File Manager pro WordPress je děravý, zneužitelný na dálku. Jde přitom o poměrně užívané rozšíření. Vlastně také dost dobrá ukázka proč u přístupu k souborům na serveru zůstat u zabezpečeného SFTP/SSH. Via Critical zero-day vulnerability fixed in WordPress File Manager (700,000+ installations).
Tag Archives: 0day
XCSSET malware pro Mac se šíří přes Xcode projekty a využívá 0day
XCSSET malware pro Mac se šíří přes Xcode projekty a využívá 0day ve WebKitu, Data Vault a umí toho docela hodně. Detaily v PDF od Trend Micro. Shrnutí v Mac malware spreads through Xcode projects, abuses WebKit, Data Vault vulnerabilities
Zoom má (opět) 0day.
Umožňuje spustit kód na Windows 7 a stsarších aniž by se uživatel cokoliv dozvěděl. Podrobnosti v Zoom zero-day flaw allows code execution on victim’s Windows machine
Facebook pomohl FBI dopadnout může zneužívajícího děti. Hacknutím jeho počítače.
Facebook pomohl FBI dopadnout může zneužívajícího děti. Zaplatil bezpečnostním expertům vývoj pomůcky, která umožnila hacknout jeho počítač (používal Tails OS) a poté vše předali FBI. Do počítače se podařilo dostat pomocí 0day zranitelnosti. Detaily v Facebook Helped the FBI Hack a Child Predator
0day v Přihlašování přes Apple.
Chyba umožňovala hacknout účet na webu nebo v aplikaci, kde jste použili přihlášení přes Apple. Nyní již opraveno. Jeden z více důvodů proč nikdy „přihlášení přes“ (Google, Twitter, Apple, atd) nikdy nepoužívat. Viz Zero-day in Sign in with Apple
Mail pro iPhone/iPad je děravý a lze přes něj napadnout telefon.
Alespoň to tvrdí ZecOps (Apple iPhone May Be Vulnerable to Email Hack) a útok by neměl vyžadovat žádnou součinnost uživatele. Stačí poslat specificky navrženou zprávu a objevitelé navíc uvádějí, že zranitelnost je už dobré dva roky využívána.
Hackeři prodávají kritickou 0day zneužitelnost Zoomu za 500 tisíc dolarů.
Podle všeho by měly zranitelnosti navíc existovat dvě – jedna pro Windows, druhá pro MacOS. Měly by umožňovat hacknout uživatele a sledovat jeho hovory – v případě Windows by mělo navíc jít o RCE (Remote Code Execution) a tím teoreticky schopnou i napadení počítače – možná ale ne bez spojení s nějakou další dostupnou chybou. Viz Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000
0day v Androidu ovládne 4 modely Pixelu a zařízení od Samsungu, Motoroly a dalších výrobců
0day v Androidu ovládne 4 modely Pixelu a zařízení od Samsungu, Motoroly a dalších výrobců. Co navíc, je aktivně využíváno útočníky. Na mobil je možné zaútočit po instalaci aplikace (odjinud než z Google Play) nebo při brouzdaní přes mobilní Chrome. Viz Issue 1942: Android: Use-After-Free in Binder driver a Attackers exploit 0day vulnerability that gives full control of Android phones
0day ve Webkitu masově zneužit pro malvertising cílení na iOS a MAC.
0day ve Webkitu masově zneužit pro malvertising cílení na iOS a MAC. Po dobu šesti týdnů na uživatele operačních systémů od Apple mířila více než 1 miliardy inzerátů. A to jak pomocí děravého Safari, tak Chrome. Detaily najdete v Malvertiser ‘eGobbler’ Exploits Chrome & WebKit Bugs, Infects Over 1 Billion Ads
Google Project Zero objevil řetězec hacknutých webů útočících na 0day zranitelnosti iPhone
Google Project Zero objevil řetězec hacknutých webů útočících na 0day zranitelnosti iPhone a v případě úspěchu nasazujících do telefonu monitorovací štěnici. Web stačilo navštívit a vše proběhlo automaticky. Detaily v A very deep dive into iOS Exploit chains found in the wild
