0day pro Microsoft Office (Follina) má dočasné řešení.

0day pro Microsoft Office má dočasné řešení. chyba pojmenovaná Follina umožňuje útočníkům spustit kód v zařízení uživatele aniž by ten cokoliv věděl a udělat – stačí otevřít Office dokument či si jen zobrazit náhled. Dočasné řešení spočívá z zákazu MSDT URL protokolu. Detaily v Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability a Zero day…

Zyxel opravil zásadní bezpečnostní chybu.

Zyxel opravil zásadní bezpečnostní chybu. Ta umožňovala na firewallu/routeru otevřít web shell a získat tak kompletní kontrolu. stačilo poslat http/https požadavek na zařízení. Týká se určitých modelů firewallů. Viz CVE-2022-30525 a Zyxel silently patches command-injection vulnerability with 9.8 severity rating

Qualcomm a MediaTek nechali roky kritickou chybu v ALAC

Qualcomm a MediaTek nechali roky kritickou chybu v ALAC, Apple Lossless Audio Codecu. Totožnou chybu přitom Apple opravilo už před roky, ale Qualcomm a MediaTek používá vlastní open-source variantu. Chyba byla zneužitelná pro kompletní ovládnutí zařízení a týkala se prakticky 95 prodent zařízení s Androidem v USA. Detaily v Largest Mobile Chipset Manufacturers used Vulnerable…

GitLab opravil kritickou zranitelnost. Umožňovala krást účty.

GitLab opravil kritickou zranitelnost. Umožňovala krást účty. Pro některé účty je nutný reset hesel. Dobrá zpráva je, ale že se nepodařilo zjistit, že by chyba byla využita. Detaily v GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7

Tři roky děravé kamery Wyze. Volný přístup na SD kartu ze sítě

Tři roky děravé kamery Wyze. Volný přístup na SD kartu ze sítě, takže pokud jste dali Wyze kartu na Internetu, tak pro kohokoliv. Jinak pr kohokoliv z lokální sítě. Včetně další chyby umožňující spouštět kód. Neuvěřitelně laxní přístup k bezpečnosti. Detaily ve Vulnerabilities Identified in Wyze Cam IoT Device