Microsoft udostępnił na licencji open source 2 narzędzia – RAMPART i Clarity – które wprowadzają testy bezpieczeństwa bezpośrednio do procesu tworzenia agentów AI. Premiera odbyła się 20 maja 2026 roku na blogu Microsoft Security, a narzędzia trafiły do rąk programistów natychmiast. RAMPART automatyzuje testy red-team w potokach CI, natomiast Clarity weryfikuje założenia projektowe przed napisaniem […]
Packagist, główny rejestr pakietów PHP, zaalarmował społeczność o krytycznej luce w menedżerze pakietów Composer. Błąd powoduje wyciek tokenów GitHub Actions bezpośrednio do logów CI. Aktualizacja do wersji 2.9.8 lub 2.2.28 LTS eliminuje ten problem. TL;DR: Zmiana formatu tokenów przez GitHub ujawniła błąd w czteroletnim wyrażeniu regularnym Composera. Narzędzie wyciekało pełne tokeny GITHUB_TOKEN do logów GitHub […]
CERT alertuje o 6 lukach w dnsmasq – DNS i DHCP zagrożone TL;DR: Sześć podatności CVE wykryto w popularnym serwerze dnsmasq, wykorzystywanym do obsługi DNS i DHCP. Luki pozwalają na ataki DNS cache poisoning, wycieki informacji oraz eskalację uprawnień do poziomu root. Najgorzej obrazuje to skalę: projekt Pi-hole, bazujący na dnsmasq, musiał wydać pilną aktualizację […]
42 pakiety npm z ekosystemu TanStack zostały skompromitowane w ataku na łańcuch dostaw. Złośliwy kod zinfekował 84 artefakty w 27 minut, kradnąc poświadczenia CI z GitHub Actions. To jeden z najszybciej rozprzestrzeniających się incydentów w historii rejestru npm. TL;DR: Grupa TeamPCP przeprowadziła atak „Mini Shai-Hulud„ na pakiety TanStack, kompromitując 84 artefakty w 27 minut. Atak […]
Google ogłosiło system Fraud Defense – następcę reCAPTCHA, który zastępuje zagadki z autobusami kodami QR. Firma chce, aby użytkownicy skanowali kody telefonem, udowadniając w ten sposób, że są ludźmi. Zmiana dotyczy procesu rejestracji nowych kont Gmail i ma na celu ograniczenie botów. TL;DR: Google zastępuje tradycyjną reCAPTCHA systemem Fraud Defense podczas tworzenia kont Gmail. Użytkownik […]
Co to jest Dirty Frag i dlaczego exploit daje root od 2017 roku? Dirty Frag to luka eskalacji uprawnień (LPE) w jądrze Linuksa, dotykająca podsystemy esp4, esp6 oraz rxrpc. Badacz Hyunwoo Kim odkrył, że podatność działa na większości dystrybucji od 2017 roku. Podobnie jak wcześniejszy Copy Fail, ten exploit pozwala na natychmiastowe uzyskanie uprawnień root. […]
Błyskawiczna reakcja Cloudflare, krytyczna luka w jądrze Linuksa ukryta od 2017 roku i ostrzeżenia agencji CISA. Cloudflare natychmiast załatało podatność Copy Fail, po czym potwierdziło, że luka nie wpłynęła na bezpieczeństwo jego klientów. Podatność ta, wynikająca z błędu w funkcji copy_page_range, pozwala lokalnym użytkownikom na eskalację uprawnień do poziomu roota. Stanowi ona ogromne zagrożenie zwłaszcza […]
Microsoft Edge przechowuje wszystkie zapisane hasła w pamięci RAM w formie czystego tekstu, nawet gdy użytkownik z nich nie korzysta. Informację tę potwierdziło Microsoft Security Response Center (MSRC) w odpowiedzi na zgłoszenie badawcze. Hasła pozostają dostępne dla każdego procesu działającego w ramach tej samej sesji systemu Windows. To poważna luka architektoniczna. TL;DR: Microsoft Edge trzyma […]
WordPress zasila ponad 43% wszystkich stron internetowych na świecie, co sprawia, że jakakolwiek luka w bezpieczeństwie tej platformy dotyka milionów witryn. Retail Technology Innovation Hub zwraca uwagę na konieczność zmiany podejścia do utrzymania stron opartych na tym systemie. Reaktywny model – naprawianie problemów dopiero po awarii – generuje wyższe koszty i naraża zaufanie klientów. TL;DR: […]
OpenAI i Yubico ogłosili partnerstwo, które wprowadza klucze sprzętowe do zabezpieczania kont ChatGPT. Program Advanced Account Security zastępuje tradycyjne hasła passkeys i kluczami sprzętowymi, eliminując wektory ataków phishingowych. TL;DR: OpenAI uruchomiło program Advanced Account Security dla ChatGPT we współpracy z Yubico. Funkcja zastępuje hasła passkeys i kluczami sprzętowymi YubiKey, usuwa odzyskiwanie przez email oraz SMS. […]
732 bajtów. Tyle wystarczy, żeby uzyskać uprawnienia root na niemal każdej dystrybucji Linuksa wydanej od 2017 roku. Podatność nazwana „Copy Fail” (CVE-2026-31431) dotyczy jądra systemu i pozwala nieuprzywilejowanemu użytkownikowi lokalnemu na eskalację uprawnień. Microsoft Security, Tenable oraz Wiz jednocześnie ostrzegają przed działającym exploitem krążącym w sieci. TL;DR: CVE-2026-31431 to krytyczna luka w jądrze Linuksa (CVSS […]