Firemní VPN řešení jsou děravá.

Firemní VPN řešení jsou děravá. Objevili to výzkumníci z Devcore a jde o řešení od Fortinetu, Palo Alto Networks, Pulse Secure, tedy poskytoval VPN řešení, co by skutečně měla být bezpečné. Podle zjištění je ale jejich zneužit snadné. Viz Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!

cover.png

Reklamy

Další chyba v Mac OS umožní útočníkovi odklikat bezpečnostní výzvy

Další chyba v Mac OS umožní útočníkovi odklikat bezpečnostní výzvy a dostat se tak hlouběji do počítače, ke kameře, mikrofonu, geolokačním informací či zprávám. Už minimálně jednou tuhle chybu Apple opravovalo, opět je ale zpět. Bezpečnostní výzvy přitom Apple i na posledním WWDC představuje jako zásadní bezpečnostní opatření a výhodu. Viz ANOTHER MAC BUG LETS HACKERS INVISIBLY CLICK SECURITY PROMPTS

aperture-macbook-pro-800x424

Děravé Magento v podobě SQL injection bez nutnost být přihlášený.

Děravé Magento v podobě SQL injection bez nutnost být přihlášený. Využitelné ke kompletnímu ovládnutí správcovského účtu. Oprava existuje, ale jak už to tak bývá, po světě budou tisíce neaktualizovaných instalací. Viz SQL Injection in Magento Core, magento-exploits a Magento 2.3.1, 2.2.8 and 2.1.17 Security Update

 

2018-05-22 07_08_49-eCommerce Platforms _ Best eCommerce Software for Selling Online _ Magento

BuggyCow. 0 day pro Mac OS ukazující na konec jedné éry a mýtů o bezpečnosti.

BuggyCow. 0 day pro Mac OS ukazující na konec jedné éry a mýtů o bezpečnosti. Viz HACK BRIEF: GOOGLE REVEALS ‚BUGGYCOW,‘ A RARE MACOS ZERO-DAY VULNERABILITY a Issue 1726: XNU: copy-on-write behavior bypass via mount of user-owned filesystem image. Nejvíce nepříjemné je, že Apple ani po třech měsících od objevu chybu neřeší.

macos-sierra-desktop-home

Instagramu se rozbily počty sledujících, ve středu začaly rapidně padat dolů

Instagramu se rozbily počty sledujících, ve středu začaly rapidně padat dolů, pro větší účty i o miliony. Pro řadu postižených to byl zásadní šok a zavládla panika, že si snad Instagram (konečně) došlápl na záplavy falešných účtů a nakupování fanoušků. Viz Instagram confirms that a bug is causing follower counts to change

2019-02-13 17_10_39-Steve Bartlett on Twitter_ _INSTAGRAM FOLLOWER CULL 📉 Last night Instagram remo.png

Na sociálních sítích prostě nemůžete věřit tomu co tam vidíte. Takhle vypadá panika z postihu za fake sledující. 

Specificky vytvořené PNG může umožnit napadnout Android

Specificky vytvořené PNG může umožnit napadnout Android. Pokud chcete více podrobnosti tak Viz CVE-2019-1986, CVE-2019-1987 a CVE-2019-1988 (prozatím ve stavu „rezervováno, Google detaily prozatím nezveřejnil). V únorových aktualizacích je ale bezpečnostních chyb více, včetně těch co také umožňují na zařízení spustit kód.  Týkají se Androidů v sedmé, osmé a deváté verzi.  Viz Android Security Bulletin — February 2019 a zajímavé je, že chyby se do Androidu dostaly přes Open Source toolkit Skia, který se využívá i v Chrome a ChromeOS. Založené je to klasicky na neošetřených vstupech a možnosti vyvolat pád, který za jistých okolnosti může znamenat, že dojde ke spuštění vlastního kódu.  Viz též Android vulnerabilities open Pie to booby-trapped image attacks

2019-02-11 20_50_34-Android Security Bulletin — February 2019  _  Android Open Source Project.png