V linuxovém jádře se objevila další závažná zranitelnost, která umožňuje privilege escalation na roota. Zranitelnost sledovaná jako CVE-2026-46331 s přezdívkou „pedit COW" je out-of-bounds write v act_pedit, která je součástí subsystému pro řízení síťového provozu (traffic control, tc).
Technické jádro problému leží ve funkci tcf_pedit_act(). Nástroj tc umí pomocí akce pedit přepisovat hlavičky paketů a jádro k tomu má standardně vytvořit soukromou kopii dat ještě před úpravou, tedy klasický vzor copy-on-write (COW). Funkce ovšem rozsah pro zápis ověřuje jen jednou.
Exploit se vůbec nedotkne souboru na disku. Místo toho otráví kešovanou kopii binárky se setuid root přímo v paměti, vloží do ní krátký payload a ten spustí s právy roota. Kontroly integrity souborů přitom vracejí čistý výsledek, zatímco útočníkovi už běží rootovský shell.
Rozsah zasažených systémů je široký. Autor PoC potvrdil cestu z neprivilegovaného uživatele k rootovi na RHEL 10 a Debianu 13 (trixie), kde jsou neprivilegované user namespaces ve výchozím stavu povolené.
Podle distribučních security trackerů byly k 25. červnu jako zranitelné vedeny verze Ubuntu od 18.04 až po 26.04, Red Hat uvádí jako zasažené RHEL 8, 9 a 10 a Debian označuje verze 11 a 12 stále za zranitelné, zatímco trixie je opravena (balíček linux od verze 6.12.94-1). Z hlediska upstreamu byla chyba přítomna od jádra v5.18 a opravena byla v mainline 16. června 2026 s backportem do podporovaných stabilních větví.
Doporučený postup je jednoduchý: nasadit opravené jádro a restartovat systém.
Stejnou logiku jako pedit COW sdílejí i dřívější chyby jako Dirty Pipe, Copy Fail, DirtyClone i Dirty Frag.
Oblíbený blokátor reklam pro YouTube skrývá tichou hrozbu pro miliony uživatelů
Bezpečnostní výzkumníci ze společnosti Island zjistili, že populární rozšíření pro Chrome s názvem Adblock for YouTube obsahuje skrytou schopnost spouštět libovolný JavaScript na jakékoli navštívené stránce.
Rozšíření (s identifikátorem cmedhionkhpnakcndndgjdbohmhepckk) má podle Chrome Web Store přes 10 milionů instalací, hodnocení 4,4 hvězdičky a dokonce nese odznak „Featured", kterým Google označuje prověřená rozšíření. Výzkumníci Oleg Zaytsev a Shachar Gritzman přitom zdůrazňují, že nenarazili na žádný škodlivý kód, který by byl uživatelům reálně doručen.
Jádro problému spočívá v kombinaci širokých oprávnění a slabé kontroly. Ačkoli jde údajně o blokátor reklam výhradně pro YouTube, v manifestu rozšíření je uvedeno oprávnění ``, takže ve skutečnosti běží na každé stránce, kterou uživatel otevře, a to od webmailu přes bankovnictví až po firemní portály.
Technicky funguje mechanismus tak, že rozšíření každých 24 hodin stahuje konfiguraci ze vzdáleného serveru api.adblock-for-youtube.com. Odpověď obsahuje běžná pravidla pro blokování reklam, ale také pole scripletsRules, díky kterému server rozhoduje, které tzv. scriptlety se spustí a s jakými argumenty. Jeden z nich, pojmenovaný trusted-create-element, dokáže na stránce vytvořit element ``, jehož obsah dodá přímo server. Ten se pak spustí v kontextu dané stránky se všemi jejími daty, relacemi a formuláři.
Výzkumníci při PoC sestavili kontrolované prostředí, kdy jejich falešný server vrátil scriptlet, který se nejprve legitimně spustil na YouTube a poté otevřel adresu Salesforce s řetězcem „youtube.com" v parametru dotazu. Scriptlet se vložil do přihlášené relace Salesforce, odkud přečetl data účtu viditelná uživateli a odeslal je zpět na server.
Pro uživatele i firmy z toho plyne jasné doporučení. Stojí za to projít nainstalovaná rozšíření (na adrese chrome://extensions), ponechat jen ta, která skutečně používáte, a zkontrolovat, jaké oprávnění jednotlivá rozšíření mají.
Squidbleed: dvacet devět let stará chyba v proxy Squid, kterou odhalila umělá inteligence
V populárním webovém proxy serveru Squid se našla zranitelnost, která dostala jméno Squidbleed a je oficiálně sledovaná jako CVE-2026-47729.
Jde o takzvané heap buffer over-read, kvůli kterému může proxy vrátit útočníkovi kus paměti, jenž patří úplně jinému uživateli. Typicky útržky jeho nezašifrovaných HTTP požadavků včetně přihlašovacích údajů, cookies nebo session tokenů.
Přezdívka odkazuje na slavný Heartbleed, protože paměť uniká velmi podobným způsobem. Chybu zveřejnili v červnu výzkumníci ze společnosti Calif[.]io a podle jejich vlastního zápisu i podle navazujícího reportu byla v Squidu přítomná už od roku 1997.
Příčina je schovaná v parseru, který Squid používá k zobrazení výpisu složek z FTP serverů. Kód obsahuje smyčku přeskakující bílé znaky, která vznikla v roce 1997 kvůli starým serverům NetWare, jež výpisy doplňovaly o mezery navíc.
Důležité je, komu a za jakých okolností data unikají. Squid sám popisuje útok jako akci „důvěryhodného klienta", tedy někoho, kdo už proxy smí používat, nikoli libovolného počítače z internetu.
Aby útok fungoval, musí být splněno několik podmínek najednou: útočník musí mít přístup k proxy a ta musí umět dosáhnout na FTP server, který útočník ovládá, na portu 21 (jak FTP, tak port 21 jsou ve výchozí konfiguraci zapnuté). Společnost SUSE hodnotí chybu jako středně závažnou s CVSS skóre 6.5.
Calif[.]io přiznává zásluhy modelu Claude Mythos Preview, který tuto chybu našel.
Cisco Catalyst SD-WAN: CVE-2026-20245 zneužívána ještě před zveřejněním
Bezpečnostní tým Mandiant (součást Google Cloud) zveřejnil analýzu útoku, při kterém neznámý aktér zneužíval zranitelnost v platformě Cisco Catalyst SD-WAN jako zero-day nejméně dva měsíce předtím, než byla veřejně oznámena.
Cisco zranitelnost sledovanou jako CVE-2026-20245 s CVSS skóre 7.8 zveřejnilo na začátku června a opravy vydalo zhruba o týden později. Jde už o sedmou zranitelnost v produktech Cisco SD-WAN, jejíž zneužití vyšlo najevo v tomto roce.
O této zranitelnosti jsme psali v jednom z předchozích Security Sunday, pojďme se podívat, jak útočník zneužil zranitelnosti ještě před jejím zveřejněním.
Klíčový krok útoku spočíval v nahrání škodlivého souboru evil_tenant.csv příkazem request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0. Tento soubor obsahoval payload, který útočníkovi povýšil oprávnění a vytvořil skrytý účet s názvem troot s plnými právy roota. Z kompromitovaného administrátorského účtu se útočník následně do nového účtu troot přepnul příkazem su, čímž získal úplnou kontrolu nad zařízením.
Pozornost si zaslouží i důraz útočníka na zahlazování stop. Mandiant uvádí, že aktér během celého průniku používal anti-forenzní techniky: zálohoval konfigurační soubory ještě před jejich úpravou, po dokončení akce je obnovil do původní podoby, smazal všechny soubory, které vytvořil (včetně evil_tenant.csv), a nakonec spustil ověřovací skript, kterým si potvrdil, že po něm nezůstaly žádné stopy.
Podle Googlu jde o pokračování trendu „living off the edge", kdy útočníci cíleně napadají síťová zařízení na perimetru. Konkrétní skupina (APT) zatím za útokem nebyla identifikována.
