2025 nyarán két népszerű fájlarchiváló szoftver, a WinRAR és a 7-Zip is komoly biztonsági problémák miatt került reflektorfénybe. A feltárt sérülékenységek lehetővé teszik, hogy a támadók rosszindulatú archívumokkal tetszőleges fájlokat írjanak a célrendszerre, vagy akár kódot futtassanaka felhasználó tudta nélkül.

WinRAR:  VE-2025-8088 és CVE-2025-6218

A WinRAR esetében két egymáshoz kapcsolódó, de különálló biztonsági hiba került nyilvánosságra:

Hat évnyi viszonylagos nyugalom után ismét támadhatóvá váltak az Intel modern processzorai egy új, kritikus biztonsági rés révén. A Branch Privilege Injection (BPI) névre keresztelt sebezhetőséget (CVE-2024-45332 és CVE-2024-43420) a kutatók a Spectre-BTI (Branch Target Injection) típusú oldalsávos támadások új generációjaként azonosították – és ezzel gyakorlatilag visszatértek a 2018-ban felfedezett Spectre sebezhetőségek legsúlyosabb formái.

A Google kutatói jelentést küldtek az AMD-nek, melyben leírták az „AMD mikrokód aláírási ellenőrzés sérülékenységét” (AMD ID: AMD-SB-7033). A sérülékenység lehetővé teszi egy támadó számára, hogy rendszergazdai jogosultsággal aláírás nélküli mikrokód-patcheket töltsön be a CPU-ba. A kutatók demonstrálták, hogy hogyan hamisíthattak aláírásokat tetszőleges mikrokód-patchekhez.

Az AMD nem kapott bejelentést ilyen támadásról működő rendszerekben.

Az AMD mérnökei újabb javítással frissítik a Linux rendszert a Speculative Return Stack Overflow (SRSO, más néven "Inception") sebezhetőség kezelésére. Ez a javítás a sérülékeny AMD processzorokat érinti, és segít jobb kontrollt biztosítani a SRSO elleni védekezésben.

Manapság nem csak az Intel-nek kell biztonsági szivárgást betömnie. A CacheWarp egy az AMD Epyc első, második és harmadik generációs processzorokban felfedezett biztonsági rés, amely ehetővé teszi a támadók számára, hogy eltérítsék a vezérlést, betörjenek a titkosított VM-ekbe, és jogosultságnövelést hajtsanak végre a VM-en belül. Ez a most fellelt szoftveres hiba az AMD SEV-ES és SEV-SNP alrendszerek ellen irányuló sikeres támadás.

Az AMD processzorokat nem érinti a Downfall sebezhetőség, bár a nemrég bejelentett INCEPTION sebezhetőséggel (CVE-2023-20569) kell megküzdenie a gyártónak és a felhasználóinak. Az új spekulatív oldalcsatornás támadás minden Zen alapú processzort érint.

Intel a héten 38 új biztonsági figyelmeztetést tett közzé február óta az első Patch Tuesday keretében. A ma közzétett új hibabejelentések között szerepel a CVE-2023-28410, amely egy i915 Linux kernel grafikus illesztőprogram sebezhetőségét jelenti, és helyi privilégium emelkedéséhez vezethet. Az Intel péntek délután CPU mikrokód-frissítéseket tett közzé az összes támogatott processzorcsalád számára, visszamenőleg a Coffee Lake „Gen 8”-ig, biztonsági frissítésekkel.