Valve opravilo bezpečnostní chybu ve Steam klientech.

Umožňovala vzdálené spuštění kódu (RCE) a to jenom formou poslání poškozeného UDP paketu. Objevena byla 20. února a opravu Valve dalo dohromady do 12 hodin (pro beta klienty) a do ostrých verzí se dostala 4. dubna. Viz Valve Patches Security Bug That Existed in Steam Client for the Past Ten Years

Reklamy

Americký T-Mobile ponechal na nezabezpečeném webu přístup k informacím o zákaznících

. Jména, adresy, daňové identifikace a další zákaznické informace byly volně dostupné na servisním webu, stačilo jenom do parametru v adrese přidávat telefonní číslo. Portál nevyžadoval žádné přihlášení, jeho tvůrci si možná mysleli, že když nikde nebude adresa zveřejněna, nikdo se na něj nedostane. Ale jak už to tak chodí, nakonec se objevil dokonce ve vyhledávání. Jedna z praktických ukázek toho, že ani sebe tvrdší GDRP nezabrání důsledku lidské hlouposti. Viz An unsecured T-Mobile website made customer information available to anyone a T-Mobile bug let anyone see any customer’s account details

2018-05-25 05_46_57-T-Mobile CARE.png

Američtí mobilní operátoři prodávají lokační data zákazníků.

Přístup je k aktuální poloze lidí. Přišlo se na to tím, že ex-šerif přistpoval k těmto datům bez soudního povolení. Důležité jméno zde je společnost LocationSmart, která přístup k datům od operátorů umožňuje dalším subjektům. A také to, že tamní zákony jsou takové trochu zvláštní, operátorům zakazují předávat data vládě (bez rozhodnutí soudu), ale dalším společnostem je předávat mohou bez omezení (a tyto další společnosti je mohou vládě předat bez omezení).

Viz Statement Regarding Recently Reported Security Incident kde se LocationSmart navíc vyjadřuje k bezpečnostní chybě, která umožňovala prakticky komukoliv se dostat k datům. K otázce prodeje údajů viz US cell carriers are selling access to your real-time phone location data

2018-05-21 09_48_03-LocationSmart® _ Location Services _ Mobile Location _.png

Prakticky všechny operační systémy zasaženy vážnou bezpečnostní chybou.

Pikantní na ní je, že v popisu se uvádí, že na vině je to, že si jejich tvůrci buď špatně přečetli dokumentaci nebo ji nepochopili. Viz Microsoft Windows, Apple macOS, Linux, BSD: All hit by same ‚serious‘ security flaw a Vulnerability Note VU#631579 Hardware debug exception documentation may result in unexpected behavior

2018-05-09 16_41_23-Window.png

400 webů s Drupalem nakaženo a v skrytu těží kryptoměny.

Pokud provozujete něco na Drupalu, tak je možná čas se podívat, jestli tam nemáte nezvaného hosta. Mezi napadené patří vládní weby v USA, Lenovo, UCLA. Viz Nearly 400 Drupal sites infected with malware that secretly mines cryptocurrency a hlavně Large cryptojacking campaign targeting vulnerable Drupal websites jde zjistíte, jak se Coinhive na weby dostává.

DcYrSspU8AAL5bc.jpg

Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč

Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč a odemykat cokoliv, ať už jde o pokoje, výtahy, garáže. Objev F-Secure vyprovokovala krádež notebooku z pokoje, kde v systému nebyla ani stopa po odemčení. Na téhle poměrně dost velké kauze je zábavné i to, jak Assa Abloy zesměšňuje tým v F-Secure a snaží se vyvolat dojem, že žádný problém vlastně neexistuje. Viz Hotel door locks worldwide were vulnerable to hack a F-SECURE RESEARCHERS: MASTER KEYS TO HOTELS CAN BE CREATED ‘OUT OF THIN AIR’

2018-04-25 18_51_58-Researchers Find Way to Create Master Keys to Hotels – Safe and Savvy Blog by F-.png