Synology, BeeStation ürünlerinde son Pwn2Own bilgisayar korsanlığı yarışmasında gösterilen kritik önem derecesine sahip uzaktan kod yürütme (RCE) güvenlik açığını giderdi.
Güvenlik sorunu (CVE-2025-12686), ‘giriş boyutunu kontrol etmeden arabellek kopyası’ sorunu olarak tanımlanıyor ve rastgele kod yürütülmesine izin vermek için kullanılabilir.
Bu durum, Synology’nin tüketici odaklı “kişisel bulut” olarak pazarlanan ağa bağlı depolama (NAS) aygıtlarını destekleyen yazılım olan BeeStation OS’nin birden çok sürümünü etkiliyor.
Herhangi bir azaltıcı etken mevcut olmadığından satıcı, kullanıcıların aşağıdaki sürümlere yükseltme yapmalarını önerir:
- BeeStation İşletim Sistemi sürümü 1.3.2-65648 veya üzeri
- BeeStation İşletim Sistemi sürümü 1.3.2-65648 veya üzeri
- BeeStation İşletim Sistemi sürümü 1.3.2-65648 veya üzeri
- BeeStation İşletim Sistemi sürümü 1.3.2-65648 veya üzeri
Fransız siber güvenlik şirketi Synacktiv’deki araştırmacılar Tek ve anyfun, 21 Ekim’deki Pwn2Own Ireland 2025 yarışması sırasında yapılan bir gösteride bu kusurdan yararlandı. Başarılı çalışmaları için iki araştırmacıya 40.000 dolar ödül verildi.
Trend Micro ve Zero Day Initiative (ZDI) tarafından düzenlenen üç günlük bir hackleme yarışması olan Pwn2Own, güvenlik araştırmacılarına sıfır gün güvenlik açıklarını kullanarak popüler tüketici cihazlarını hackleme fırsatı veriyor.
İrlanda’da düzenlenen en son etkinlikte araştırmacılar geniş bir ürün yelpazesinde 73 sıfır gün kusurunu ortaya koydu ve 1 milyon dolardan fazla para kazandı.
Geçen hafta, bir başka büyük NAS satıcısı olan QNAP, beyaz şapkalı bilgisayar korsanlarının bu yıl Pwn2Own İrlanda’da gösterdiği, şirketin birden fazla cihazındaki toplam yedi sıfır gün güvenlik açığını düzeltti.
ZDI’nın Pwn2Own’a katılan şirketlerle bir açıklama anlaşması var ve yamalar mevcut olana ve kullanıcıların güncellemeleri uygulamak için yeterli zamanı olana kadar güvenlik sorunlarının teknik ayrıntılarını yayınlamayı erteliyor.
Bu kusurlarla ilgili daha fazla ayrıntı önümüzdeki aylarda ZDI’nın duyuru panosunda ve bazı durumlarda araştırmacıların kişisel blog alanlarında açıklanacak.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.