Děravé Magento v podobě SQL injection bez nutnost být přihlášený.

Děravé Magento v podobě SQL injection bez nutnost být přihlášený. Využitelné ke kompletnímu ovládnutí správcovského účtu. Oprava existuje, ale jak už to tak bývá, po světě budou tisíce neaktualizovaných instalací. Viz SQL Injection in Magento Core, magento-exploits a Magento 2.3.1, 2.2.8 and 2.1.17 Security Update

 

2018-05-22 07_08_49-eCommerce Platforms _ Best eCommerce Software for Selling Online _ Magento

Reklamy

BuggyCow. 0 day pro Mac OS ukazující na konec jedné éry a mýtů o bezpečnosti.

BuggyCow. 0 day pro Mac OS ukazující na konec jedné éry a mýtů o bezpečnosti. Viz HACK BRIEF: GOOGLE REVEALS ‚BUGGYCOW,‘ A RARE MACOS ZERO-DAY VULNERABILITY a Issue 1726: XNU: copy-on-write behavior bypass via mount of user-owned filesystem image. Nejvíce nepříjemné je, že Apple ani po třech měsících od objevu chybu neřeší.

macos-sierra-desktop-home

Instagramu se rozbily počty sledujících, ve středu začaly rapidně padat dolů

Instagramu se rozbily počty sledujících, ve středu začaly rapidně padat dolů, pro větší účty i o miliony. Pro řadu postižených to byl zásadní šok a zavládla panika, že si snad Instagram (konečně) došlápl na záplavy falešných účtů a nakupování fanoušků. Viz Instagram confirms that a bug is causing follower counts to change

2019-02-13 17_10_39-Steve Bartlett on Twitter_ _INSTAGRAM FOLLOWER CULL 📉 Last night Instagram remo.png

Na sociálních sítích prostě nemůžete věřit tomu co tam vidíte. Takhle vypadá panika z postihu za fake sledující. 

Specificky vytvořené PNG může umožnit napadnout Android

Specificky vytvořené PNG může umožnit napadnout Android. Pokud chcete více podrobnosti tak Viz CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988 (prozatím ve stavu „rezervováno, Google detaily prozatím nezveřejnil). V únorových aktualizacích je ale bezpečnostních chyb více, včetně těch co také umožňují na zařízení spustit kód.  Týkají se Androidů v sedmé, osmé a deváté verzi.  Viz Android Security Bulletin — February 2019 a zajímavé je, že chyby se do Androidu dostaly přes Open Source toolkit Skia, který se využívá i v Chrome a ChromeOS. Založené je to klasicky na neošetřených vstupech a možnosti vyvolat pád, který za jistých okolnosti může znamenat, že dojde ke spuštění vlastního kódu.  Viz též Android vulnerabilities open Pie to booby-trapped image attacks

2019-02-11 20_50_34-Android Security Bulletin — February 2019  _  Android Open Source Project.png

 

Apple se o zásadní bezpečnostní chybě ve FaceTime dozvědělo týden před rozšířením.

Apple se o zásadní bezpečnostní chybě ve FaceTime dozvědělo týden před rozšířením. Informace, která moc nepřekvapí. Praktický žádná firma nemá „příjem“ bezpečnostních chyb nastavený tak, aby opravdu fungoval. Primárním cílem je odradit co nejvíce těch, co „nahlašují“ chyby. Celé je to navíc založeno na tom, že lidé co tato hlášení přijímají zpravidla vůbec netuší co se k nim dostane. Určitým způsobem logické, „falešných“ nahlášení je záplava. Celé se to ale hroutí, když se objeví něco zcela zásadního. Třeba právě jako ona absurdní „díra“ ve FaceTime. Viz Apple was warned of the FaceTime bug over a week ago kde zjistíte, že psát Timu Cookovi na Twitteru je vlastně totéž, jako psát do černé díry. A také to, že pokoušet se oslovit Apple (a kohokoliv dalšího) e-mailem je prakticky nemožné. Prostě černá díra.

2019-01-29 20_57_54-window2019-01-29 20_58_03-window

 

Apple vypnulo skupinové Facetime, byla tam zásadní bezpečnostní chyba. Kompletní možnost odposlechu

Apple vypnulo skupinové Facetime, byla tam zásadní bezpečnostní chyba. Stačilo někomu zavolat a pokud druhá strana na hovor nereagovala slyšeli (a klidně i viděli) jste vše co se v okolí mobilu odehrává. Viz Apple disables group calling in FaceTime in response to eavesdropping bug a Nasty FaceTime bug could allow others to eavesdrop on your microphone or camera. Vzhledem k zásahu Apple tedy není nutné vypínat FaceTime.  Pokud chcete vědět jak to fungovalo, tak postup je popsaný v Major iPhone FaceTime bug lets you hear the audio of the person you are calling … before they pick up