קשורות לשימוש לא נכון בזיכרון דינמי במהלך פעולת התוכנה ומתרחשות כאשר, לאחר שהקצאת הזיכרון מתבצעת, המצביע לאותו זיכרון אינו מנוקה. תוקף יכול לנצל את הטעות כדי לבצע קוד שרירותי, להשחית נתונים או לגרום לתנאי מניעת שירות. כאשר משולבים עם פגיעויות אחרות, בעיות "use-after-free" יכולות להוביל לפשרה מלאה של המערכת. בכרום, בעיות "use-after-free" יכולות להיות מנוצלות כדי לברוח מה-sandbox של הדפדפן, אם התוקף יכול לכוון פגיעות במערכת ההפעלה הבסיסית או בתהליך בעל הרשאות בכרום. במשך מספר שנים, גוגל נאבקת במספר הולך וגדל של פגיעויות זיכרון בכרום, כולל עם הגנות משופרות נגד ניצול בעיות "use-after-free" ובמעבר הדרגתי לשפת התכנות Rust, שהיא בטוחה לזיכרון. לקריאת המאמר המלא, לחצו כאן. https://lnkd.in/dA2nd_9Q #ChromeUpdate #SecurityPatch #CyberSecurity #MemorySafety #UseAfterFree #BrowserSecurity #GoogleChrome #TechNews #CyberThreats #SoftwareUpdate
Meni Tasa’s Post
More Relevant Posts
-
אני נתקל הרבה פעמים בשאלות על שיפור ביצועי רשת, במיוחד בנוגע למונחים כמו MTU ו-MSS. לכן, כתבתי מאמר שמסביר בצורה פשוטה וברורה מה זה MTU ו-MSS ואיך הם משפיעים על הרשת שלכם. במאמר אני מסביר את תהליך האנקפסולציה של נתונים ברשת, איך כל שכבה מוסיפה headers נוספים לנתונים, ומה ההשפעה של הוספת ה-headers על גודל החבילה הסופי. כמו כן, אני מסביר איך נקבע ה-MSS ואיך ניתן לראות את המשא ומתן על ה-MSS ב-Wireshark במהלך תהליך ה-TCP handshake. --------- I often encounter questions about improving network performance, especially regarding terms like MTU and MSS. That’s why I wrote an article that clearly explains what MTU and MSS are and how they impact your network. In the article, I explain the data encapsulation process in a network, how each layer adds additional headers to the data, and the impact of these headers on the final packet size. Additionally, I explain how MSS is determined and how you can observe MSS negotiation in Wireshark during the TCP handshake process. If you want to learn more about these concepts and how your network operates, feel free to read the full article here: #NetworkPerformance #Networking #MTU #MSS #TCP #Wireshark #DataEncapsulation #TechInsights #NetworkOptimization #TechBlog #Data #cybersecurity #networksecurity #ciso #security #secops #protocols
Understanding MTU and MSS
link.medium.com
-
I’m glad to share that I have successfully achieved the #Fortinet Certified Associate certification! But the journey doesn’t stop here! 🚀 Next is to achieve the Fortinet Certified Professional Security Operations certification. https://lnkd.in/dTNNUjHE #CyberSecurity #Fortinet #Certification #ProfessionalDevelopment #NetworkSecurity #NextChallenge #Secops
-
-
מה חדש ב-Microsoft Intune: יוני 2024 Microsoft Intune ממשיכה להתפתח ולהשתפר, והחודש הוכרזו מספר חידושים חשובים שיכולים לשדרג את האופן שבו אתם מנהלים את המכשירים בארגון שלכם. בין החידושים הבולטים ניתן למצוא הרחבת אפשרויות הניהול למכשירי אנדרואיד ו-iOS. עכשיו תוכלו לנהל ולהגדיר את הרשאות האפליקציות והמדיניות הארגונית בצורה מדויקת יותר, מה שמגביר את השליטה והבטיחות. כך תוכלו לקבוע האם אפליקציות מסוימות יוכלו לגשת למצלמה, למיקרופון או לאחסון המקומי של המכשיר, ולהבטיח שהמידע הארגוני נשאר מוגן ולא נחשף לאפליקציות בלתי מאושרות. בנוסף, נוספו כלים חדשים להגנה על נתוני החברה כדי להתמודד עם איומים מתפתחים. בין השיפורים תמצאו ניהול טוב יותר של תעודות אבטחה (certificates) ושיפור הממשק לניטור ותגובה לאירועי אבטחה. חוויית המשתמש גם היא עברה מספר שינויים חשובים. הממשק של Intune הפך ליותר ידידותי ונוח לשימוש, עם תפריטים אינטואיטיביים יותר והוספת הדרכות אינטראקטיביות למשתמשים חדשים. התוסף החדש לניהול תצורה אוטומטי (Auto Configuration) הוא חידוש נוסף שמקל עליכם להגדיר מכשירים חדשים בצורה מהירה וקלה יותר. במקום להגדיר כל מכשיר בנפרד, תוכלו ליצור פרופיל הגדרות ולהחיל אותו באופן אוטומטי על מכשירים חדשים. זה מאפשר לארגון שמכניס מכשירים חדשים לעובדיו להגדיר מראש את כל ההגדרות הנדרשות, כך שהמכשירים יהיו מוכנים לשימוש מיד עם קבלתם. לסיכום, Microsoft Intune ממשיכה להתקדם ולספק כלים משופרים לניהול ואבטחת מכשירים בארגונים. עם שיפורים ביכולות הניהול, האבטחה וחוויית קראו עוד על החידושים ב-Microsoft Intune בקישור הבא: [מה חדש ב-Microsoft Intune: יוני 2024] https://lnkd.in/dfPR5ZfD #MicrosoftIntune #אבטחתמידע #ניהולIT #אבטחהארגונית #מערכותמידע #ניהולמכשירים #אבטחתסייבר #חווייתמשתמש #פרודוקטיביות #תעודותאבטחה #ניהולתצור #AutoConfiguration #microsoft #intune #informationtechnology #infosec
What's new in Microsoft Intune June 2024
techcommunity.microsoft.com
-
שמח לעדכן אתכם על שיפור חוויית הסנכרון בין Google Calendar ולוחות שנה צד שלישי כמו Outlook! במסגרת השדרוג הזה, הסנכרון בין Google Calendar ללוחות שנה אחרים יהיה הרבה יותר מדויק. בנוסף, יצליח להקטין את כמות הודעות הדוא"ל המיותרות שנוצרות בתהליך הסנכרון. מעכשיו, ההודעות שנשלחות לצורך סנכרון יהיו מסומנות בצורה ברורה בגוף המייל ויגיעו מכתובת דוא"ל נפרדת וניתנת לזיהוי. ההודעות כוללות גם הנחיות כיצד לסנן אותן בתיבת הדואר כדי להימנע מעומס מיותר. מנהלי מערכת ב-Outlook יכולים להשתמש ב-Powershell כדי להגדיר חוק סינון עבור כל המשתמשים שלהם. לקוחות Google Workspace יכולים להירשם לבטא החדשה ולהתחיל להנות מהשיפורים כבר עכשיו. למה זה חשוב? גוגל קיבלה פידבקים רבים ממשתמשים שהסנכרון בין Google Calendar ללוחות שנה אחרים לא היה אמין, ושקיבלו כמות גדולה של הודעות דוא"ל מעצבנות. השדרוג הזה נועד לשפר את חוויית השימוש ולייעל את שיתוף הפעולה בין משתמשי לוחות השנה. איך מתחילים? מנהלים: הירשמו לבטא וקבלו פרטים נוספים במרכז העזרה. משתמשים: בקרו במרכז העזרה לניהול הזמנות מ-Google Calendar בלוחות שנה אחרים. הרשמה לבטא פתוחה עד ה-10 ביולי 2024 לכל לקוחות Google Workspace. https://lnkd.in/dfZ8C7Ww #GoogleCalendar #Outlook #Syncing #Productivity #GoogleWorkspace #EmailManagement #ITAdmin #BetaTest #TechUpdate #EmailFilter #UserExperience
Improved syncing experience between Google Calendar and third-party calendars
workspaceupdates.googleblog.com
-
Important update from #AWS: Starting in July #2024, AWS will require #MFA for privileged(root) #accounts to strengthen security and protect against credential-based attacks. MFA adds an extra layer of security by requiring a second form of authentication in addition to a username and #password. This can be a hardware token, a software token, or biometrics like a fingerprint. AWS now supports #FIDO2 #passkeys, a new and more convenient form of MFA that uses biometrics or device PINs for added #security. Passkeys can be used on devices such as #iPhones and #laptops. https://lnkd.in/dnsDM-te #AWSSecurity #MFA #PasskeyMFA #CloudSecurity #Cybersecurity #AccountSecurity #AWSUpdate #RootUserSecurity #IAMSecurity #ProtectYourData
AWS adds passkey multi-factor authentication (MFA) for root and IAM users | Amazon Web Services
aws.amazon.com
-
🔒 פוסט חדש ! 🔒 אני מאמין שיש הרבה מה ללמוד מאתגרים כמו CTF! בפוסט הזה אני משתף כיצד ניצלתי חולשות והצלחתי להשיג הרשאות אדמין. אם אתם עובדים בתחום אבטחת המידע או מתעניינים בו, המאמר הזה שווה קריאה. #אבטחתמידע #סייבר #CTF #אבטחתאתרים #פנטסטינג #מנהליאבטחתמידע #מערכותCMS #אתגרCTF #חולשותאבטחה
אתגר CTF: ניצול חולשות והשגת הרשאות Root במערכת CMS
Meni Tasa on LinkedIn
-
Just finished the course “Understanding Zero Trust” by Malcolm Shore! Check it out: https://lnkd.in/dUYDnzyg #accesscontrol.
Certificate of Completion
linkedin.com
-
נמצאה פגיעות חדשה ב-Veeam, המאפשרת לעקוף אימות. הפגיעות משפיעה על גרסאות 9.5, 10 ו-11. 😱 האקרים יכולים לנצל את הפרצה כדי לקבל גישה לא מורשית למידע רגיש. זה יכול לגרום להשלכות חמורות לכל ארגון המשתמש ב-Veeam להגנת נתונים. נקודות חשובות: הגרסאות שמושפעות הן: 9.5, 10, 11 הפתרון: עדכון לגרסה האחרונה באופן מיידי "הפגיעות הקריטית הזו יכולה לחשוף כמות עצומה של מידע רגיש אם לא תטופל במהירות." 🔗 לקריאת המאמר המלא. https://lnkd.in/djRH4fXy #cybersecurity #datasecurity #Veeam #vulnerability #ITsecurity #ISO27001 #MTDTC #SMEs #dataprotection #infosec #technews
Critical Veeam Vulnerability Leads to Authentication Bypass
securityweek.com