0day pro Microsoft Office má dočasné řešení. chyba pojmenovaná Follina umožňuje útočníkům spustit kód v zařízení uživatele aniž by ten cokoliv věděl a udělat – stačí otevřít Office dokument či si jen zobrazit náhled. Dočasné řešení spočívá z zákazu MSDT URL protokolu. Detaily v Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability a Zero day…
Apple vydalo opravu pro dvojici 0day aktivně používaných pro hack iPhone/iPad i Mac.
Chrome byste měli aktualizovat, je v něm nebezpečná 0day chyba. Viz Stable Channel Update for Desktop a Emergency Google Chrome update fixes zero-day used in attacks. To že jste na opravené verzi poznáte pomocí čísla verze – 99.0.4844.84
Děravé Log4j je stále součástí až třetiny stahovaného software. Ačkoliv se o závažné chybě ví od prosince 2021 (0day v Log4j ohrožuje Minecraft a záplavu dalšího software běžícího na Javě), řada projektů stále obsahuje děravou verzi a jsou aktivně využívány.
Další děravá dětská chůvička. 0day v Nooie zpřístupňuje video a umožňuje na dálku spustit kód. Podle počtu instalaci v Google Play jde o široce používané zařízení. .
Nový 0day v Chrome je aktivně používán pro útoky. Pokud jste tedy ještě neaktualizovali (od pondělí je k dispozici opravená verze, 98.0.4758.102), tak to udělejte co nejdříve. V roce 2021 se v Chrome objevilo 17 0day chyb.
Apple (opět) muselo vydat opravu. Webkit měl aktivně zneužívaný 0day na iPhone, iPadu i Mac OS. CVE-2022-22620 je tak třetí 0day opravu v tomto roce.
0day v Log4j ohrožuje Minecraft a záplavu dalšího software běžícího na Javě. Problém s Log4j je, že je to velmi rozšířený open source pomůcka pro logování. Úměrně tomu to vyvolalo zájem hackerů, takže už probíhají masivní hledání napadnutelných strojů přes Internet. Detaily i v CVE-2021-44228 a Log4Shell: RCE 0-day exploit found in log4j2, a popular…
Společnost Google přistihla hackery, kteří použili Mac 0day proti hongkongským uživatelům a podle charakteru útoku jde o vládou podporovaného hráče. Samotný útok přicházel skrz webové stránky, které v IFRAME skrývaly kód pro iOS a Mac OS. Detaily v Analyzing a watering hole campaign using macOS exploits
0day přes XSS v Apple Airtags zní jako dost zajímavá věc. Jenže Apple opravdu zapomnělo na to, že do políčka pro telefon je možné dát cokoliv. Včetně <script></script> odkazujícího kamkoliv chcete.