Sylvester ve Christopher'ın bulduğu gibi, BT dünyasında ve çeşitli güvenliklerde heyecan verici olmaya devam ediyor. Bir kez daha kağıt parçasında o kadar çok konu var ki, herkes bir bölüme ekleniyor. “Parola” nın en son sürümünde, sadece WebPKI'nin her zamanki gibi farklı yönleri hakkında değil, aynı zamanda iki ilginç güvenlik hatasına ayrıntılı olarak da bakar.
Geri bildirimler ve geçmiş bölümlere eklemeler kendilerini çeşitli konularda sunmaktadır: Büyük bir CA'nın özensiz ve teknik ve son derece şüpheli pazarlama e-postası göz önüne alındığında, mikrofon Sylvester ana saçtır ve dinleyicilere yardım isteyen herkes, hizmet sağlayıcılarından, çevrimiçi mağazalardan veya dijital platformlardan e-posta almış olan, kimlikten ayrılamaz. Sylvester, sonbaharın sonlarında toplanır ve mümkün olduğunca çok rahatsız edici örnek toplamak ister.
Çok fazla web ve çok fazla PKI
Bölümün iyi bir bölümünde, web ve ilişkili PKI: Podcaster, şifreleme şeffaflığı hakkında bilgi ve tartışmalar ekler ve sertifikalı ve ilk kez küçük bir temsil gerçekleştirir. Christopher (Microsoft-CA rolünde) ve Sylvester (Chrome-Root programı), bu Coram Puble'ın tuttuğu iki aktör arasında bir tartışma oynarlar. Anlaşmazlığın nedeni: Microsoft, bir yazma hatası için sertifika yönergelerinde 70 milyondan fazla TLS sertifikası toplamakta tereddüt etti.
Sadece Mountain View yarışmasından gelen muazzam baskı yoluyla Microsoft, tüm sertifika kuruluşları için geçerli olan kurallara saygı duymaya ikna olmuştu. Microsoft, geçmiş bölümde konuklardan sadece birçok eleştiri almıştı, ancak mevcut davada küçük olumlu şeyler de alabilirler. Çünkü görünüşe göre Microsoft'un tiksinmesi de hareket etti çünkü CA teknik olarak iptal tarafından bunalmıştı – kötü bir alamet.
Tabii ki, çok sayıda sertifika ve kısmen rehibit istemek bir karton çubuk değildir. Ama “Pacta Sunt Servanda”, Microsoft'u da görmek zorunda kaldı ve şimdi bu şekilde iptal ediyor hızlı Yavaş yavaş, mevcut yapılandırmanızın izin verdiği gibi. Gelecekte, bu sadece Microsoft için değil, daha iyi olmalı, çünkü oldukça önemsiz bir dokümantasyon hatası durumunda iptal edemezseniz, büyük bir güvenlik açığı ile bile yapamazsınız. Şimdi 1 Aralık 2025'e kadar her CA, “kitle iptali”, yani kitle karşılıklılığının işe alınması için bir plan geliştirmeli ve yayınlamalıdır. Sonuçta, tüm ekosistem kazadan yararlanıyor.
“MadeYoureset” Gap da web'e saldırıyor, ancak şifrelemesine değil, performansı. İsrail araştırmacıları, HTTP/2 protokolünün devlet makinesinde bir boşluk buldular ve bunları “hizmetin reddedilmesi” için belirli koşullarda kullanabilirler. Ancak internet bunun için yanmayacak, Christopher şöyle diyor: Birçok popüler web sunucusu “MadeYorset” den etkilenmiyor. MadeYoureset hala ilginç.
Creedumps Buz
Sylvester, Systemd “Coredump” yöneticisinde bir hata açıklıyor. CVE-2025-4398'de, iki ana bilgisayar özellikle birkaç araştırmacının başlangıçta sömürülmesi zor olan hatayı nasıl güvenilir bir şekilde yeniden üretebileceği ve Linux süreçlerinin hafızasından güvenilir bir şekilde güvenilir oldukları ile ilgilenmektedir. Çünkü forvet siyah buz sürecinin yetenekli manipülasyonu ile yöneticiyi yönettiğinde konuşma Coredump'dı. Ve bir boşluktan yararlanmak daha kolay, daha tehlikeli hale gelir, bu nedenle CVSS değeri 4.7'den 7.1'e yükselmiştir.
“Parola-Haberler Security Podcast” nin son bölümü Çarşamba sabahı tüm podcast platformlarını dinlemek için mevcuttu.
(CKU)
Bir yanıt yazın