LastPass je opět děravý a je možné vykrádat hesla i spouštět kód.

LastPass je opět děravý a je možné vykrádat hesla i spouštět kód. Viz Potent LastPass exploit underscores the dark side of password managers a objevitel je opět Tavis Ormandy. Tweet ve kterém objev oznámil je velmi zábavné vlákno na čtení. Z Security Update for the LastPass Extension plyne, že by problém měl být již vyřešen,…

WordPress NextGEN Gallery děravá a to tak, že je možné zneužít SQL Injection

WordPress NextGEN Gallery děravá a to tak, že je možné zneužít SQL Injection a dostat se tak až na databází, nad kterou jede váš WordPress. Což znamená možnost ho zcela ovládnout – je nutné aby ale váš WordPress umožňoval návštěvníkům vytvářet příspěvky, takže přímo jen tak to zneužitelné není. Každopádně dost zásadní věc k opravě,…

Problém s děravým Cloudflare může být horší, než se na první pohled zdá

Problém s děravým Cloudflare může být horší, než se na první pohled zdá. Mezi postiženými weby je řad těch, kde mohlo dojít k úniku vašich přihlašovacích údajů i řady dalších podstatných informací. Change Your Passwords. Now doporučuje začít měnit hesla všude kde můžete a upozorňuje i na to, že informace z Cloudflare jsou dokonce součástí…

Na Steamu jste mohli chytit malware. Dobrá zpráva je, že chyba byla opravena.

Na Steamu jste mohli chytit malware. Dobrá zpráva je, že chyba byla opravena. Špatná zpráva je, že něco podobného se může kdykoliv opakovat. Zajímavé je, že to byla klasická webová chyba, XSS, tedy cross site scripting. Ještě zajímavější je, že tvůrcům Steamu unikla možnost vkládat HTML kód do uživatelského profilu. Viz A nasty vulnerability in…

Cisco WebEx rozšíření pro Chrome katastrofálně děravé.

Cisco WebEx rozšíření pro Chrome katastrofálně děravé. Uvážíme-li, že má okolo dvaceti milionů uživatelů, je to ještě horší, než to na první pohled vypadá. Stačí aby se v URL objevil řetězec „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ a rázem může jakýkoliv web spouštět kód. Viz Cisco: Magic WebEx URL Allows Arbitrary Remote Command Execution

Miliardy monitorů jsou napadnutelné nezjistitelným útokem na firmware

Miliardy monitorů jsou napadnutelné nezjistitelným útokem na firmware. Útočník může zobrazovat falešné informace, ale i zjišťovat co je posláno na obrazovku. Hypotetické malware je navíc možné ovládat pomocí blikajícího bodu na webové stránce. Viz A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors a Hackers Could Break Into Your Monitor To Spy…

Symantec i Norton Security obsahují kritické zranitelnosti.

Symantec i Norton Security obsahují kritické zranitelnosti. Což u antivirových produktů není zrovna dobrá zpráva, zejména pokud jde o možnost ovládnutí stroje na dálku. Viz Symantec and Norton Security Products Contain Critical Vulnerabilities  

Děravé Magento, podle všeho poměrně vážně

Děravé Magento, podle všeho poměrně vážně. Viz Magento – Unauthenticated Remote Code Execution kde zjistíte, že pokud nemáte verzi 2.0.6 tak jste asi víceméně ztracení.

Děravý Office 365 opraven za sedm hodin po zjištění chyby.

Děravý Office 365 opraven za sedm hodin po zjištění chyby. Nutno dodat, že objevená chyba byla velmi nepříjemná, umožňovala útočníkovi získat přístup k účtům v Office 365 a všem souvisejícím službám (Ootlook, OneDrive, Skype for Business). Viz Microsoft takes just 7 hours to patch colossal Office 365 vulnerability that exposed companies‘ data

Fisher-Price Smart Toy byly zásadním ohrožením bezpečnosti dětí.

Fisher-Price Smart Toy byly zásadním ohrožením bezpečnosti dětí. Viz R7-2015-27 and R7-2015-24: Fisher-Price Smart Toy® & hereO GPS Platform Vulnerabilities (FIXED) kde zjisíte takové ty obvyklé věci, že výrobce u řady Smart Toy zapomněl zabezpečit API, které je volně přístupné přes web. Což útočníkům umožnilo získávat informace o dětech (jméno, datum narození, jazyk, druh hračky),…