A FreeType nyílt forráskódú betűkészlet-megjelenítő könyvtárban egy kritikus biztonsági sérülékenységet fedeztek fel, amely távoli kódfuttatást tehet lehetővé. A CVE-2025-27363 azonosítón nyomon követett sérülékenység súlyosságát jelzi a 8,1-es CVSS pontszám, továbbá az is, hogy a jelentések szerint jelenleg aktív kihasználás alatt áll.
Két biztonsági sérülékenységet fedeztek fel az OpenSSH-ban, amelyek sikeres kihasználás esetén bizonyos feltételek mellett machine-in-the-middle (MitM) és szolgáltatásmegtagadásos (DoS) támadást tehetnek lehetővé.
Több mint 12 000 GFI KerioControl tűzfal van kitéve a CVE-2024-52875 azonosítón nyomon követhető kritikus RCE (Remote Code Execution – távoli kódfuttatás) sebezhetőségnek. A KerioControl egy hálózatbiztonsági csomag, amelyet a kis- és középvállalkozások használnak VPN- ekhez, sávszélesség kezeléshez, riportáláshoz és monitorozáshoz, forgalomszűréshez, vírusvédelemhez és behatolásmegelőzéshez.
A W3 Total Cache nevű népszerű WordPress-bővítményben talált biztonsági rés több mint egymillió weboldalt érinthet. Ez a sérülékenység lehetőséget adhat támadóknak érzékeny adatok elérésére és különböző káros tevékenységek végrehajtására. Bár a fejlesztő már kiadott egy javítást, a frissítést még sok oldal nem telepítette.
A CVE-2024-43405 sérülékenység ismét rávilágít arra, hogy a nyílt forráskódú eszközöknél is kulcsfontosságú a rendszeres frissítés és a biztonsági környezetek használata. A Nuclei fejlesztőcsapata gyorsan reagált a problémára, így a mostani frissítéssel ismét biztonságosan használhatjuk ezt a hatékony sérülékenységkeresőt.
Egy súlyos sérülékenységre derült fény a WPForms WordPress-bővítményben, amelyet több mint 6 millió weboldalon használnak. A probléma lehetővé teszi, hogy még alacsony szintű felhasználók is önkényesen kezdeményezzenek Stripe visszatérítéseket vagy lemondják előfizetéseket.
Egy héttel azután, hogy hírek láttak napvilágot a Pentium processzorok egy részében felfedezett hibáról, az Intel 1997. november 14-én kiadott egy szoftveres megoldást, amely operációs rendszerek számára nyújtott kerülőutat az úgynevezett „F0 hiba” elkerülésére. Egy nagyon specifikus, érvénytelen műveletet továbbítva a hibás processzoroknak azok lefagytak, amely a számítógép és minden futó program lefagyását eredményezte.
A Mozilla kritikus biztonsági rést talált a Firefox és a Firefox Extended Support (ESR) verzióiban, melyet valószínűleg éles támadásokban is felhasználtak már. A sérülékenységet a CVE-2024-9680 (CVSS pontszám: 9.8) azonosítóval látták el, mely az „Animation timeline” modulban található. „Egy támadónak sikerült kódvégrehajtást elérnie az Animation timeline komponensben, egy ún.
Az OpenSSH 9.9 elérhető, amely a széles körben használt, nyílt forráskódú SSH implementációnak a legújabb verziója. Az OpenSSH tervezi a DSA (Digital Signature Algorithm) aláírási algoritmus támogatásának megszüntetését 2025 elején. Ez a kiadás alapértelmezés szerint letiltja a DSA-t fordítási időben. A DSA, amelyet az SSHv2 protokollban használnak, inherensen gyenge, mivel csak 160 bites privát kulcsot használ és a SHA1 kivonatolási eljárást alkalmazza. A becsült biztonsági szintje csak 80 bites szimmetrikussal egyenértékű.
A Veeam 2024. szeptemberében számos termékéhez adott ki biztonsági frissítést, amellyel a Veeam Backup & Replication, a Service Provider Console és ONE szoftvercsomagok 18 súlyos és kritikus hibáját kezeli. A kezelt problémák közül a legsúlyosabb a CVE-2024-40711, amely a Veeam Backup & Replication (VBR) kritikus (CVSS v3.1 pontszám: 9.8) távoli kódfuttatást (RCE) lehetővé tévő sebezhetősége, amely hitelesítés nélkül is kihasználható.
Maximális súlyosságú biztonsági hiba került nyilvánosságra a WordPress GiveWP adománygyűjtési pluginjában, amely által több mint 100 000 weboldal van kitéve RCE (távoli kódfuttatási) támadásoknak.
A 0.0.0.0 IPv4 cím történelmileg nem szabványos „wildcard”-ként (helyettesítő karakterként) szolgált, hogy azonosítsa a hálózaton elérhető összes forrás IP-címet. A kutatók most felfedezték, hogy ez egyben az egyik legtovább meglapuló, és leginkább beágyazódott biztonsági sebezhetőséget is képviselheti a webalapú internet-hozzáférésben.
Az Lutris egy Linuxra szabott játékplatform, amely lehetővé teszi a felhasználók számára, hogy könnyedén futtassák kedvenc játékaikat.A Lutris 0.5.16-os verziója mostantól elérhető, és számos fontos hibajavítást és fejlesztést tartalmaz a korábbi 0.5.15-ös kiadáshoz képest. A fő célja egy kritikus hiba kijavítása volt, amely megakadályozta a játékok sikeres telepítését a 0.5.15-ös verzióban.
Az XOrg Server és az Xwayland megjelenítési implementációit számos biztonsági rés ellen javították, amelyek halom túlcsorduláshoz, határokon túli írásokhoz vagy a helyi jogosultságok kiszélesítéséhez vezethetnek.