0day v jQuery pluginu aktivně zneužívána poslední tři roky

0day v jQuery pluginu aktivně zneužívána poslední tři roky. Oprava existuje, ale otázka je, kdy se rozšíří dostatečně. Problematický plugin je JQuery File Upload, umožňuje ovládnutí serveru. Nutno nepodceňovat, jde nejenom o jeden z nejoblíbenějších pluginů, ale také je zásadně rozšířený do dalších projektů v řadě dalších CMS/internetových dodatcích. Na YouTube dokonce najdete návody k zneužit. Viz Zero-day in popular jQuery plugin actively exploited for at least three years

2018-11-02 12_11_28-GitHub - blueimp_jQuery-File-Upload_ File Upload widget with multiple file selec.png

 

Reklamy

Google prý nezodpovědně zveřejnil díru ve Fortnite příliš brzy.

Google prý nezodpovědně zveřejnil díru ve Fortnite příliš brzy. Tvůrci fatálně děravého instalátoru po Google chtěli aby s tím počkal 90 dní. Takový trochu zábavný spor, kde sice chápu rozhořčení šéfa Epic Games, ale s ohledem na závažnost těch zhruba sedm dní vcelku chápu. Epic Games jsou navíc krajně nezodpovědní s obcházení Google Play. Viz Google is irresponsible claims Fortnite’s chief in bug row a již dříve zmíněné Man-in-the-Disk: A New Attack Surface for Android Apps

Man-in-the-Disk-Update-Flow

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.  Původce jsou výrobci, kteří zasahují do Androidu a navíc přidávají aplikace plné děr. Značnou měrou se podílí i laxní přístup k aktualizacím. Viz MILLIONS OF ANDROID DEVICES ARE VULNERABLE RIGHT OUT OF THE BOX

android_logo

Čínské chytré vysavače s kamerou umožňují šmírovat na dálku.

Bezpečnostní chyba CVE-2018-10987 umožní útočníkovi získat přístup správce (včetně existence přednastavené kombinace přihlášení admin/888888) a dostat se k 360 stupňové kameře. Chyba se týká výrobku Dongguan Diqee 360, ale objevitelé mají za to, že další čínské vysavače používají totožný video modul. Ten ale nejspíš bude i v domovních zvoncích a kamerách. Aby toho nebylo málo, další bezpečnostní chyba umožňuje stroj ovládnout. V tomto případě je nutné mít přístup ke stroji a použít slot pro SD kartu (CVE-2018-10988).

Screen-Shot-2018-07-19-at-10.42.45-AM.png

 

Spoléháte se na asistenty v telefonu? Nedělejte to

Spoléháte se na asistenty v telefonu? Nedělejte to, Siri je snadné zatáhnout do phishingu. Detaily viz It Is Mind-Bogglingly Easy to Rope Apple’s Siri into Phishing Scams kde zjistíte, že Apple to nepovažuje za problém bezpečnostní problém. Ale prý se tomu budou věnovat a označili to za chybu.

2018-06-11 15_49_55-Apple iPhone_ iOS Phishing Trick Dupes Siri into Helping Scammers _ Fortune.png

Chyba u PGP v (některých) e-mailových klientech může zpřístupnit obsah šifrovaných e-mailů

Sebastian Schinzel na Twitteru varuje, že prozatím jediné řešení je přestat používat PGP a detaily byl měly být zveřejněný 15. května. Navíc tvrdí, že v problémech je i S/MIME, ale celé to je (v pondělí) dost nejasné. EFF varuje v Attention PGP Users: New Vulnerabilities Require You To Take Action Now.

Pokud vám to celé připadá jako divočina, tak bude připadat ještě více po přečtení Efail or OpenPGP is safer than S/MIME. Po dalším studiu zjistíte, že to vypadá na vcelku příčinnou souvislost mezi použitím HTML e-mailů a odkazů v nich a nejde tedy o chybu v PGP ale v poštovních klientech. Což ale neznamená, že to není vážné.

[14.05.18 14:09] Objevitelé nakonec informace pustili ven dřív, takže si to můžete nastudovat na efail.de – a jak se ještě před zveřejněním očekávalo, jde skutečně o zneužití odkazů v HTML e-mailech (obrázky, styly) – zajímavé je, že zásadní roli tady hraje podvržení pozměněného šifrovaného e-mailu.

1200-pexels-green-water-fountain-225769-code-computer-cyberspace-225769.jpg