Umožňuje spustit kód na Windows 7 a stsarších aniž by se uživatel cokoliv dozvěděl. Podrobnosti v Zoom zero-day flaw allows code execution on victim’s Windows machine
0day
Facebook pomohl FBI dopadnout může zneužívajícího děti. Hacknutím jeho počítače.
Facebook pomohl FBI dopadnout může zneužívajícího děti. Zaplatil bezpečnostním expertům vývoj pomůcky, která umožnila hacknout jeho počítač (používal Tails OS) a poté vše předali FBI. Do počítače se podařilo dostat pomocí 0day zranitelnosti. Detaily v Facebook Helped the FBI Hack a Child Predator
0day v Přihlašování přes Apple.
Chyba umožňovala hacknout účet na webu nebo v aplikaci, kde jste použili přihlášení přes Apple. Nyní již opraveno. Jeden z více důvodů proč nikdy „přihlášení přes“ (Google, Twitter, Apple, atd) nikdy nepoužívat. Viz Zero-day in Sign in with Apple
Mail pro iPhone/iPad je děravý a lze přes něj napadnout telefon.
Alespoň to tvrdí ZecOps (Apple iPhone May Be Vulnerable to Email Hack) a útok by neměl vyžadovat žádnou součinnost uživatele. Stačí poslat specificky navrženou zprávu a objevitelé navíc uvádějí, že zranitelnost je už dobré dva roky využívána.
Hackeři prodávají kritickou 0day zneužitelnost Zoomu za 500 tisíc dolarů.
Podle všeho by měly zranitelnosti navíc existovat dvě – jedna pro Windows, druhá pro MacOS. Měly by umožňovat hacknout uživatele a sledovat jeho hovory – v případě Windows by mělo navíc jít o RCE (Remote Code Execution) a tím teoreticky schopnou i napadení počítače – možná ale ne bez spojení s nějakou další dostupnou chybou. Viz Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000
0day v Androidu ovládne 4 modely Pixelu a zařízení od Samsungu, Motoroly a dalších výrobců
0day v Androidu ovládne 4 modely Pixelu a zařízení od Samsungu, Motoroly a dalších výrobců. Co navíc, je aktivně využíváno útočníky. Na mobil je možné zaútočit po instalaci aplikace (odjinud než z Google Play) nebo při brouzdaní přes mobilní Chrome. Viz Issue 1942: Android: Use-After-Free in Binder driver a Attackers exploit 0day vulnerability that gives full control of Android phones
0day ve Webkitu masově zneužit pro malvertising cílení na iOS a MAC.
0day ve Webkitu masově zneužit pro malvertising cílení na iOS a MAC. Po dobu šesti týdnů na uživatele operačních systémů od Apple mířila více než 1 miliardy inzerátů. A to jak pomocí děravého Safari, tak Chrome. Detaily najdete v Malvertiser ‘eGobbler’ Exploits Chrome & WebKit Bugs, Infects Over 1 Billion Ads
Google Project Zero objevil řetězec hacknutých webů útočících na 0day zranitelnosti iPhone
Google Project Zero objevil řetězec hacknutých webů útočících na 0day zranitelnosti iPhone a v případě úspěchu nasazujících do telefonu monitorovací štěnici. Web stačilo navštívit a vše proběhlo automaticky. Detaily v A very deep dive into iOS Exploit chains found in the wild
0day in Oracle Weblogic znamená, že chytíte malware aniž byste na cokoliv klikli.
0day in Oracle Weblogic znamená, že chytíte malware aniž byste na cokoliv klikli. Venku na internetu už více než týden a aktivně využíváno. Viz Zero-day attackers deliver a double dose of ransomware—no clicking required a Update about Weblogic CVE-2019-2725 (Exploits Used in the Wild, Patch Status)
0day v Internet Exploreru je dost zásadní problém. Souvisí s chybou zpracování MHT
0day v Internet Exploreru je dost zásadní problém. Souvisí s chybou zpracování MHT souborů, které jsou ve Windows namapované na zpracování přes IE. Takže i když máte nové Windows 10, tak se stále Internet Explorer může spustit a útočník se tak může dostat do vašeho počítače.
Řešení buď odstraněním asociace s .MHT soubory, ale ještě lepe odstraněním Internet Exploreru z Windows 10. Bohužel ze starších verzí Windows odstranit moc nepůjde. Opravu nečekejte, Microsoft IE opravovat nechce, možná až v některé aktualizaci Windows. Což znamená i to, že kód pro zneužití je dostupný online.
Viz Internet Explorer zero-day lets hackers steal files from Windows PCs a XML External Entity (XXE) Processing
