Gitea, açık kaynaklı ve kendinize ait barındırma imkanı sunan bir versiyon kontrol platformu, önemli bir güvenlik açığı ile gündeme geldi. Bu açık, yetkisiz saldırganların, hesap veya şifre olmaksızın özel konteyner görüntülerini çekmesine olanak tanımaktadır.

Saldırı Nasıl Çalışıyor?

Söz konusu açık, CVE-2026-27771 (CVSS skoru: N/A) koduyla izlenmektedir ve Gitea’nın 1.26.2 versiyonu öncesindeki tüm sürümlerini etkilemektedir. Noscope’a göre, bu güvenlik açığı, 30’dan fazla ülkede 30,000’den fazla dağıtımı etkilemektedir ve neredeyse dört yıl boyunca tespit edilememiştir.

Etkilenen Sistemler

Etki alanları arasında yoğun olarak:

• Çin
• Amerika Birleşik Devletleri
• Almanya
• Fransa
• Birleşik Krallık

Ayrıca, sağlık hizmeti sağlayıcıları, havacılık üreticileri, perakende altyapısı ve internet servis sağlayıcıları gibi çeşitli organizasyonlar da bu güvenlik açığından etkilenmiştir.

Çözüm ve Korunma

Noscope, etkilenen sürümlerde, konteyner deposunun özel olarak işaretlenmiş olmasının, işletmecilerin beklediği korumayı sağlamadığını belirtmiştir. Kullanıcıların Gitea’nın 1.26.2 sürümüne güncellemeleri önerilmektedir. Anlık bir çözüm olarak, Gitea yapılandırmasında [service].REQUIRE_SIGNIN_VIEW=true ayarının yapılması, bir geçici çözüm olarak değerlendirilebilir. Ancak, bazı konteynerlerin kasten kamuya açılması gerekiyorsa, bu yaklaşım ideal değildir.

Sonuç

Tüm Gitea kullanıcılarının, güvenlik açığını gidermek için 1.26.2 sürümüne güncellemeleri kritik öneme sahiptir. Eğer güncelleme hemen mümkün değilse, geçici bir çözüm olarak yukarıda belirtilen yapılandırma ayarını uygulamak düşünülmelidir. Bu tür güvenlik açıklarının önüne geçmek için, sistemlerinizin güncellemelerini düzenli olarak kontrol etmeyi unutmayın.

Meta, yüksek yapay zeka yatırımlarını denkleştirmek amacıyla binlerce çalışanına işten çıkarıldığını bildirdi. Meta yönetiminden gelen ve Business Insider tarafından paylaşılan bir e-posta, etkilenen çalışanlara iş gücü azaltımının, şirketin “daha verimli çalışmasına devam etme çabası ve diğer yatırımları dengeleme amacı”yla yapıldığı belirtildi.

Android, güvenlik araştırmacılarının casus yazılım saldırılarını incelemelerine yardımcı olmayı amaçlayan yeni bir opt-in özelliği olan “İhlal Kaydı”nı kullanıma sunuyor.

Bu özellik, geçen yıl piyasaya sürülen Android’in Gelişmiş Koruma Modunun bir parçası olarak tanıtılıyor. Gelişmiş Koruma Modu, cihazın hacklenmesini zorlaştırmak amacıyla belirli özellikleri etkinleştiren, opt-in olan özel bir güvenlik modudur. Bu mod, hükümetlerin casus yazılım saldırılarına ve bir kişinin telefonundan veri çıkarmaya çalışan polis adli cihazlarına karşı önlem almak için tasarlanmıştır.

İki tür saldırı birleştirilebilir. Belgeye geçmiş bir olayda, Sırbistan’daki yetkililer, bir cihazı açmak için Cellebrite tarafından üretilen adli bir aracı kullandı ve ardından hedefi izlemeye devam etmek için casus yazılım yükledi.

İhlal Kaydı’nın sunulması, bir telefon üreticisinin güvenlik araştırmacılarına casus yazılım saldırılarını incelemeleri için yardımcı olmayı amaçlayan bir özellik sunmasıyla gerçekleşiyor. Android’in İhlal Kaydı, yazılımda bir sorun çıktığında hataları kaydeden yeni bir günlük oluşturarak şüpheli casus yazılım saldırıları hakkında daha fazla görünürlük sağlıyor.

Amnesty International, bu özelliğin geliştirilmesi için Google ile iş birliği yaptı ve İhlal Kaydı’nı “Android cihazlarda mevcut olan adli verilerin miktarını ve kalitesinde temel bir değişim” olarak nitelendirdi.

“Şimdiye kadar, adli analiz, ihlal tespiti için tasarlanmayan günlüklerle sınırlıydı,” Amnesty, İhlal Kaydı’nın nasıl çalıştığını detaylı bir şekilde açıklayan bir blog gönderisinde yazdı. Bu da araştırmacılar için daha önceki günlüklerin pek faydalı olmadığı anlamına geliyordu çünkü bu günlükler cihazda uzun süre kalmıyor ve sık sık üzerine yazılıyordu, bu da potansiyel saldırı kanıtlarını etkili bir şekilde silmiş oluyordu.

Amnesty’nin Güvenlik Laboratuvarı’nın başı Donncha Ó Cearbhaill, Android’in teknik sınırlarının “sistem günlüklerini ve dosyalarını derinlemesine analiz etmeyi zorlaştırdığını, iOS’a kıyasla” söyledi.

“Bu sınırlar, Android’e karşı bilinen saldırıları güvenilir bir şekilde tespit etme olağını ortadan kaldırıyordu,” dedi Ó Cearbhaill, yıllarca dünya çapında casus yazılım suistimalleri üzerine sayısız araştırma yaptığını belirterek.

İhlal Kaydı ile casus yazılım saldırılarını tespit etme yeteneği gelişmelidir. Google, bu özelliği bir yıl önce duyurdu, fakat şirket bunu sadece şimdi dağıtmaya başlıyor. Salı günü yayımlanan bir blogda, Google İhlal Kaydı’nın “şu anda Android 16 Aralık güncellemesi ve daha yenisini çalıştıran tüm cihazlara dağıtıldığını” belirtti.

İhlal Kaydı’nın Çalışma Prensibi

İhlal Kaydı, güvenlik ve potansiyel ihlallere ilişkin olayları kaydeder. Özellik, günlükleri günde bir kez oluşturur ve şifreli olarak kullanıcıların Google hesabında bulut ortamında saklar. Günlüklerin buluta yüklenmesi, potansiyel olarak casus yazılımın bir cihaz ihlali kanıtını silmesini önler. Günlükler ayrıca sadece kullanıcının erişip paylaşabileceği şekilde şifrelenmiştir; bu nedenle Google bu günlüklere erişemez.

İhlal Kaydı’nın takip ettiği olaylar arasında telefonun ne zaman açıldığı, hangi uygulamaların yüklendiği veya kaldırıldığı, telefonu hangi web siteleri ve sunucularla bağlantı kurduğu, Android Debug Bridge adlı bir aracın (bir adli aracın bir Android cihaza bağlanması gibi) kullanılıp kullanılmadığı ve bu olaylarla ilgili günlüğün silinmeye çalışıldığı gibi olaylar yer alır. Bu durum, bir saldırının kanıtını gizlemeye yönelik bir girişim olabileceğini gösterir.

Casus yazılım saldırısı durumunda, bu günlükler araştırmacılara ne zaman ve nasıl yetkililerin birisinin cihazına saldırdığı veya zorla açıp bir adli araca bağladıkları hakkında bilgi sağlayabilir. Ayrıca, bir telefonun kötü niyetli bir web sitesine bağlanıp bağlanmadığını veya telefonun verilerini çıkarmaya yönelik sunucuları ziyaret edip etmediğini belirleyebilir.

Ihlal Kaydı ileri bir adım olmasına rağmen bazı sınırlamalara sahiptir. Şu anda, Gelişmiş Koruma Modu’nu etkinleştirmekle birlikte, bu özellik yalnızca Android’in en son yazılım sürümünde bulunmakta ve sadece Google tarafından üretilen Pixel cihazlarında mevcuttur. Ayrıca cihazın bir Google hesabıyla bağlantılı olması gerekmektedir. İhlal Kaydı, kullanıcıların adli araştırmacılarla paylaşmak konusunda tedirgin olabileceği tarayıcı geçmişi ve bağlantı kayıtlarını da tutar.

Google, Gelişmiş Koruma Modu ve İhlal Kaydı’nın casus yazılım ve adli cihazlardan saldırı riski altında olabileceğini düşünen insanlar için tasarlandığını, bu gruba insan hakları savunucuları, aktivistler, gazeteciler ve muhaliflerin dâhil olduğunu belirtiyor. Gelişmiş Koruma Modu, hedef kullanıcılar için tasarlanmış olan Apple cihazlardaki Kilitli Mod’a benzer.

Mart ayında Apple, Kilitli Modu etkinleştirilmiş kullanıcılara karşı başarılı bir saldırı tespit edemediğini açıkladı. 2023 yılında Citizen Lab araştırmacıları, Kilitli Mod’un hedefe NSO’nun casus yazılımını bulaştırma girişimini engellediğini bildirdi.

Amnesty, eğer kullanıcı casus yazılıma maruz kalmışsa günlükleri indirmek için adım adım talimatları içeren bir blog gönderisi yayımladı. Apple, Google ve Meta, kullanıcılarına yıllardır tehdit bildirimleri göndermekte ve araştırmacılar bunun ihlalleri bulma ve açığa çıkarma konusunda kritik olduğunu belirtiyor.

Blink, yeni kablolu kapı zili ile kullanıcıların hayatını kolaylaştırmayı hedefliyor. Bu, markanın ilk yalnızca kablolu çalışan zili ve Blink Sync Modülüne ihtiyaç duymadan çalışabilme özelliği ile dikkat çekiyor. Önceki Blink kapı zilleri, küçük hub’a bağlı olarak ya çalışıyor ya da lityum AA pillerle enerji alıyordu. Yeni 2K bataryalı kapı zili ise bu özelliği sürdürüyor. Pillerin kaldırılması, daha kompakt bir tasarım sunarken, güç kesildiğinde yedek bir güç kaynağının olmaması da dikkate alınması gereken bir durum.

Yapay Zeka Destekli Video Açıklamaları

Kapı zili, yapay zeka destekli video açıklamaları sunuyor. Bu özellik, bulut tabanlı çalışıyor ve Blink’in yeni AI planlarından birine abone olmayı gerektiriyor.

• Temel AI Aboneliği: Aylık 6,99 $ / yıllık 69,99 $ (ilk yıl için 49,99 $ ile indirimli).
• Plus AI Aboneliği: Birden fazla cihaz için aylık 19,99 $ / yıllık 199,99 $ (ilk yıl için 149,99 $).

Eğer yapay zeka açıklamalarını istemiyorsanız, Blink’in standart planlarına da erişim sağlayabilirsiniz:

• Standart Planlar: Aylık 3,99 $ veya yıllık 39,99 $ per kamera, 60 gün video bulut depolama ve cihaz bazlı kişisel bildirimler içeriyor. Abone değilseniz yalnızca canlı görüntü, iki yönlü ses ve hareket bildirimleri alabilirsiniz.

Yerel Kayıt Seçenekleri

Kapı zili kameraları, ayrıca yerel kayıt için SD karta veya USB belleğe kaydedebilme opsiyonuna da sahip. Bu, Sync Module XR veya Sync Module 2 kullanarak gerçekleştiriliyor.

Evde güvenlik, teknolojiyle birleştiğinde oldukça pratik bir hale geliyor. Sizce, bu yeni kapı zili teknolojisi günlük yaşamınızı ne kadar kolaylaştırır?