Specificky vytvořené PNG může umožnit napadnout Android

Specificky vytvořené PNG může umožnit napadnout Android. Pokud chcete více podrobnosti tak Viz CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988 (prozatím ve stavu „rezervováno, Google detaily prozatím nezveřejnil). V únorových aktualizacích je ale bezpečnostních chyb více, včetně těch co také umožňují na zařízení spustit kód.  Týkají se Androidů v sedmé, osmé a deváté verzi.  Viz Android Security Bulletin — February 2019 a zajímavé je, že chyby se do Androidu dostaly přes Open Source toolkit Skia, který se využívá i v Chrome a ChromeOS. Založené je to klasicky na neošetřených vstupech a možnosti vyvolat pád, který za jistých okolnosti může znamenat, že dojde ke spuštění vlastního kódu.  Viz též Android vulnerabilities open Pie to booby-trapped image attacks

2019-02-11 20_50_34-Android Security Bulletin — February 2019  _  Android Open Source Project.png

 

Reklamy

Chyba v aplikaci Twitteru vypínala nastavení účtu jako soukromý.

Chyba v aplikaci Twitteru vypínala nastavení účtu jako soukromý. Kdykoliv se někdo s účtem přepnutým na privátní vydal do nastavení změnit některé z parametrů, tak došlo k vypnutí nastavení účtu jako soukromý. Pikantní na tom je, že tahle chyba se objevila v roce 2014 a vydržela až do ledna 2019. Nic jiného než klasická připomínka, že na Internetu soukromí neexistuje. Viz An issue with protected Tweets on Twitter for Android

TIP: 15 kroků, jak nastavit soukromí na Twitteru se vám bude určitě hodit. Účtů nastavených jako soukromé se týká Mohu mít na Twitteru soukromý, uzavřený účet? Jak to funguje?

2019-01-18 07_00_42-Window.png

Populární plugin pro WordPress umožňoval ukrást účet na Twitteru

Populární plugin pro WordPress umožňoval ukrást účet na Twitteru – plný přístupový token k Twitteru plugin vkládal do HTML kódu. Těžko pochopitelné jak něco takového mohlo někoho vůbec napadnout. Co hůře, autoři plugin nejenom neopravili, ale ani nekomunikují. Viz A popular WordPress plugin leaked access tokens capable of hijacking Twitter accounts, CVE-2018-20555 a Social Network Tabs – což je přesně to, co musíte z vašeho WordPressu okamžitě odstranit. Otázkou je, proč to vůbec někdo použil, poslední aktualizace je ze srpna 2018. A také nezapomenout na účtu na Twitteru odebrat práva příslušné aplikaci.

DxGjMITV4AATkAW.jpg

SQLite má bezpečnostní chybu. Zneužitelnou na webové stránce

SQLite má bezpečnostní chybu. Zneužitelnou na webové stránce a umožňující spustit škodlivý kód. SQLite najdete ve všem com používá Chromium (Chrome, Vivaldi, Opera, atd) ale i v dalším software. Ohroženy jsou i IoT zařízení (Google Home používá SQLite například také). Viz SQLite bug impacts thousands of apps, including all Chromium-based browsers

2018-12-15 21_50_45-Crash Chrome 70 with the SQLite Magellan bug _ Worth Doing Badly.png

Další chyba Facebooku zpřístupňovala data o uživatelích a jejich přátelích.

Další chyba Facebooku zpřístupňovala data o uživatelích a jejich přátelích. Tentokrát se k datům mohla dostat webová aplikace, která využila neautorizovaný přístup k API Facebooku. Celé to opět ukazuje, že Facebook není schopen zajistit bezpečí uživatelů. A také to, že Internet (a sociální sítě) je nutné brát jako veřejný prostor.

Zajímavé na útoku je, že útočníci získali přístup k vyhledávání pod účtem uživatele, který navštívil webovou stránku. Viz Another Facebook vulnerability could have exposed information about users and their friends a Patched Facebook Vulnerability Could Have Exposed Private Information About You and Your Friends