0day v jQuery pluginu aktivně zneužívána poslední tři roky. Oprava existuje, ale otázka je, kdy se rozšíří dostatečně. Problematický plugin je JQuery File Upload, umožňuje ovládnutí serveru. Nutno nepodceňovat, jde nejenom o jeden z nejoblíbenějších pluginů, ale také je zásadně rozšířený do dalších projektů v řadě dalších CMS/internetových dodatcích. Na YouTube dokonce najdete návody k…
Zero day v macOS HighSierra je založený na schopnosti klikat za uživatele myší. Viz Apple zero-day exposes macOS to Synthetic Mouse-Click attacks a The Mouse is Mightier than the Sword
0day v Adobe Flash, opět. Aktivně využívaný k útokům. Jestli ještě stále máte Flash v počítači, tak je nejvyšší čas ho dát pryč. Dorazit to může, jako v tomto případě, třeba jako Active-X v Excelu. Ale fantazii se možnosti nekladou. Viz Flash 0 Day In The Wild: Group 123 At The Controls K Flashi viz Jak…
0day zneužívá DDE pro útok na Microsoft Office aniž byste si všimli, že se něco děje. Viz Microsoft Office DDE zero-day: are you protected? a hlavně viz Microsoft Security Advisory 4053440, protože tam prozradí, jak vypnout část funkčnosti Office, která tohle umožňuje.
Další zásadní zranitelnost v Bluetooth ohrožuje či ohrožovala Android, Windows, iOS i Linux. Blueborne (PDF) je možné použít na dálku a bez nutnost aby oběť cokoliv dělala. 10 sekund stačí na to, aby útočník dostal na zařízení se zapnutým Bluetooth škodlivý kód. Ve Windows opraveno v červenci, Google v srpnu, kdy také opravu předal dalším…
Nový 0day v Microsoft Office umožní napadnout počítač jakmile oběť otevře Word/Excel/PowerPoint jinak, než v chráněném režimu (který by měl být zapnutý, ale víte jak to s uživateli Office chodí). Viz Acknowledgement of Attacks Leveraging Microsoft Zero-Day a Critical Office Zero-Day Attacks Detected in the Wild. Útok využívá OLE2link objekt, který vyvolá HTTP požadavek na…
Tizen má na 40 zero-day zranitelností, vcelku oprávněně tomu tedy v Samsung’s Android Replacement Is a Hacker’s Dream říkají, že jde o hackerský sen. Tak “užitečné” chyby, že můžete na dálku ovládnout telefon, tablet či jiné zařízení.
0day zranitelnost napadá desktopové počítače s Fedorou a Ubuntu. Stačí otevřít soubor s hudbou a útočník se může zmocnit vašeho počítače. Něco co doposud bylo hlavně otázkou Windows se tak masově objevuje i v Linuxu, hlavně ve dvou z nejvíce rozšířených distribucí. Viz Redux: compromising Linux using… SNES Ricoh 5A22 processor opcodes?!
Zranitelnosti i 0day na prodej a k prospěchu, třeba i k tomu, aby policie zlikvidoval web s dětským pornem. Dnes podobné věci (zranitelnost, 0day, bezpečnostní nedostatky, útočné kódy) prodávají desítky subjektů. A nakupující jsou velmi různorodí. V případu zranitelnosti v Tor sítí to vedlo k likvidaci webu s dětským pornem. A prodejce je Exodus Intel.…
OS X byl stejně nebezpečně (tři ukázkové 0day) děravý jako iOS. Oprava OS X ale přišla zhruba týden po novém iOSu 9.3.5. Viz New OS X security updates patch same zero-days as iOS 9.3.5 a záplatujte, Safari i OS X El Capitan i Yosemite jsou ukázkově děravé.