Aktualności

albo wykona dowolne inne polecenie umieszczone w $() – a wszystko w KDE, czy dokładniej: w środowisku KDE Plasma: When a vfat thumbdrive which contains „ or $() in its volume label is plugged and mounted trough the device notifier, it’s interpreted as a shell command, leaving a possibility of…

…lub za dowolną kwotę, którą chcecie zapłacić. Podstawy, parę zaawansowanych metod wstrzyknięć, omijanie filtrów czy podejście do eksploitowania XSS-a – polecam wydrukowanie i powieszenie koło biurka. –ms  

Myślę, że dla większości osób żywo zainteresowanych usługami chmurowymi nie jest tajemnicą fakt, że nasz lokalny rynek nie rozwija się tak szybko, jak te zachodnie. Generalnie powód jest oczywisty: jako cała gospodarka nadrabiamy stracone lata uwikłania w systemy, o których wiele możemy powiedzieć, ale na pewno nie to, że były…

Kolejna edycja krakowskiej edycji Sekurak Hacking Party prawdopodobnie zostanie całkiem wyprzedana. Mamy dostępnych 520 miejsc (+ mała rezerwa, którą zostawimy na absolutny last minute), z czego już 419 zostało sprzedanych (pierwsze osoby miały bilety po zaledwie ~15 zł). Trochę eksperymentujemy z formułą i tym razem cała impreza odbędzie się wcześniej…

IDA to chyba najbardziej znany dezasembler. Znany również ze swojej wysokiej ceny – szczególnie w wersji Pro. A tymczasem właśnie twórcy IDY udostępnili do bezpłatnego pobrania wersję 7.0 swojego flagowego narzędzia. Warto zaznaczyć, że jest to okrojona wersja pełnego produktu – po pierwsze można go używać tylko niekomercyjnie, mamy tylko wsparcie…

Podatność ma zostać załatana 5 lutego, a była (i jest) w aktywnym użyciu od połowy listopada 2017 roku. Pocieszające jest to że: 1) zapewne większość naszych czytelników ma wyłączoną obsługę Flasha 2) błąd był wykorzystywany dość selektywnie w ramach „sąsiedzkich przepychanek” pomiędzy Koreą Północną a Południową. Można teraz pobawić się…

Z jailbreakami na iOS w wersji 11 jest ciężko, co wpisuje się w ogólny trend: w ostatnim czasie jest mało jailbreaków na iOS (również na wersję 10). A tymczasem dostaliśmy kod źródłowy jailbreaka na iOS – na wersję 11.1.2. Więcej – tutaj mamy dokładny, techniczny opis jailbreaka, również z instrukcją dla…

W tym roku będzie nas nieco mniej na konferencjach (trzeba kiedyś odpocząć), ale jednym z wyjątków jest Semafor, na którym byliśmy z sekurakową załogą już wiele razy. Tego roku na Semaforze  opowiem o bezpieczeństwie API REST, a prezentacja zorganizowana zostanie dookoła ~20 różnych przypadków podatności z życia wziętych: infrastruktura Cisco,…

Cisco właśnie wypuściło łatę na podatność CVE-2018-0101: A vulnerability in the Secure Sockets Layer (SSL) VPN functionality of the Cisco Adaptive Security Appliance (ASA) Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code. Jak widzicie wyżej – luka otrzymała maksymalną…

Dokładnie 5 lat temu pojawił się pierwszy tekst na sekuraku: „Łamanie haseł z wykorzystaniem CPU/GPU” uzupełniony szybko tematyką konfiguracji OpenVPN-a oraz monstrualną serią: Kompendium bezpieczeństwa haseł.

Operacja określana jest jako największa w 2017 roku kampania typu malwertising. Fejkowe były agencje reklamowe, z fejkowymi szefami posiadającymi konto na LinkedIN, fejkowymi profilami społecznościowymi i fejkowym „unikalnym contentem”. Niefejkowe były reklamy – z liczbą wyświetleń na poziomie 1 miliarda,  malware w nich serwowany i pieniądze płynące do przestępców. Więcej…

To może być początek naprawdę poważnych i liczonych w miliardach strat związanych z atakiem klasy cyber, czyli popularnym „zhackowaniem”. Wiele serwisów donosi o ataku na Coincheck, japońską giełdę kryptowalut. Najczęściej pojawia się kwota strat w wysokości $400-530 milionów USD połączona z datą wykrycia „incydentu” – 26 stycznia 2018 roku i…

Tym razem Lenovo nie stara się zatuszować sprawy (brawo!). Co dopiero wydana aktualizacja dotyka narzędzia Lenovo Fingerprint Manager Pro – instalowanego domyślnie na dużej liczbie laptopów Lenovo wyposażonych w czytnik linii papilarnych: Lenovo Fingerprint Manager Pro is a utility for Windows 7, 8 and 8.1 that allows users to log into…

Arstechnica przytacza różne opinie ludzi, którym… antywirus zablokował requesty do Coinhive –  w momecie kiedy oglądali filmy z YouTube: Great now my browser everytime I watch youtube… my anti virus always blocking coinhive because malware . Idk much about it but this is getting annoying and I need a solution…

Kroki: Nieuwierzytelniona możliwość wykonania requestów typu POST do wybranych zasobów (po co taka możliwość? – nie wiadomo ;) W szczególności istnieje możliwość wykonania requestów do: vpnupload.cgi Co ma wspólnego VPN z wykonaniem kodu na urządzeniu? Więc vpnupload posiada pewną podatność, umożliwiającą ustawienie dowolnej wartości w pamięci urządzenia: ” a vulnerability that allows…