BuggyCow. 0 day pro Mac OS ukazující na konec jedné éry a mýtů o bezpečnosti.

BuggyCow. 0 day pro Mac OS ukazující na konec jedné éry a mýtů o bezpečnosti. Viz HACK BRIEF: GOOGLE REVEALS ‚BUGGYCOW,‘ A RARE MACOS ZERO-DAY VULNERABILITY a Issue 1726: XNU: copy-on-write behavior bypass via mount of user-owned filesystem image. Nejvíce nepříjemné je, že Apple ani po třech měsících od objevu chybu neřeší.

macos-sierra-desktop-home

Reklamy

Apple se o zásadní bezpečnostní chybě ve FaceTime dozvědělo týden před rozšířením.

Apple se o zásadní bezpečnostní chybě ve FaceTime dozvědělo týden před rozšířením. Informace, která moc nepřekvapí. Praktický žádná firma nemá „příjem“ bezpečnostních chyb nastavený tak, aby opravdu fungoval. Primárním cílem je odradit co nejvíce těch, co „nahlašují“ chyby. Celé je to navíc založeno na tom, že lidé co tato hlášení přijímají zpravidla vůbec netuší co se k nim dostane. Určitým způsobem logické, „falešných“ nahlášení je záplava. Celé se to ale hroutí, když se objeví něco zcela zásadního. Třeba právě jako ona absurdní „díra“ ve FaceTime. Viz Apple was warned of the FaceTime bug over a week ago kde zjistíte, že psát Timu Cookovi na Twitteru je vlastně totéž, jako psát do černé díry. A také to, že pokoušet se oslovit Apple (a kohokoliv dalšího) e-mailem je prakticky nemožné. Prostě černá díra.

2019-01-29 20_57_54-window2019-01-29 20_58_03-window

 

0day v jQuery pluginu aktivně zneužívána poslední tři roky

0day v jQuery pluginu aktivně zneužívána poslední tři roky. Oprava existuje, ale otázka je, kdy se rozšíří dostatečně. Problematický plugin je JQuery File Upload, umožňuje ovládnutí serveru. Nutno nepodceňovat, jde nejenom o jeden z nejoblíbenějších pluginů, ale také je zásadně rozšířený do dalších projektů v řadě dalších CMS/internetových dodatcích. Na YouTube dokonce najdete návody k zneužit. Viz Zero-day in popular jQuery plugin actively exploited for at least three years

2018-11-02 12_11_28-GitHub - blueimp_jQuery-File-Upload_ File Upload widget with multiple file selec.png

 

Google prý nezodpovědně zveřejnil díru ve Fortnite příliš brzy.

Google prý nezodpovědně zveřejnil díru ve Fortnite příliš brzy. Tvůrci fatálně děravého instalátoru po Google chtěli aby s tím počkal 90 dní. Takový trochu zábavný spor, kde sice chápu rozhořčení šéfa Epic Games, ale s ohledem na závažnost těch zhruba sedm dní vcelku chápu. Epic Games jsou navíc krajně nezodpovědní s obcházení Google Play. Viz Google is irresponsible claims Fortnite’s chief in bug row a již dříve zmíněné Man-in-the-Disk: A New Attack Surface for Android Apps

Man-in-the-Disk-Update-Flow

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.  Původce jsou výrobci, kteří zasahují do Androidu a navíc přidávají aplikace plné děr. Značnou měrou se podílí i laxní přístup k aktualizacím. Viz MILLIONS OF ANDROID DEVICES ARE VULNERABLE RIGHT OUT OF THE BOX

android_logo

Čínské chytré vysavače s kamerou umožňují šmírovat na dálku.

Bezpečnostní chyba CVE-2018-10987 umožní útočníkovi získat přístup správce (včetně existence přednastavené kombinace přihlášení admin/888888) a dostat se k 360 stupňové kameře. Chyba se týká výrobku Dongguan Diqee 360, ale objevitelé mají za to, že další čínské vysavače používají totožný video modul. Ten ale nejspíš bude i v domovních zvoncích a kamerách. Aby toho nebylo málo, další bezpečnostní chyba umožňuje stroj ovládnout. V tomto případě je nutné mít přístup ke stroji a použít slot pro SD kartu (CVE-2018-10988).

Screen-Shot-2018-07-19-at-10.42.45-AM.png

 

Spoléháte se na asistenty v telefonu? Nedělejte to

Spoléháte se na asistenty v telefonu? Nedělejte to, Siri je snadné zatáhnout do phishingu. Detaily viz It Is Mind-Bogglingly Easy to Rope Apple’s Siri into Phishing Scams kde zjistíte, že Apple to nepovažuje za problém bezpečnostní problém. Ale prý se tomu budou věnovat a označili to za chybu.

2018-06-11 15_49_55-Apple iPhone_ iOS Phishing Trick Dupes Siri into Helping Scammers _ Fortune.png