Aktuality - Slabá místa

Zpět do 'Aktuality'

Apple má opět problémy s neoprávněným přístupem k zamčeným iPhonům

21.3.2013 | .cCuMiNn.

Je tomu teprve pár dní, co Apple vydal záplatu na dříve odhalenou zranitelnost zařízení iPhone [link] , která umožňovala obejít bezpečnostní zámek zařízení, a už zde máme oznámen nový bug, který rovněž umožní získat přístup k adresáři a volání, i přesto, že byl přístroj v uzamčeném stavu. V odkazovaném článku je obsaženo také video zachycující celý postup vedoucí k neoprávněnému přístupu.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3055x | Rate: 0/0


Jak se dostat do zamčeného Samsung Galaxy S III

8.3.2013 | .cCuMiNn.

Sean McMillan objevil novou zranitelnost telefonu Samsung Galaxy S III. Jednoduchým způsobem je totiž možné obejít zamknutou obrazovku a získat tak přístup ke všem datům v telefonu.

Postup:
- Během vkládání bezpečnostního kódu přejít na Tísňové volání
- Kliknout na Nouzové kontakty
- Stisknout Domů
- Ihned po stisku tlačítka Domů stisknout tlačítko napájení
- Opakovaným stiskem tlačítka napájení se dostanete na domácí obrazovku.


Možná bude potřeba tento postup opakovat několikrát, než se útok podaří.

Rubrika: Slabá místa | Comments: 0 | Viewed: 4914x | Rate: 1/1

Další chyba v Ruby on Rails

12.2.2013 | phr3akDom

V populárním frameworku Ruby on Rails byla nalezena další chyba, která umožňuje mimo jiné SQL injection. Informoval o ní Thomas Hollstege.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3595x | Rate: 0/0

Byla odhalena další 0-day zranitelnost Javy

11.1.2013 | .cCuMiNn.

Nová zero-day zranitelnost Javy je již aktivně využívána ke kompromitaci uživatelských počítačů. Exploity, které tuto zranitelnost zneužívájí, byly přidány do známých exploit kitů Blackhole a Cool EK.

Nejlepší způsob, jak se proti útokům bránit, je zakázat všechny Java pluginy ve vašich systémech. Oracle totiž zatím neuvolnila patch, který by slabé místo v zabezpečení řešil. Jeho vydání je plánováno až na 19.února v rámci pravidelného čtvrtletního cyklu pro vydávání opravných balíčků.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3278x | Rate: 0/0

Ruby on Rails a kritické zranitelnosti

10.1.2013 | .cCuMiNn.

Od nového roku bylo ve známém frameworku Ruby on Rails odhaleno již několik kritických zranitelností. V minulém týdnu se jednalo o oznámení náchylnosti na SQL injection a nyní se k této hrozbě přidala ještě možnost spuštění libovolného kódu nebo DoS.

Je nanejvýš důležité, aby správci upgradovali na nejnovější verze Ruby on Rails 3.2.11, 3.1.10, 3.0.19, 2.3.15, v nichž jsou tyto zranitelnosti již ošetřeny.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3201x | Rate: 0/0

XSS zranitelost v Yahoo! Mail umožňuje session stealing

9.1.2013 | .cCuMiNn.

Shahin Ramezany zveřejnil video [link] zachycující únos sezení uživatelů Yahoo! Mailu. Útok zneužívá DOM-based XSS zranitelnost a je funkční ve šech prohlížečích.

Během útoku je oběti zaslán do jeho poštovní schránky odkaz na webovou stránku s připraveným skriptem, který se postará o krádež obsahu cookies, jakmile uživatel odkaz navštíví.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3432x | Rate: 0/0

Microsoft oznámil, že teto měsíc neopraví nedávno objevenou 0-day zranitelnost pro IE

8.1.2013 | .cCuMiNn.

Microsoft se v pátek chystá (v rámci pravidelného termínu) uvolnit záplaty pro sedm zranitelností v jeho produktech. Nedávno objevenou 0-day zranitelnost Internet Exploreru, která je aktivně využívána útočníky ovšem neřeší.

Microsoft sice již před časem vydal Fix It řešení, které je ovšem dle odborníků vadné, neboť lze zranitelnost využít i jinými cestami.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2648x | Rate: 0/0

Facebook útočníkům umožňoval šmírování přes webkameru

7.1.2013 | .cCuMiNn.

Na CSRF zranitelnost, která se nacházela ve flashové komponentě pro přehrávání videa uporoznili již před čtyřmi měsíci Aditya Gupta a Subho Halder. Je s podivem, že teprve nyní (po tak dlouhé době) Facebook tento bug zalátal.

Zranitelnost přitom byla poměrně závažná. Umožňovala útočníkům převzít kontrolu nad webovou kamerou uživatelů, kteří navštívili připravenou webovou stránku. Nahraná videa bylo současně možné vkládat do cizích facebookových profilů, bez vědomí jejich majitelů.

Rubrika: Slabá místa | Comments: 1 | Viewed: 3349x | Rate: 0/0

BSI varuje před zranitelností ve VLC Media playeru

4.1.2013 | .cCuMiNn.

Oblíbený multimediální přehrávač VLC obsahuje chybu, která umožňuje vykonat kód s právy uživatele, pod kterými je přehrávač spuštěn.

Náchylné jsou verze do 2.0.5 pro operační systémy Windows, Linux i Mac OS. BSI důrazně doporučuje stáhnout nejnovější verzi VLC Media playeru, ve které je uvedená chyba již opravena.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3293x | Rate: 0/0

Facebook vyplatil 3.500$ za nahlášenou XSS zranitelnost

4.1.2013 | .cCuMiNn.

Frans Rosén odhalil na Facebooku XSS zranitelnost náhodou, když testoval zranitelnosti na Dropboxu.

Frans se nejprve pokoušel na Dropbox nahrát soubor s názvem:
'"><img src=x onerror=alert(document.domain)>.txt,
na čež mu bylo sděleno, že obsahuje nepovolené znaky. Když však stejným způsobem pojmenoval lokální soubor a spustil synchronizaci s Dropboxem, útok se mu podařil.

Později si ještě všiml, že existuje souvislost mezi Dropboxem a Facebookem: Je možné přidat soubory z Dropboxu přímo k Facebook skupinám.
Když pak klikl na odkaz sdílet podařilo se mu skript umístěný ve jménu souboru z Dropboxu spustit i na Facebooku.

Facebook v rámci svého programu pro oznamování zranitelností vyplatil Fransovi za nahlášení tohoto XSS odměnu ve výši 3.500$.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2661x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22