Microsoft zidentyfikował krytyczne luki RCE w popularnych frameworkach agentów AI. Prompty tekstowe mogą działać jak powłoki systemowe, umożliwiając atakującym zdalne wykonanie kodu. Badacze z Microsoft Security Response Center udokumentowali 5 odrębnych wektorów ataku, które pozwalają ominięcie zabezpieczeń i przejęcie kontroli nad systemami hostującymi agentów AI. TL;DR: Microsoft opublikował analizę 5 luk RCE w frameworkach agentów […]
Google wprowadziło wymóg Usług Google Play do przejścia nowej generacji reCAPTCHA. Dla użytkowników de-Googled Androida to oznacza całkowitą blokadę weryfikacji na stronach internetowych. Problem dotyczy osób korzystających z GrapheneOS, CalyxOS, LineageOS i innych alternatywnych systemów operacyjnych pozbawionych natywnych usług Google. Zmiana wpływa na dostęp do usług bankowych, sklepów internetowych i portali rządowych. TL;DR: Google zintegrowało […]
Microsoft potwierdził aktywne exploity wykorzystujące lukę Dirty Frag w jądrze Linuxa. Podatność oznaczona jako CVE-2026-43284 pozwala na eskalację uprawnień z nieuprzywilejowanego użytkownika do roota. Atak dotyczy komponentów sieciowych: esp4, esp6 oraz rxrpc. TL;DR: Dirty Frag (CVE-2026-43284) to luka w jądrze Linuxa pozwalająca na lokalną eskalację uprawnień do roota. Microsoft potwierdza aktywne ataki wykorzystujące tę podatność […]
TL;DR: Znana grupa cyberprzestępcza ShinyHunters przejęła popularną platformę edukacyjną Canvas, należącą do firmy Instructure. W wyniku włamania skradziono 3,65 TB danych, co mogło dotknąć około 275 milionów użytkowników z 9000 instytucji na całym świecie. Platforma przestała działać w samym środku tygodnia egzaminacyjnego, wywołując chaos na wielu uczelniach. Sprawcy żądają okupu za nieopublikowanie wrażliwych informacji, stosując […]
Co to jest Dirty Frag i dlaczego exploit daje root od 2017 roku? Dirty Frag to luka eskalacji uprawnień (LPE) w jądrze Linuksa, dotykająca podsystemy esp4, esp6 oraz rxrpc. Badacz Hyunwoo Kim odkrył, że podatność działa na większości dystrybucji od 2017 roku. Podobnie jak wcześniejszy Copy Fail, ten exploit pozwala na natychmiastowe uzyskanie uprawnień root. […]
TL;DR: Google Chrome cicho instaluje na dyskach użytkowników model AI o rozmiarze około 4 GB bez ich wyraźnej zgody, zostawiając mnóstwo „śmieci”. Przeglądarka pobiera model Gemini Nano w tle, a po ręcznym usunięciu pliku pobiera go ponownie. Badacz bezpieczeństwa Alexander Hanff wskazuje, że taka praktyka może naruszać unijne przepisy RODO oraz generować niepotrzebany pobór energii. […]
Błyskawiczna reakcja Cloudflare, krytyczna luka w jądrze Linuksa ukryta od 2017 roku i ostrzeżenia agencji CISA. Cloudflare natychmiast załatało podatność Copy Fail, po czym potwierdziło, że luka nie wpłynęła na bezpieczeństwo jego klientów. Podatność ta, wynikająca z błędu w funkcji copy_page_range, pozwala lokalnym użytkownikom na eskalację uprawnień do poziomu roota. Stanowi ona ogromne zagrożenie zwłaszcza […]
Google Cloud reCAPTCHA Enterprise to zaawansowana platforma chroniąca firmy przed botami, atakami credential stuffing i oszustwami finansowymi. Działa niewidocznie dla użytkownika, analizując w czasie rzeczywistym sygnały behawioralne i sieciowe, a następnie przypisując sesjom ocenę ryzyka od 0.0 do 1.0. W przeciwieństwie do darmowych rozwiązań, wersja Enterprise oferuje pełną kontrolę, szczegółowe powody ocen oraz głęboką integrację […]
Microsoft Edge przechowuje wszystkie zapisane hasła w pamięci RAM w formie czystego tekstu, nawet gdy użytkownik z nich nie korzysta. Informację tę potwierdziło Microsoft Security Response Center (MSRC) w odpowiedzi na zgłoszenie badawcze. Hasła pozostają dostępne dla każdego procesu działającego w ramach tej samej sesji systemu Windows. To poważna luka architektoniczna. TL;DR: Microsoft Edge trzyma […]
Po 20 latach od premiery na Windows, Notepad++ trafił na macOS. Jednak nieoficjalny port wywołał spór o znak towarowy między twórcą oryginału a deweloperem wersji macowej. TL;DR: Nieoficjalny port Notepad++ na macOS wywołał spór o naruszenie znaku towarowego. Don Ho, twórca oryginalnego edytora, zarzuca deweloperowi portu próbę prezentacji projektu jako oficjalnego. Sprawa pokazuje, jak open-source […]
OpenAI i Yubico ogłosili partnerstwo, które wprowadza klucze sprzętowe do zabezpieczania kont ChatGPT. Program Advanced Account Security zastępuje tradycyjne hasła passkeys i kluczami sprzętowymi, eliminując wektory ataków phishingowych. TL;DR: OpenAI uruchomiło program Advanced Account Security dla ChatGPT we współpracy z Yubico. Funkcja zastępuje hasła passkeys i kluczami sprzętowymi YubiKey, usuwa odzyskiwanie przez email oraz SMS. […]