Cisco WebEx rozšíření pro Chrome katastrofálně děravé.

Cisco WebEx rozšíření pro Chrome katastrofálně děravé. Uvážíme-li, že má okolo dvaceti milionů uživatelů, je to ještě horší, než to na první pohled vypadá. Stačí aby se v URL objevil řetězec „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ a rázem může jakýkoliv web spouštět kód. Viz Cisco: Magic WebEx URL Allows Arbitrary Remote Command Execution

Miliardy monitorů jsou napadnutelné nezjistitelným útokem na firmware

Miliardy monitorů jsou napadnutelné nezjistitelným útokem na firmware. Útočník může zobrazovat falešné informace, ale i zjišťovat co je posláno na obrazovku. Hypotetické malware je navíc možné ovládat pomocí blikajícího bodu na webové stránce. Viz A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors a Hackers Could Break Into Your Monitor To Spy…

Symantec i Norton Security obsahují kritické zranitelnosti.

Symantec i Norton Security obsahují kritické zranitelnosti. Což u antivirových produktů není zrovna dobrá zpráva, zejména pokud jde o možnost ovládnutí stroje na dálku. Viz Symantec and Norton Security Products Contain Critical Vulnerabilities  

Děravé Magento, podle všeho poměrně vážně

Děravé Magento, podle všeho poměrně vážně. Viz Magento – Unauthenticated Remote Code Execution kde zjistíte, že pokud nemáte verzi 2.0.6 tak jste asi víceméně ztracení.

Děravý Office 365 opraven za sedm hodin po zjištění chyby.

Děravý Office 365 opraven za sedm hodin po zjištění chyby. Nutno dodat, že objevená chyba byla velmi nepříjemná, umožňovala útočníkovi získat přístup k účtům v Office 365 a všem souvisejícím službám (Ootlook, OneDrive, Skype for Business). Viz Microsoft takes just 7 hours to patch colossal Office 365 vulnerability that exposed companies‘ data

Fisher-Price Smart Toy byly zásadním ohrožením bezpečnosti dětí.

Fisher-Price Smart Toy byly zásadním ohrožením bezpečnosti dětí. Viz R7-2015-27 and R7-2015-24: Fisher-Price Smart Toy® & hereO GPS Platform Vulnerabilities (FIXED) kde zjisíte takové ty obvyklé věci, že výrobce u řady Smart Toy zapomněl zabezpečit API, které je volně přístupné přes web. Což útočníkům umožnilo získávat informace o dětech (jméno, datum narození, jazyk, druh hračky),…

Překonat uzamčenou obrazovku počítače s Linuxem? Stiskněte Backspace 28 krát.

Překonat uzamčenou obrazovku počítače s Linuxem? Stiskněte Backspace 28 krát. Tedy alespoň to píší v Hacking a locked-down Linux PC is apparently as easy as pressing backspace 28 times a dodávají, že jde o chybu v Grub2 už někdy od roku 2009. DODATEK: Prosím, věnujte pozornost tomu, že jde o chybu v Grub2. Je to…

Zařízení s Androidem napadnutelné video a audio soubory

Zařízení s Androidem napadnutelné video a audio soubory, které byly k tomu účelu speciálně vytvořené. Týká se to prakticky všech verzí Androidu a případná náprava vyžaduje aktualizaci jak od Google, tak následně od všech dalších výrobců. Ti jsou ovšem tradičně, co se aktualizací týče, až neuvěřitelně laxní. Zranitelnost přitom umožňuje spustit kód jenom tím, že…