Další tří 0day pro iOS. Apple o nich vědělo a v iOS 15 je neopravilo. Navíc, jak se píše v Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program hraje mrtvého brouka u čtvrté, opravené, 0day.
Děravý Office. Musíte otevřít dokument a vypnout Protected View. Viz Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444
Připojte myš či klávesnici od Razeru a rázem se stanete správcem Windows 10. Tahle 0day chyba je vlastně docela zábavná. ale možné dopady už ne. Razer navíc na nahlášení nereagoval a až po zveřejnění se ozvali s příslibem nápravy.
Mimořádná aktualizace pro iOS/iPad OS (14.7.1) řeší aktivně využívanou 0day zranitelnost. Navíc takovou, kterou je možné aktivovat z prohlížeče. Těžko se pak divit, že někdo jako NSO Group dokáže snadno napadat telefony od Apple. CVE-2021-30807 tradičně nikde blíže popsané není. Aktualizace dorazila i pro Mac OS (11.5.1) s “důležitými bezpečnostními opravami” a jediné co Apple…
0day ve Windows od sedmé verze výše umožňuje vzdálené spuštění kódu spolu se získáním práv a tím hacknutí počítače. Oznámení Microsoftu viz Windows Print Spooler Remote Code Execution Vulnerability
Hackeři na WD My Book Live zařízení útočili přes 0day, ne přes chybu z roku 2018. Co hůře, 0day umožněný tím, že programátoři WD odstranili nutnost zadat hesla u uvedení zařízení do továrního nastavení. Viz Hackers exploited 0-day, not 2018 bug, to mass-wipe My Book Live devices
Zerodium kupují 0day v Pidginu a jsou ochotni platit až 100 tisíc dolarů. Pidgin je populární instant messaging klient oblíbený v kyber zločineckém světě. Via Zerodium acquiring zero-days in Pidgin, an IM client popular with cybercriminals
Aktualizace macOS 11.4 opravuje 0day útok, zneužívaný aktivně útočníky. Bezpečnostní problémů to ale napravuje více (About the security content of macOS Big Sur 11.4). Podrobné a zajímavé čtení najdete v Zero-Day TCC bypass discovered in XCSSET malware
Čtyři zranitelnosti, včetně 0day, Androidu umožňují kompletně ovládnout telefon. Google má opravy, ale kdy a jak se dostanou k výrobcům různorodých zařízení je tradičně nejisté. Via 4 vulnerabilities under attack give hackers full control of Android devices a Android Security Bulletin—May 2021
Od pátku je k dispozici iOS/iPadOS 14.4.2 a watchOS 7.3.3 s opravdu vážné 0day bezpečnostní chyby. Ta je opravená i ve starších aktualizacích pro stroje co nemohou míz iOS 14. Chyba je ve WebKitu, tedy komponentně pro zobrazování webových stránek/obsahu a jde o cross site scripting. Chyba je aktivně využívána útočníky.