D-Link wydał poprawione wersje firmware dla routerów COVR-X1870, DIR-X5460 oraz DIR-X4860, łącznie naprawiono 5 błędów, o poziomie krytycznym i wysokim Firma D-Link w oświadczeniu pisze: D-Link takes network security and user privacy very seriously. We have a dedicated task force and product management team on call to address evolving security issues and…

W dzisiejszych czasach, kiedy większość naszego życia przenosi się do sfery cyfrowej, kwestia bezpieczeństwa danych nabiera kluczowego znaczenia. Od bankowości internetowej, przez media społecznościowe, po dane firmowe – wszyscy jesteśmy narażeni na ataki cyberprzestępców.  Właśnie dlatego tak ważne jest, aby nieustannie podnosić swoją wiedzę i umiejętności w zakresie cyberbezpieczeństwa. Bowiem…

Już za trzy tygodnie (8 października) startuje Websecurity Master – w naszej ocenie najbardziej kompleksowy kurs bezpieczeństwa aplikacji webowych w Polsce, pomyślany w swojej formule tak, że adresuje potrzeby zarówno początkujących jak i zaawansowanych w temacie. Kurs, z którego jesteśmy dumni i na który czekamy równie niecierpliwie jak spora grupa…

W Redakcji doceniamy dobrą, hackerską robotę, dlatego zawsze śledzimy zawody z cyklu Pwn2Own. Oprócz standardowych ataków na hypervisory, przeglądarki czy samochody, dużą popularnością cieszą się eksploity na domowe urządzenia sieciowe oraz IoT. Niestety, gdy ogłaszane są wyniki, najczęściej nie ma informacji o tym, jakie dokładnie błędy zostały zidentyfikowane i wykorzystane…

Badacze z firmy watchTowr początkowo chcieli zgłębić ataki na klienta protokołu WHOIS. Aby to zrobić, musieli jednak przekierować ruch na swój serwer. Ponieważ ataki MiTM nie wydały im się szczególnie ciekawe, to poświęcili cenę butelki wody w hotelu w Vegas ($20) na zakup nieodnowionej domeny, która była wykorzystywana przez serwer…

Po dwóch miesiącach od poprzednich problemów, które opisywaliśmy, GitLab wydał kolejne poprawione wersje, zarówno Community Edition, jak i Enterprise Edition, oznaczone numerami 17.3.2, 17.2.5 oraz 17.1.7. Podobnie jak poprzednio, najpoważniejszy błąd, oznaczony symbolem CVE-2024-6678, pozwala – w pewnych okolicznościach, które nie zostały sprecyzowane w ogłoszeniu na stronie GitLab – na zdalne wykonanie…

Kolarstwo to bardzo technologiczny sport. Profesjonalne rowery wyścigowe – np szosowe, mimo ograniczeń (np. wagowych nakładanych przez UCI) to efekty lat pracy inżynierów różnych dziedzin. Charakteryzują się minimalnymi oporami aerodynamicznymi, niską wagą i dużą sztywnością. Standardem w wyścigach tourowych są elektryczne grupy napędowe. Wbrew nazwie, nie są to napędy elektryczne,…

Ataki “bocznego kanału” (ang. side-channel) wykorzystują nieoczywiste poszlaki do eksploitacji systemu. Czytelnikom znane są pewnie metody ataków wykorzystujące pomiary zużycia prądu procesorów, czasu odpowiedzi aplikacji czy też wykonania poszczególnych niskopoziomowych operacji (np. kryptograficznych). Nieszablonowe techniki ataków typu side-channel opisywaliśmy już nie raz na sekuraku (polecamy ostatni artykuł o Yubikeyach). Tym…

Seria podatności związanych z Microsoft 365 Copilot pozwala na: Kilka dni temu wygasło embargo na dzielenie się informacją o łańcuchu exploitów związanych z asystentem opartym o LLM od Microsoftu. Mowa oczywiście o produkcie Microsoft 365 Copilot, czyli rozwiązaniu dla firm. Johann Rehberger opublikował writeup opisujący dokładne szczegóły podatności, pozwalającej na…

Mastodon to oprogramowanie, które w Fediwersum miało zastąpić Twittera (obecnie X). Instancje Mastodona tworzą zdecentralizowaną federację składającą się z niezależnych instancji. Każda z instancji posiada swojego administratora, serwer, domenę i… politykę wymiany danych z innymi instancjami. W ramach pojedynczej instancji nie ma ograniczeń widoczności, jednak w Fediversum powstał specyficzny podział pomiędzy instancjami, który w uproszczeniu…

Na samym początku pragnę zaznaczyć, że niestety nie mogę powiedzieć jakiego klienta dotyczy poniższy artykuł, gdyż wynika to z odpowiednich zastrzeżeń w umowach z nim zawartych. Pracując w branży finansowej często można natrafić na scamerów próbujących podszywać się pod prawdziwe instytucje lub strony świadczące jakieś usługi związane z tą branżą. Bardziej zaawansowani…

W październiku rusza coroczna akcja ECSM (Europejski Miesiąc Cyberbezpieczeństwa) czyli, ogólnoeuropejska kampania poświęcona cyberbezpieczeństwu. W ramach akcji sekurak/Securitum przygotowało sporo inicjatyw skierowanych zarówno do osób technicznych (IT) jak i wszystkich pracowników firm.  Część wydarzeń dostępna jest w formie otwartej, a wszystkie także w formie zamkniętej (realizacja dla zamkniętych grup w…

Niecałe 4 lata temu, pod koniec 2020 roku, w mediach na całym świecie głośno było o ataku na firmę SolarWinds – popularnego dostawcę oprogramowania do monitorowania i zarządzania infrastrukturą IT. Napastnikom udało się podmienić na oficjalnej stronie producenta pliki oprogramowania SolarWinds Orion na zainfekowane, co pozwoliło im dostać się do…

Na łamach sekuraka nieraz opisywaliśmy wpadki związane z szeroko pojętym AI, które szturmem zdobywa kolejne rynki. Zachwyt technologią oraz jej powszechne wdrażanie, sprowadza na użytkowników końcowych produktów nowe zagrożenia. Tak też stało się tym razem – badacze odkryli sposób na doprowadzenie do wycieku informacji z prywatnych kanałów popularnego rozwiązania do…

Google wydał aktualizację dla przeglądarki Google Chrome łatającą poważną lukę bezpieczeństwa w V8 – silniku JavaScript i WebAssembly używanym we wszystkich przeglądarkach bazujących na Chromium. Błąd oznaczony jako CVE-2024-7971 został sklasyfikowany według standardu CVSS v3 na 8.8, co w skrócie mocno sugeruje jak najszybszą aktualizację do najnowszej (czyli spatchowanej) wersji….