Slack opravil kritickou chybu, umožňovala napadnout počítače uživatelů.

Slack opravil kritickou chybu, umožňovala napadnout počítače uživatelů. Objevena byly v rámci HackerOne v lednu a Slack objevitelům zaplatil pouhých 1750 dolarů. Zlomek toho jakou reálnou hodnotu objev chyby měl. A to ani raději nemyslet na to, že podobnou chybu je možné prodat za miliony dolarů. Via Slack fixes ‚critical‘ vulnerability that left desktop app users open to attack a Remote Code Execution in Slack desktop apps + bonus

Instagram nemazal ze serverů smazané fotky ani přímé zprávy.

Historie se opakuje. Instagram nemazal ze serverů smazané fotky ani přímé zprávy. Dokonce vám je ochotně vydal, stačilo si zažádat o stažení obsahu vašeho účtu a vše jste tam našli. Instagram přitom tvrdil, že mazané zmizí do 90 dní. Chyba byla oznámená v říjnu 2019, napraveno až v srpnu 2020. Via Instagram wasn’t removing photos and direct messages from its servers

Děravá Alexa. Útočnící se mohli dostat k historii komunikace s Alexou

Děravá Alexa. Útočnící se mohli dostat k historii komunikace s Alexou, přidávat schopnosti a získávatá informace o uživateli. To všem přes XSS (Cross Site Scrpting) a CORS (Cross-Origin Resource Sharing) v některých subdoménách používaných Amazonem. Podrobnosti Keeping the gate locked on your IoT devices: Vulnerabilities found on Amazon’s Alexa

Twitter pro Android byl děravý, umožňoval přístup k přímým zprávám.

Twitter pro Android byl děravý, umožňoval přístup k přímým zprávám. Chyba zneužita ale nikým být neměla a měla se dotknout pouze zhruba 4 % uživatelů. Každopádně pouze další poučení, že „přímé zprávy“ žádné soukromí nemají a nikdy mít nebudou. Via Twitter for Android vulnerability gave access to direct messages a Twitter For Android Security Vulnerability

2020-08-05 19_21_23-Twitter For Android Security Vulnerability

 

Nebezpečná chyba v DNS serveru (CVE-2020-1350) od Microsoftu byla v kódu 17 let

Nebezpečná chyba v DNS serveru (CVE-2020-1350) od Microsoftu byla v kódu 17 let. Umožňuje na dálku spustit spustit kód a objevitelé varují, že může být zneužita k napadení celých firem a organizací. Via Microsoft issues patch for wormable Windows DNS Server flaw  a July 2020 Security Update: CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server

microsofts-logo