Meta pochwaliła się właśnie dwiema ciekawymi funkcjami. Po pierwsze mamy tutaj ustawienie (domyślnie wyłączone) – „Chroń adres IP podczas połączeń” O co tutaj chodzi? Podczas połączenia głosowego WhatsApp zestawia połączenie urządzenie-urządzenie (P2P) – tak aby usprawnić całą komunikację. Rzeczywiście jest ona usprawniona, ale zdradza adresy IP obu stron. Po ustawieniu…
Czytaj dalej »
Projekt ZDI opublikował pewne szczegóły dotyczące podatności w Microsoft Exchange. Do wykorzystania podatności potrzebny jest dostęp do konta użytkownika, a mając takowy można wykonać kod na serwerze z uprawnieniami SYSTEM. Wg ZDI, podatność została zgłoszona do Microsoftu we wrześniu tego roku, ale na razie nie została załatana. Takich niezałatanych podatności…
Czytaj dalej »
Szczegóły dostępne są tutaj oraz tutaj. Jak czytamy: (…) luka umożliwiająca wstrzykiwanie poleceń systemu operacyjnego dotyczy kilku wersji systemu operacyjnego QNAP. W przypadku wykorzystania podatność może umożliwić zdalnym atakującym wykonywanie poleceń za pośrednictwem sieci. An OS command injection vulnerability has been reported to affect several QNAP operating system versions. If…
Czytaj dalej »
Nauka z pomocą kursów video staje się coraz popularniejsza – głównie ze względu na wygodę i elastyczność, a także dość prosty sposób przedstawienia zagadnień poruszanych w trakcie takiego kursu. Dostęp do wiedzy uzyskujemy bez konieczności opuszczania domu, o każdej porze dnia lub nocy, wraz z możliwością dawkowania sobie informacji tak,…
Czytaj dalej »
Samo nagranie dostępne jest tutaj: Głos momentami się tnie, jest do bólu uszu monotonny, a także niezsynchronizowany z obrazem. Niemniej jednak taki dość toporny przekaz dla wielu osób będzie zapewne wystarczający. Wystarczający aby kliknąć, podać swoje podstawowe dane, a później odebrać telefon od rzekomych konsultantów inwestycyjnych. Ci ostatni skłonią ofiarę…
Czytaj dalej »
The Record wskazuje na nowe zagrożenie – chodzi o aktualizacje regulacji eIDAS (Electronic Identification, Authentication and Trust Services), które: umożliwią państwom członkowskim UE wydawanie tzw. kwalifikowanych certyfikatów stron internetowych (QWAC). W rzeczywistości są to certyfikaty kryptograficzne, które przeglądarki internetowe miałyby prawny obowiązek uznać za ważne, co potencjalnie otwiera drogę rządom…
Czytaj dalej »
Sam CVSS to sposób na „wycenę” podatności w skali od 0 do 10 (0 – w zasadzie to nie jest podatność; 10 – podatność krytyczna). Listę zmian w stosunku do CVSS 3.1 znajdziecie w tym miejscu. Jeśli wersja 3.1 wydała się Wam zbyt skomplikowana to wersja 4.0 – dodaje jeszcze…
Czytaj dalej »
Producent ostrzega o luce w tym miejscu: W ramach naszych ciągłych procesów oceny bezpieczeństwa odkryliśmy, że klienci korzystający z Confluence Data Center / Server są narażeni na znaczną utratę danych w przypadku wykorzystania podatności przez nieuwierzytelnionego atakującego. As part of our continuous security assessment processes, we have discovered that Confluence…
Czytaj dalej »
O samym projekcie Sekurak.Academy możecie poczytać tutaj – w skrócie jest to 30+ krótkich szkoleń rocznie (15+ na semestr), każde szkolenie z dostępnym nagraniem. Szkolenia przeznaczone są głównie dla osób z IT / wchodzących w tematykę bezpieczeństwa IT (lista szkoleń tutaj). Około 3-4 szkoleń na semestr przeznaczonych jest dla osób…
Czytaj dalej »
Podatność została już załatana, a opisana jest dość niewinnie, tj. jako: „Sensitive information disclosure„. Coż to za „sensytywne informacje”, których wyciek zasługuje aż na ocenę 9.4/10 jeśli chodzi o skalę krytyczności? Okazuje się, że naprawdę prostym żądaniem HTTP (odpowiednio duża liczba znaków w nagłówku HTTP Host), można pobrać fragmenty pamięci…
Czytaj dalej »
Poza nową wersją iOS z linii 17, udostępniono też aktualizacje w linii 16 oraz 15 (tutaj wspierany jest np. iPhone 6s, który wyszedł w 2015 roku!) W iOS 17.1 załatano aż trzy podatności umożliwiające na wykonanie kodu w OS, po wejściu na zainfekowaną stronę: Impact: Processing web content may lead…
Czytaj dalej »
Sekurak Academy to projekt umożliwiający regularny udział w krótkich (2-3h) skondensowanych szkoleniach z bezpieczeństwa IT. Pierwsza edycja (2023) okazała się być ogromnym sukcesem (przeszło 3000 zapisanych osób). Czas na edycję 2024. Bilety dostępne są w wariantach (z gadgetami lub bez), pakietach firmowych oraz w opcji sprezentowania dostępu innej osobie –…
Czytaj dalej »
Tutaj kilka słów o tym, czym jest Jabber / XMPP (w skrócie: komunikator). Szczegóły incydentu dostępne są w tym opisie. W skrócie: Wg doniesień atakujący wykonywał operację w kwietniu 2023 roku, a został wykryty przypadkiem, bo wygasł mu certyfikat (z punktu 1 powyżej) – co poskutkowało błędem po stronie klientów….
Czytaj dalej »
Sporo detali podrzuciła nam ekipa Talos, a chodzi o luki: CVE-2023-20198 oraz CVE-2023-20273. W skrócie, można startując zupełnie od zera (wystarczy anonimowy dostęp do panelu webowego urządzenia) uzyskać dostęp do pełnych uprawnień (root) na urządzeniu. Wszystko przez połączenie dwóch exploitów: Fixów na razie brak, ale mają pojawić się lada moment…
Czytaj dalej »
W dość suchym oświadczeniu tutaj, Okta pisze o ataku na swój system helpdesk. Okta Security zidentyfikowała wrogie działanie, które wykorzystywało wykradzione dane uwierzytelniające – w celu uzyskania dostępu do systemu pomocy technicznej Okta. Okta Security has identified adversarial activity that leveraged access to a stolen credential to access Okta’s support…
Czytaj dalej »
