WP Statistics plugin pro WordPress má díru přes SQL Injection

WP Statistics plugin pro WordPress má díru přes SQL Injection. Což je dost vážně a zásadní důvod proč aktualizovat. Viz SQL Injection Vulnerability in WP Statistics a jako vždy je čas připomenout, že čím méně pluginů si do WordPressu přidáte, tím lépe uděláte. Většina těch co používají WordPress si dokáže web zaplavit zcela zbytečnými věcmi.…

Facebook prozradil identitu moderátorů podezřelým z terorismu.

Facebook prozradil identitu moderátorů podezřelým z terorismu. Najde přitom o žádnou maličkost, prozrazení se týkalo více než 1000 lidí a jeden z nich je v ohrožení života. Chyba byla v software, které moderátoři používali a jejich identita se pak ukazovalo v případech zásahů proti správcům skupin. Uvážíte-li ještě to jak mizerně těmto lidem (kteří ani…

Jak se bránit před útokem WanaCry?

Pokud máte napadnutelný stroj, tak je nutné okamžitě záplatovat, pokud nemůžete, tak zajistit blokování přístupu (TCP/UDP) k portům 138/139/445 a zakázat SMBv1

Šíření WanaCrypt0r ransomware se podařilo zastavit registrací domény.

Šíření WanaCrypt0r ransomware se podařilo zastavit registrací domény. Pokud vám to připadá zvláštní, tak uvnitř kódu byl “kill switch”, tedy poslání požadavku na určitou doménu, který pokud by uspěl, zastaví další šíření ransomware. Jak uvádí ‘Accidental hero’ finds kill switch to stop spread of ransomware cyber-attack zjištění z analýzy vedlo k registraci domény a tím…

Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě

Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě. Mezi napadenými je například řada nemocnic v Anglii, které kvůli tomu přestaly fungovat. Předpokládá se, že útok umožnila chyba ve Windows, kterou využívalo i NSA a útočné pomůcky se objevily v nedávném úniku (viz ShadowBrokers a Equation Group a MS17-010). WanaCrypt0r 2.0 (WannaCry) se podle Avastu…

Intel opravil zranitelnost umožňující vzdálené ovládnutí firemních počítačů

Intel opravil zranitelnost umožňující vzdálené ovládnutí firemních počítačů. To je dobrá část zprávy, ta špatná je, že to trvalo devět let. Viz Intel patched a nine-year-old vulnerability that allowed remote control of enterprise PCs a Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege. Ne zcela dobré je samozřejmě…

LastPass je opět děravý a je možné vykrádat hesla i spouštět kód.

LastPass je opět děravý a je možné vykrádat hesla i spouštět kód. Viz Potent LastPass exploit underscores the dark side of password managers a objevitel je opět Tavis Ormandy. Tweet ve kterém objev oznámil je velmi zábavné vlákno na čtení. Z Security Update for the LastPass Extension plyne, že by problém měl být již vyřešen,…

LastPass děravý a na nápravě se pracuje.

LastPass děravý a na nápravě se pracuje. Napadnout se prý dá pomocí dvou řádek JavaScriptu a je možné na dálku spouštět kód i dostat se k uloženým heslům. Objevitelem je Tavis Ormandy a není to jeho první objev bezpečnostního nedostatku v LastPass. Informace o chybě by měl LastPass brzy zveřejnit na svém blogu. Hodit se…