Aktualności

Jakiś czas temu realizowaliśmy (w ramach Securitum) testy penetracyjne jednej z aplikacji webowych, należących do Canal+. Sam zamawiający zgodził się na upublicznienie raportu, który można zobaczyć tutaj [EN version]. W szczególności warto spojrzeć na pierwszą podatność (log4shell na ekranie logowania): Inne nasze publiczne raporty: Przy okazji jeśli chciałbyś dołączyć do…

Dość długi opis ostatnio załatanej podatności można znaleźć tutaj. Istota problemu wygląda następująco: 1. Zimbra używa mechanizmu cache (memcache) aby do obsługi (m.in. logowania) wybrać odpowiedni serwer w backendzie. Co ciekawe, mechanizm działa również wtedy gdy mamy instalację całości tylko na jednym serwerze: 2. Dane logowania użytkownika (email/hasło) są wysyłane…

Sektor szeroko pojętego IT wymaga stałego rozwoju i doskonalenia swoich umiejętności Praca programisty to często też pasja i sposób na życie. Najlepsi w branży żyją i oddychają technologią, w której się specjalizują. Tutaj nadzwyczaj wyraźnie widać działanie zasady: „Kto stoi w miejscu, ten się cofa”. Nie popełniaj tego błędu i…

Więcej szczegółów można poczytać tutaj. Wersja Chrome 102.0.5005.115 przynosi łatki na 4 podatności kategorii High, np.: [$TBD][1330379] High CVE-2022-2011: Use after free in ANGLE. Reported by SeongHwan Park (SeHwa) on 2022-05-31 Patrząc np. na czasy zgłoszenia / szybkość reakcji, można się spodziewać że luki umożliwiają atakującym wejście na system operacyjny,…

Wydarzenie realizujemy w formule on-line już 13. czerwca (poniedziałek): https://sklep.securitum.pl/mshp-edycja-zdalna-czerwiec-2022 Całość to pełen dzień merytorycznych prezentacji (uff, wreszcie brak nachalnego marketingu :) + dostęp do nagrań + konkursy (będzie można wygrać nasze kubki, Yubikey 5NFC – mamy 5 sztuk do rozdania, czy t-shirty) + intensywne dyskusje na Discordzie – do…

O podatności pisaliśmy niedawno. CVE-2022-30190 posiada ocenę ryzyka na poziomie 7.8/10, ale nie dajcie się zwieść liczbom. Atakujący dostarcza ofierze plik (np. doc z MS Office) i po samym otwarciu, na jej komputerze wykonuje się złośliwy kod. Microsoft z dziwnych powodów nie jest w stanie przygotować łatki (chociaż zapewne nad…

Tym razem zaalertował nas Tomek: Czym ten scam różni się od setek innych? Formalnie przychodzi on od Google (zobaczcie na nadawcę, powiadomienie z Google Forms), więc osoby które tylko sprawdzają nadawcę mogą dać się nabrać. Dalej to już oczywiście podpucha na całego, domena .ru – kto o zdrowych zmysłach by…

Maciej podesłał nam taki zrzut ataku kierowanego na jego firmę: Trochę kulawy translatorowy język, grubymi nićmi próba podszycia się pod office365 (?)… Ale pewnie trochę mniej świadomych działów HR może się nabrać i przelać pensję na nowe „lewe” konto. No właśnie, nie ma tutaj żadnego „podejrzanego” załącznika czy linku. Podawane…

W jednej zmianie mamy dwie dobre rzeczy: Aktualizacje bezpieczeństwa będą publikowane zanim jeszcze wyjdzie nowa wersja systemu iOS (do tej pory mając lukę np. w 15.5.0 trzeba było czekać na wydanie 15.5.1) Aktualizacje bezpieczeństwa będą mogły być automatycznie instalowane i to (zapewne najczęściej) bez restartu całego systemu. Sam użytkownik będzie…

TL;DR – zapraszamy do pracy w Securitum/Sekuraku – mamy otwarte ponad 10 miejsc na trzy typy stanowisk: entry, medium i senior pentester. Poszukujemy osób z całego kraju. Praca zdalna, top warunki. CV na: praca@securitum.pl Rok 2021 był przełomowy dla nas, przyjęliśmy blisko 15 osób, zrobiliśmy ~570 komercyjnych testów penetracyjnych. Między…

15 czerwca 2022 o godzinie 18:00 zapraszamy wszystkie dzieci w wieku 11+ na bezpłatne szkolenie z cyberzbezpieczeństwa (zachęcamy do dołączenia również rodziców). Wraz z Michałem Wnękowiczem zmierzymy się z najczęstszymi zagrożeniami w sieci oraz sposobami jak się przed nimi chronić. Podczas streamu nie będziemy zanudzać zbędną teorią a w atrakcyjny sposób…

Aktualizacja: dostępna jest już łatka. Confluence poinformował o istnieniu aktywnie wykorzystywanego błędu typu 0-day na każdą obecnie wspieraną wersję Confluence. Błąd dotyczy tylko instancji on-prem, bo wersja cloud jest już załatana. Błąd pozwala na wykonanie dowolnego kodu po stronie serwera bez potrzeby uwierzytelnienia. Został on odkryty przez firmę Volexity, która…

Istotną podatność w przeglądarkach internetowych Google Chrome, Microsoft Edge i Opera wykrył niedawno Maciej Pulikowski. Raport na ten temat został zaakceptowany, a za zgłoszenie przekazano nagrodę w wysokości 10 000 USD, w ramach programu Google Bug Bounty. Jest to już 7 podatność w Chromium zgłoszona przez tego autora. Błąd bezpieczeństwa…

Co kryje się pod domeną centrum24-app[.]pl ? Skopiowana strona bankowości elektronicznej Santandera (jak widać, są nawet uwagi dotyczące bezpieczeństwa :P) Przestępcy proszą oczywiście o wszystkie znaki hasła maskowanego…: Oczywiście na koniec przestępcy będą nam chcieli wyczyścić konto, uważajcie i nie dajcie się nabrać! ~ms

Ostatnio policja ma pełne ręce roboty, tym razem czytamy: W okresie czasu od 19 maja do 25 maja 2022 roku za pośrednictwem sieci teleinformatycznej sprawcy wykorzystując dane mieszkańca powiatu makowskiego poprzez kazanie pokrzywdzonemu zainstalowania aplikacji AnyDesk na swoim telefonie, dokonali z jego kont wypłat gotówki na kwoty 36 tysięcy zł…