0Tag

CVE-2025-6554 ist eine Type Confusion-Schwachstelle in der Google Chrome V8 JavaScript-Engine. Type Confusion ist eine häufige Klasse von Schwachstellen, die zu unsicheren Speicheroperationen führen können, wenn ein Programm einen Datentyp fälschlicherweise als einen anderen interpretiert, was einem Angreifer die Ausführung von beliebigem Code auf dem System des Opfers ermöglicht.

Die Schwachstelle rührt von der fehlerhaften Behandlung des dynamischen Indexladens durch den V8 TurboFan-Compiler bei der Optimierung der Store-Store-Elimination her, die zu einer falschen Klassifizierung von Alias-Beziehungen führt, wodurch kritische Store-Operationen fälschlicherweise eliminiert werden, was wiederum zu einem Out-of-Bounds-Speicherzugriff führt. Angreifer können speziell gestaltete HTML-Seiten erstellen, um einen Benutzerzugriff zu erzwingen, die Ausführung von bösartigem JavaScript-Code auszulösen, die Schwachstelle zur Remotecodeausführung und zum Ausbruch aus der Sandbox auszunutzen und schließlich die vollständige Kontrolle über das Gerät des Opfers zu übernehmen.

Mehr als 60 Zero-Day-Schwachstellen (0day), die seit 2016 veröffentlicht wurden, stehen im Zusammenhang mit kommerziellen Spyware-Anbietern für Regierungsbehörden, und es gibt Schwachstellen in Produkten einer Reihe von Unternehmen, darunter Apple, Adobe, Google und andere, wo sie für Angriffszwecke genutzt wurden, darunter auch für Angriffe auf Journalisten und politische Dissidenten. Der Bericht stellt fest, dass im Jahr 2023 eine große Anzahl von Schwachstellen aktiv ausgenutzt wird.

Vor kurzem hat Google die HTTP/2-Protokollschwachstelle CVE-2023-44487 bekannt gegeben.
Angreifer können diese Schwachstelle nutzen, um kostengünstige Mega-Angriffe zu starten (http2-rapid-reset-ddos-attack). Angreifer haben mit dieser Methode seit August Angriffe auf Google Cloud Platform-Kunden gestartet, bei denen Angreifer in einem Angriff satte 398 Millionen Anfragen in einer Sekunde gesendet haben, was die höchste jemals aufgezeichnete Anzahl von Anfragen pro Sekunde ist.

BESCHREIBUNG: cURL ist ein vielseitiges Open-Source-Befehlszeilentool für eine Vielzahl von Anwendungen, das die URL-Syntax zur Datenübertragung verwendet und eine Vielzahl von Netzwerkprotokollen wie SSL, TLS, HTTP, FTP und SMTP unterstützt. libcurl ist ...

Eine Spionagesoftware namens Predator hat die neue Zero-Day-Schwachstelle von Apple ausgenutzt, um ehemalige Parlamentsmitglieder in Ägypten anzugreifen. Die Entdeckung dieses Angriffs unterstreicht erneut die Bedeutung der Cybersicherheit, insbesondere für Politiker und Persönlichkeiten des öffentlichen Lebens.