Aktualności

Windows Server 2019 oficjalnie z OpenSSH

14 grudnia 2018, 08:50 | W biegu | 0 komentarzy

Tutaj stosowna informacja od Microsoftu – tak, to dobrze znany nam „zwykły” OpenSSH w wersji serwerowej. Niedawno czytaliśmy, że nowa wersja Edge ma bazować na Chromium, co wydawało się absolutnie nigdy nie możliwe. Wcześniej widzieliśmy Kali Linuksa w App Store Windows, może następnym krokiem będzie zaadoptowanie Linux Kernela? ;-) –ms

Czytaj dalej »

Wydrukował w 3D głowę, udało się odblokować 4 różne androidowe telefony. Co z iPhone?

13 grudnia 2018, 16:49 | W biegu | 0 komentarzy

Ciekawostka. Najpierw zeskanował i wydrukował swoją głowę w 3D. Później włączył odblokowanie telefonów za pomocą rozpoznawania twarzy w sprzętach: LG G7 Linq, Samsung S9, Samsung Note 8, OnePlus 6 oraz iPhoneX. Wynik?  For all four Android phones, the spoof face was able to open the phone, though with differing degrees of…

Czytaj dalej »

Klawiatury / myszki Logitecha – można banalną stroną webową wstrzykiwać dowolną sekwencję klawiszy (bug w oficjalnym sofcie)

13 grudnia 2018, 16:16 | W biegu | 0 komentarzy

Wygląda na to, że podatność trzeba traktować jako 0-day. Logitech otrzymał informację o błędach w swoim oprogramowaniu (Logitech Option, umożliwiający m.in. przemapowanie klawiszy), ale w aktualizacji niewiele z tym zrobił. Istotą problemu jest usługa (websocket), która wstaje na localhost i startuje razem z systemem operacyjnym. Nie ma w niej w…

Czytaj dalej »

Windows Server: zdalne wykonanie kodu w OS przez DNS (admin bez uwierzytelnienia)

13 grudnia 2018, 13:36 | W biegu | komentarze 2

Wydawałoby się, że w tak standardowych usługach, u tak popularnego producenta oprogramowania jak Microsoft, krytyczne, zdalnie wykorzystywalne bez uwierzytelnienia podatności dające uprawnienia admina nie powinny się zdarzać (no dobra, to żart – jak widać zdarzają się). Popatrzcie na podatność w microsoftowym serwerze DNS. Błąd ze statusem Critical, nie pozostawia wiele…

Czytaj dalej »

Adobe Reader w formie – znaleźli 50 podatności w 50 dni

13 grudnia 2018, 09:44 | W biegu | komentarzy 7

Krótki research Checkpointa zakończył się zaraportowaniem 50 podatności w Adobe Readerze. Mamy dostępną łatę. W zasadzie tutaj news mógłby się zakończyć, ale powiem to bardziej dobitnie: Podatności dające potencjalnie możliwość wykonania kodu na komputerze ofiary (najprawdopodobniej po prostu po otworzeniu odpowiednio spreparowanego pliku pdf): CVE-2018-15998 CVE-2018-15987 CVE-2018-16004 CVE-2018-19720 CVE-2018-19715 CVE-2018-19713 CVE-2018-19708…

Czytaj dalej »

Jeden z największych wycieków danych w USA: dostali się do 48 baz danych, 9 tysięcy zapytań, wyłączony monitoring bo „wygasł certyfikat”, webshelle, …

12 grudnia 2018, 10:33 | W biegu | 1 komentarz

Raczej nikt nie chwali się wynikami analizy powłamaniowej, szczególnie gdy jest ona druzgocąca. Ale inaczej jest w przypadku Equifax. Przypomnijmy – w wyniku naruszeń bezpieczeństwa wyciekło niemal 150 milionów rekordów danych osobowych. Dodatkowo – około 200 000 numerów kart kredytowych. Obecnie mamy dostępny rządowy raport opisujący szczegóły incydentu. Polecam zerknąć przynajmniej…

Czytaj dalej »

Samsung nawiązał współpracę z… podrobioną firmą

11 grudnia 2018, 16:08 | W biegu | komentarze 3

Supreme to marka dla bogatych hips ludzi ceniących swoją unikalność. Docenił to Samsung, wspierając się samym szefostwem Supreme, które wystąpiło na chińskiej konferencji organizowanej przez koreańskiego giganta. Wiadomo – Apple to styl życia, a Samsung też nie chce być gorszy. Problem w tym, że nawiązali współpracę i zaprosili na scenę ludzi…

Czytaj dalej »

Google+ tym razem błąd dający dostęp do danych około 52 500 000 użytkowników

10 grudnia 2018, 19:57 | W biegu | 1 komentarz

Niedawno pisaliśmy o podatności potencjalnie dającej dostęp do danych około 500000 użytkowników Google+. Teraz Google publikuje nową informację – naprawiony obecnie błąd potencjalnie dotykał aż 52,5 mln użytkowników i w swojej naturze podobny był do poprzedniego problemu. Zewnętrzne aplikacje, który prosiły i otrzymywały dostęp do profilu użytkownika przez API, miały…

Czytaj dalej »

Paryż płonie! Dezinformacja czy dezinformacja podwójna?

10 grudnia 2018, 15:37 | W biegu | komentarzy 18

Dla studentów kierunków dziennikarskich to zapewne normalka – jedno wydarzenie można opisać czy sfotografować na różne sposoby. Zobaczmy na pierwszy z brzegu twit (ćwierk:P) : „Paris Burns„: Czy te zdjęcia są fejkiem? A może mają one ilustrować fakt, że we Francji wszystko spoko, tylko ci żądni sensacji dziennikarze… Ale może…

Czytaj dalej »

Jenkins – łata krytyczną podatność umożliwiającą wykonywanie kodu w OS poprzez odpowiednio (złośliwie) zbudowany URL

10 grudnia 2018, 11:55 | W biegu | 0 komentarzy

Problem opisany jest w ramach ID: SECURITY-595: Code execution through crafted URLs (błąd jest krytyczny, w skali CVSS 9.8 / 10, nie wymaga uwierzytelnienia). W skrócie, można wołać prawdopodobnie niemal dowolne metody javowe, korzystając właśnie z odpowiedniej konstrukcji URL-a: (…) any public method whose name starts with get, and that has a String, int, long,…

Czytaj dalej »

5G od Huawei banowane w kolejnych krajach… Czyżby wszyscy bali się globalnego backdoora?

10 grudnia 2018, 11:31 | W biegu | komentarze 4

Jeden z czytelników podesłał nam ciekawego linka. Standard 5G może być rzeczywiście pewną rewolucją. Szybkości transferu liczące w setkach megabitów na sekundę (pojawiają się nawet informacje o 1Gbit, w praktyce, nie w teorii ;), niskie opóźnienia: Lower latency could help 5G mobile networks enable things such as multiplayer mobile gaming, factory…

Czytaj dalej »

Podsłuchy klawiatur, triki socjotechniczne, ataki na WiFi/NFC/Bluetooth

09 grudnia 2018, 21:42 | W biegu | komentarze 4

Wszystko to i wiele więcej w poradniku (zbiorze linków) Awesome Red Teaming. Znajdą tutaj inspirację początkujący, ale nie zabraknie też kilku ciekawostek dla zaawansowanych. Zarówno jeśli chodzi o prezentacje, teksty, książki, jak i sprzęt, czasem dość groźny: KeySweeper is a stealthy Arduino-based device, camouflaged as a functioning USB wall charger, that…

Czytaj dalej »