Existuje pouze částečná oprava, ale než bude OpenWRT bezpečnější, tak to bude chvíli trvat. Nepříjemné je i to, že chyba existuje už dobré tři roky a jde o možnost spouštět na dálku kód v procesu aktualizace – ten probíhal přes nešifrovaná spojení a chybí dostatečné digitální podpisy pro aktualizační balíčky. Zneužití ale není zcela triviální…
Detaily najdete ve Windows has a new wormable vulnerability, and there’s no patch in sight kde je i dočasně použitelné řešení co může ochránít servery (ale nikoliv klientská Windows).
Chytré žárovky Philips Hue jsou děravé. Lze přes ně dostat malware do Philips Hude Bridge a útočník pak může přistupovat do vaší domácí sítě. Opravu Philips zveřejnil v polovině ledna 2020, ale mělo dojít k automatické aktualizaci. V Phillips Hue aplikaci si to můžete ověřit (Settings – Software Update) kontrolou zda vaše zařízení mají alespoň…
Až 200 milionů kabelových modemů v Evropě je napadnutelných. Čerstvě objevený Cable Haunt (PDF) umožňuje útočníkům kompletně ovládnout modem (kabelový router) a je založené na software, které řada výrobců zahrnula do svých zařízení a které obsahuje bezpečnostní chybu. Ukázkový exploit viz Lyrebirds/sagemcom-fast-3890-exploit. Zmíněny a ověřeny jsou modemy od společností Sagemcom, Technicolor, Netgear a COMPAL.
TikTok byl děravý, útočníci mohli mazat a přidávat videa, měnit nastavení na veřejné, krást osobní data, dostávat se do uzavřených účtů. Přišli na to v CheckPoint Research a z popisů plyne, že jde o jednu z nejlepší ukázek toho, že na sociálních sítích nikdy žádné soukromí existovat nebude. Viz Tik or Tok? Is TikTok secure…
Divi pro WordPress je napadnutelné vsunutím kódu – PHP kódu, takže zneužitelné pro hacknutí vašeho WordPressu. Vedle Divi jsou stejně napadnutelné i další dvě šablony od Elegant Themes (Extra a Divi Builder). Viz Elegant Themes Security Update
146 zranitelností od 29 výrobců telefonů s Androidem už v okamžiku, kdy poprvé zapnete nový telefon. Detaily v Android Firmware Vulnerabilities – November 2019 a nutno dodat, že záplava se do telefonů dostává v zbytečném software, které výrobci budují nad samotným Androidem.
Telefony s Androidem zpřístupňují základní komunikační čipy a je možné je zneužít pro šmírování, zjišťování informací o telefonu, volání atd. Nemělo by tomu tak být, ale jak zjistili výzkumníci, připojená Bluetooth a USB zařízení se často mohou dostat právě tam kam by se dostat neměla. Viz Popular Android phones can be tricked into snooping on…
Facebook ponechal informace o členech Skupin volně dostupné ač to tak být nemělo. Ze stovky stovka vývojářů jich jedenáct nový bezpečnostní nedostatek využíval. Kolika uživatelů se to týkalo Facebook neuvedl, ale prý “požádá” aby tito vývojáři získaná data smazali. Nikdy nekončící seriál děravosti Facebooku tak stále pokračuje. Viz Facebook Groups members’ info left exposed to…
Děravé iTunes umožňovaly na počítače instalovat ransomware. Což je další dost dobrý důvod proč už nikdy iTunes na Windows nepustit. Ten jiný důvod je ten, že je stejně Apple pohřbívají. Viz iTunes Exploit Allows Hackers To Install Ransomware On Your PC a APPLE ZERO-DAY EXPLOITED IN NEW BITPAYMER CAMPAIGN