Aktualności

Programowanie bez wykorzystania typowych instrukcji, czyli MMU hacking!

26 lutego 2013, 08:34 | Aktualności | 0 komentarzy
Programowanie bez wykorzystania typowych instrukcji, czyli MMU hacking!

Julian Bangert i Sergey Bratus, dwaj badacze z Trust Lab Dartmouth College, zaprezentowali niedawno fascynujące wyniki swych prac z zakresu ekstremalnie nietypowych rozwiązań programistycznych. Mianowicie, przedstawili praktyczne przykłady programów działających nie w oparciu o klasyczne instrukcje CPU, lecz wykorzystujące jedynie pewne specyficzne własności jednostki zarządzania pamięcią MMU

Czytaj dalej »

Polacy znaleźli kolejne luki zero-day w Javie

25 lutego 2013, 20:13 | Aktualności | komentarze 3
Polacy znaleźli kolejne luki zero-day w Javie

Jak poinformowali polscy specjaliści z firmy Security Explorations, w najnowszej dostępnej wersji Javy 7 Update 15 znalezione zostały kolejne krytyczne luki. Polacy o całej sprawie poinformowali już producenta – firmę Oracle. Użytkownikom popularnego oprogramowania pozostaje więc cierpliwie czekać na kolejne w ostatnim czasie łatanie.

Czytaj dalej »

Luka w Facebooku – przejęcie pełnej kontroli nad dowolnym kontem

22 lutego 2013, 08:11 | Aktualności | 0 komentarzy
Luka w Facebooku – przejęcie pełnej kontroli nad dowolnym kontem

OAuth authorization framework to otwarty standard pozwalający na udostępnianie zasobów przechowywanych przez aplikację webową innym serwisom i aplikacjom zewnętrznym. Cały proces opiera się na przekazywaniu tokenów pozwalających na dostęp tylko do określonych zasobów na określonych zasadach, dzięki czemu zbędne staje się przekazywanie pełnych uprawnień lub haseł dostępowych do całej usługi….

Czytaj dalej »

FROST – hackowanie Androida… lodówką

21 lutego 2013, 12:10 | Aktualności | 0 komentarzy
FROST – hackowanie Androida… lodówką

Kilka dni temu zaprezentowano w pełni działający proof of concept umożliwiający odczytanie danych z pamięci telefonu działającego pod kontrolą systemu Android. Dane te można odczytać mimo skonfigurowania na systemie kodu PIN. Tego typu wyniki z jednej strony mogą służyć atakującym do odzyskania danych ze skradzionego / znalezionego telefonu, z drugiej – pozwolić na stosunkowo prostą analizę powłamaniową urządzenia.

Czytaj dalej »

Tajna chińska jednostka rozpracowana! Serio?

19 lutego 2013, 22:07 | Aktualności | komentarze 2
Tajna chińska jednostka rozpracowana! Serio?

Wszystkie serwisy zajmujące się bezpieczeństwem oraz większość amerykańskich mediów rozwodzi się dziś nad pewnym raportem opublikowanym przez firmę Mandiant. Obszerne opracowanie APT1: Exposing One of China’s Cyber Espionage Units ma rzekomo dowodzić zaangażowania chińskiego rządu i wojska w setki cyberataków na amerykańskie firmy i organizacje rządowe. Jednak nawet pobieżna analiza…

Czytaj dalej »

Zdalne wykonanie kodu przez obrazek TIFF

19 lutego 2013, 06:30 | Aktualności | 1 komentarz
Zdalne wykonanie kodu przez obrazek TIFF

Firma BlackBerry, czyli znany producent smartfonów, tabletów oraz rozmaitych rozwiązań telekomunikacyjnych, ostrzegła niedawno użytkowników oprogramowania BlackBerry Enterprise Server przed obecną w nim podatnością na zdalne wykonanie kodu za pomocą specjalnie spreparowanego… obrazka. Powyższe oprogramowanie jest z pewnością wykorzystywane przez wiele firm, w tym przez duże korporacje, a jak się okazuje…

Czytaj dalej »

Zhackowany Facebook – tym razem to nie ćwiczenia

16 lutego 2013, 09:24 | Aktualności | 0 komentarzy
Zhackowany Facebook – tym razem to nie ćwiczenia

Niedawno informowaliśmy o udanym ataku na Twittera, w wyniku którego intruzom udało się uzyskać dostęp do prywatnych danych należących do około 250 tysięcy jego użytkowników. Jak się właśnie okazało, ofiarą bardzo podobnego ataku padł również Facebook. Internetowy gigant uspokaja jednak, że prawdopodobnie żadne dane użytkowników nie zostały wykradzione. Czy możemy…

Czytaj dalej »

Jak się bronić przed zero-day w Adobe?

14 lutego 2013, 20:30 | Aktualności | 0 komentarzy
Jak się bronić przed zero-day w Adobe?

Wczoraj, jako pierwszy polski serwis, ostrzegaliśmy przed nową luką zero-day w oprogramowaniu Adobe. Dziś, jako że znane są kolejne szczegóły w tej sprawie, podpowiadamy, w jaki sposób można się przed zagrożeniem zabezpieczyć, oraz przedstawiamy nowe informacje na temat krążącego w sieci exploitu.

Czytaj dalej »

Lucky thirteen – nowy typ ataku na SSL / TLS. Nie panikuj?

08 lutego 2013, 16:44 | Aktualności | 1 komentarz
Lucky thirteen – nowy typ ataku na SSL / TLS. Nie panikuj?

Protokół SSL czy nowszy TLS to zestawy protokołów będących podstawą bezpieczeństwa w Internecie. Łączysz się do swojego banku z wykorzystaniem https? Używasz zatem jednego z tych protokołów. Kilka dni temu pokazano słabości tych protokołów umożliwiające rozszyfrowanie ruchu chronionego TLS (wszystkie wersje tego protokołu). Brzmi groźnie? Zobaczmy.

Czytaj dalej »

SIP of death

08 lutego 2013, 07:45 | Aktualności | komentarze 2
SIP of death

Kristian Kielhofer zaprezentował niedawno na swej stronie bardzo interesujący sposób na „zabicie” niektórych kart sieciowych Intela. Okazuje się, że w przypadku poddania podatnych adapterów działaniu odpowiednio przygotowanych pakietów, praca kontrolera zostaje całkowicie sparaliżowana. Zazwyczaj nie pomaga nawet restart całego systemu. Kristian zauważył niepokojące zachowanie (całkowita odmowa dalszej pracy, aż do…

Czytaj dalej »

D-Link, Linksys, Netgear… wszędzie dziury

06 lutego 2013, 20:40 | Aktualności | komentarze 2
D-Link, Linksys, Netgear… wszędzie dziury

Serwis s3cur1ty.de rozpoczął akcję „home-network-horror-days”. W ciągu 2 tygodni publikowane będą nowo znalezione błędy w urządzeniach sieciowych klasy domowej. Na początek polecamy prześledzenie możliwości uzyskania zdalnego root-a (bez uwierzytelnienia) na routerach D-Link: DIR-600 oraz DIR-300 (producent nie wypuścił jeszcze aktualizacji…).

Czytaj dalej »

Udostępniasz video, udostępniasz shella

06 lutego 2013, 10:32 | Aktualności | 0 komentarzy
Udostępniasz video, udostępniasz shella

Jak dostać zdalnego roota na systemie monitoringu video? Okazuje się, że bardzo prosto. someLuser parę dni temu opublikował analizę urządzenia Ray Sharp (brandowanego też pod takimi markami jak: Swann, Lorex, Night Owl, Zmodo, URMET, kguard security, i pewnie jeszcze masą innych). W arsenale analizy znalazły się takie elementy jak dostęp fizyczny do konsoli…

Czytaj dalej »