Microsoft stáhnul klasické Skype pro Windows, důvodem je bezpečnostní chyba

Microsoft stáhnul klasické Skype pro Windows, důvodem je bezpečnostní chyba. Navíc dost pikantní, k aktualizaci se totiž používalo DLL umístěné v Temp složce. Pokud nutně potřebujete Skype, tak musíte použít UWP verzi, univerzální aplikaci, co je v Microsoft Store. Případně najděte verzi 7.40 a starší, tam bezpečnostní chyba není. Viz Where Did The Skype Desktop App For Windows 10 Go?

Případně, což není vůbec špatný nápad, zkuste přejít na něco použitelnějšího než Skype. Tady poradí Jaké jsou alternativy pro Skype? Co použít pro telefonování a videotelefonování?

skype-logo

Reklamy

Opravám Spectre se nedaří, Microsoft musel jednu z oprav stáhnout, způsobovala nestabilitu a restarty

Opravám Spectre se nedaří, Microsoft musel jednu z oprav stáhnout, způsobovala nestabilitu a restarty. Oprava týkajíc se CVE-2017-5715 tak byla o posledním lednovém víkendu narychlo stažena. V tomto případě jde o pokročilejší úroveň Spectre, tu kterou nejde řešit jenom na úrovní software, ale vyžaduje i aktualizaci mikrokódu. Viz Microsoft Disables Spectre Mitigations Due to Instability

get-windows-10-screen

WhatsApp je děravý, do Skupin je možné přidávat cizí lidi

WhatsApp je děravý, do Skupin je možné přidávat cizí lidi. Podobně děravé jsou, co se Skupin týče, i další produkty (Signal a Threema). Nejzajímavější na tom je, že podle WhatsAppu o nic nejde, lidé ve Skupině přece mohou zjistit, že tam byl přidán někdo cizí. Jen jestli to nebude tím, že WhatsApp patří Facebooku. Viz Security researchers flag invite bug in WhatsApp group chats

2016-03-02 09_50_57-WhatsApp __ Home

Děravé VLC, Kodi, PopcornTime a další. Přes titulky

Děravé VLC, Kodi, PopcornTime a další. Přes titulky je možné se dostat do systému. Tedy, teď už bylo možné dostat, protože podle Malicious Subtitles Threaten Kodi, VLC and Popcorn Time Users, Researchers Warn už některé aplikace jsou opraveny, ale těžko říct kolik dalších přehrávačů filmů bude děravých. Jak je možné vytvořit soubor s titulky co zneužije chybu známo není. Checkpoint v Hacked in Translation – from Subtitles to Complete Takeover uvádí, že detaily zveřejnit právě s ohledem na další děravé přehrávače prozatím nechce.

Zneužití díry v SS7 umožnilo zlodějům vybírat peníze z účtů

Zneužití díry v SS7 umožnilo zlodějům vybírat peníze z účtů lidí, kteří měli bankovnictví chráněné přes SMS ověření. Jde o roky známou věc, že komunikace mobilních telefonů je „chráněna“ protokolem s označením SS7 ale ten zdaleka není bezpečný. Zneužití je sice ne zcela triviální, ale s dnešními technickými možnost se stává podstatně snáze realizovatelné. Pochopitelně nejenom pro odchytávání SMS, ale i pro odposlechy a řadu dalších nepravostí. Viz Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer či Thieves drain 2fa-protected bank accounts by abusing SS7 routing protocol. Útočnící přitom pocházeli ze zahraničí a napadená bylo síť německé O2 Telefonica. Špatné na tomhle všem je, že o problémech SS7 se ví prakticky deset let (a v roce 2014 bylo jasně ukázano, jak nebezpečné to je) a nikdo se moc nemá k řešení.

2017-05-05 17_33_27-Worldwide attacks on SS7_SIGTRAN network.jpg

LastPass je opět děravý a je možné vykrádat hesla i spouštět kód.

LastPass je opět děravý a je možné vykrádat hesla i spouštět kód. Viz Potent LastPass exploit underscores the dark side of password managers a objevitel je opět Tavis Ormandy. Tweet ve kterém objev oznámil je velmi zábavné vlákno na čtení. Z Security Update for the LastPass Extension plyne, že by problém měl být již vyřešen, tedy za předpokladu, že nezanedbáváte aktualizace.

2017-04-01 13_10_13-Uživatel Tavis Ormandy na Twitteru_ „Ah-ha, I had an epiphany in the shower this.png

WordPress NextGEN Gallery děravá a to tak, že je možné zneužít SQL Injection

WordPress NextGEN Gallery děravá a to tak, že je možné zneužít SQL Injection a dostat se tak až na databází, nad kterou jede váš WordPress. Což znamená možnost ho zcela ovládnout – je nutné aby ale váš WordPress umožňoval návštěvníkům vytvářet příspěvky, takže přímo jen tak to zneužitelné není. Každopádně dost zásadní věc k opravě, zejména s ohledem na rozšířenost NextGEN Gallery. Viz SQL Injection Vulnerability in NextGEN Gallery for WordPress

nextgen-vulnerability-function.png