SQLite má bezpečnostní chybu. Zneužitelnou na webové stránce

SQLite má bezpečnostní chybu. Zneužitelnou na webové stránce a umožňující spustit škodlivý kód. SQLite najdete ve všem com používá Chromium (Chrome, Vivaldi, Opera, atd) ale i v dalším software. Ohroženy jsou i IoT zařízení (Google Home používá SQLite například také). Viz SQLite bug impacts thousands of apps, including all Chromium-based browsers

2018-12-15 21_50_45-Crash Chrome 70 with the SQLite Magellan bug _ Worth Doing Badly.png

Reklamy

Další chyba Facebooku zpřístupňovala data o uživatelích a jejich přátelích.

Další chyba Facebooku zpřístupňovala data o uživatelích a jejich přátelích. Tentokrát se k datům mohla dostat webová aplikace, která využila neautorizovaný přístup k API Facebooku. Celé to opět ukazuje, že Facebook není schopen zajistit bezpečí uživatelů. A také to, že Internet (a sociální sítě) je nutné brát jako veřejný prostor.

Zajímavé na útoku je, že útočníci získali přístup k vyhledávání pod účtem uživatele, který navštívil webovou stránku. Viz Another Facebook vulnerability could have exposed information about users and their friends a Patched Facebook Vulnerability Could Have Exposed Private Information About You and Your Friends

0day pro Virtualbox je zajímavý tím, že není nijak triviální.

0day pro Virtualbox je zajímavý tím, že není nijak triviální. Ale také tím, že objevitel chyby se rozhodl ji zveřejnit poté, co se u Oracle setkal s neochotou řešit předchozí bezpečnostní chyba a zásadně nevhodným přístupem k výskytům chyb v jejich software. Viz VirtualBox zero-day published by disgruntled researcher

Hacker (či hackeři) se dostali k 30 milionům účtu přes měsíce otevřenou bezpečnostní chybu na Facebooku

Hacker (či hackeři) se dostali k 30 milionům účtů přes měsíce otevřenou bezpečnostní chybu na Facebooku. Získali celkem 30 milionů kódů pro přístup k účtů (místo původně očekávaných 50 milionů), u 14 milionu přistoupili k základním infomracím a u 15 milionů k dalším informacím. Takto to alespoň tvrdí Facebook.  viz An Update on the Security Issue

2018-10-12 19_00_49-An Update on the Security Issue _ Facebook Newsroom.png

MITD aneb Man-in-the-Disk. Nový tip útoku na Android aplikace

MITD aneb Man-in-the-Disk. Nový tip útoku na Android aplikace založený na nevhodném užívání externího úložiště mobilními aplikacemi na Androidu. Princip je vlastně jednoduchý – stáhnete is zdánlivě neškodnou aplikaci, ta si vyžádá přístup na externí disk a najde tam aplikaci, kterou umí napadnout a zneužít. Nahraje tam data, která vykonají potřebné. Viz Man-in-the-Disk: A New Attack Surface for Android Apps

Man-in-the-Disk-Update-Flow.png

V CheckPointu zjistili, že síťové faxy lze hacknout prostě jen přes telefonní číslo

V CheckPointu zjistili, že síťové faxy lze hacknout prostě jen přes telefonní číslo. V některých případech už je objevená chyba opravená, ale pokud si uvědomíme, že tam někde venku je na 300 milionů čísel faxů, tak to může být docela napínavé. Viz Faxploit: Sending Fax Back to the Dark Ages

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.  Původce jsou výrobci, kteří zasahují do Androidu a navíc přidávají aplikace plné děr. Značnou měrou se podílí i laxní přístup k aktualizacím. Viz MILLIONS OF ANDROID DEVICES ARE VULNERABLE RIGHT OUT OF THE BOX

android_logo