Zyxel opravil zásadní bezpečnostní chybu.

Zyxel opravil zásadní bezpečnostní chybu. Ta umožňovala na firewallu/routeru otevřít web shell a získat tak kompletní kontrolu. stačilo poslat http/https požadavek na zařízení. Týká se určitých modelů firewallů. Viz CVE-2022-30525 a Zyxel silently patches command-injection vulnerability with 9.8 severity rating

Qualcomm a MediaTek nechali roky kritickou chybu v ALAC

Qualcomm a MediaTek nechali roky kritickou chybu v ALAC, Apple Lossless Audio Codecu. Totožnou chybu přitom Apple opravilo už před roky, ale Qualcomm a MediaTek používá vlastní open-source variantu. Chyba byla zneužitelná pro kompletní ovládnutí zařízení a týkala se prakticky 95 prodent zařízení s Androidem v USA. Detaily v Largest Mobile Chipset Manufacturers used Vulnerable…

GitLab opravil kritickou zranitelnost. Umožňovala krást účty.

GitLab opravil kritickou zranitelnost. Umožňovala krást účty. Pro některé účty je nutný reset hesel. Dobrá zpráva je, ale že se nepodařilo zjistit, že by chyba byla využita. Detaily v GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7

Tři roky děravé kamery Wyze. Volný přístup na SD kartu ze sítě

Tři roky děravé kamery Wyze. Volný přístup na SD kartu ze sítě, takže pokud jste dali Wyze kartu na Internetu, tak pro kohokoliv. Jinak pr kohokoliv z lokální sítě. Včetně další chyby umožňující spouštět kód. Neuvěřitelně laxní přístup k bezpečnosti. Detaily ve Vulnerabilities Identified in Wyze Cam IoT Device

Děravé Log4j je stále součástí až třetiny stahovaného software.

Děravé Log4j je stále součástí až třetiny stahovaného software. Ačkoliv se o závažné chybě ví od prosince 2021 (0day v Log4j ohrožuje Minecraft a záplavu dalšího software běžícího na Javě), řada projektů stále obsahuje děravou verzi a jsou aktivně využívány.