Na koniec maja zauważono ciekawy plik Microsoft Worda zuploadowany z Białorusi: Wykonywał kod atakującego zaledwie po otwarciu dokumentu (i to nawet jeśli całkiem wyłączone były makra w Wordzie). Później okazało się, że podatność była wykorzystywana jeszcze w kwietniu i nawet zgłoszona do Microsoftu, który stwierdził…eeee to nie problem bezpieczeństwa (!)….
Czytaj dalej »
Zapraszamy Was na dwa dni szkolenia (tzn. fascynującej, obfitującej w pokazy na żywo przygody :) z bezpieczeństwem Windows. Bezpieczeństwo Windows. Elementarz każdego administratora – to dwudniowe szkolenie w formie pokazów na żywo prowadzone przez Grzegorza Tworka, dwunastokrotnie nagradzanego przez Microsoft tytułem Most Valuable Professional (MVP) oraz prelegenta Blackhat. Szkolenie jest…
Czytaj dalej »
Jeśli ktoś chce od razu przejść do zapisów – link tutaj. TLDR: Szkolenie odbywa się on-line (15.06.2022, 10:00 -> 12:30, dostępne będzie również nagranie). Wstęp jest bezpłatny (wybierz płatność 0 zł). Jeśli zdecydujesz się jednak zapłacić (dowolną kwotę) to: otrzymasz certyfikat uczestnictwa (PDF) dostęp do nagrania przez 12 miesięcy (w wersji bezpłatnej…
Czytaj dalej »
Niedawno wydano całkiem nową wersję systemu iOS (15.5), gdzie łatane są przykładowo takie podatności: Impact: Processing a maliciously crafted image may lead to arbitrary code execution ImageIO: Impact: A remote attacker may be able to cause unexpected application termination or arbitrary code execution libxml2: Impact: A remote attacker may be…
Czytaj dalej »
![Metadane – Święty Graal czy ślepy zaułek? [Czwartki z OSINTem]](https://sekurak.pl/wp-content/uploads/2022/05/czw1-150x150.png "Metadane – Święty Graal czy ślepy zaułek? [Czwartki z OSINTem]")
Zanim przejdziemy do treści wszystkie dotychczasowe odcinki serii “Czwartki z OSINTem” możecie przeczytać tutaj. Żeby niczego nie przegapić oraz otrzymać dodatkowe materiały zachęcamy do zapisania się do listy poniżej (po zapisie sprawdź swoją skrzynkę, potwierdź zapis; jeśli nie przyszedł e-mail, sprawdź też spam): *** Dzięki rosnącej liczbie satelitów, udostępniających zdjęcia…
Czytaj dalej »
Szczegóły oraz agenda czerwcowego MEGA sekurak hacking party dostępna jest tutaj. W skrócie – to cały dzień merytorycznych prezentacji o bezpieczeństwie IT, dostęp do nagrań i dwie ścieżki tematyczne bez nachalnego marketingu. Całość odbywa się on-line 13. czerwca 2022r. Jak zgarnąć bilet? Dla tych którzy błyskawicznie reagują mamy kod rabatowy:…
Czytaj dalej »
Na wspominaną przez nas lukę udostępniono exploity, trwa też exploitacja – więc jeśli udostępniacie panel zarządzania urządzeniem do sieci (API REST, port TCP 8100) to możecie mieć spore problemy. Chyba, że wgracie stosowną łatkę. Jeśli tego nie uczynicie, zobaczcie co może się wydarzyć… proste żądanie HTTP i ktoś może wykonywać…
Czytaj dalej »
Już całkiem niedługo, bo w wersji Chrome 106 (okolice lipca 2022) Chrome uniemożliwi ustawienie własnej wartości document.domain w celu osłabienia Same Origin Policy, co może w efekcie pozwolić na dodatkowe uszczelnienie modelu bezpieczeństwa w tej przeglądarce. Zacznijmy może od wyjaśnienia czym w ogóle jest document.domain w przeglądarkach i dlaczego jego…
Czytaj dalej »
Akcja była nieco sprytniejsza niż można się spodziewać. Napastnik wykonał następujące kroki: Phishing na użytkowników platformy SAM (dostawcy, którzy chcą dostarczać ;) swoje produkty / usługi m.in. amerykańskiemu DoD). Do wysyłki e-maili użyto tutaj domeny dla-mil.com (ta prawdziwa to dla.mil) W mailu był link do fałszywej strony do logowania do…
Czytaj dalej »
Gdyby ktoś miał wątpliwości czy bezpieczeństwo aplikacji webowych ma się coraz lepiej – tutaj macie odpowiedź: nie ma się lepiej ;-) Opis podatności jest dość jednoznaczny: This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP system through the management port and/or self IP addresses to execute…
Czytaj dalej »
![Apki, słuchawki i inne wyciekające informacje [Czwartki z OSINTem]](https://sekurak.pl/wp-content/uploads/2022/05/bagram-150x150.jpeg "Apki, słuchawki i inne wyciekające informacje [Czwartki z OSINTem]")
Zanim przejdziemy do omówienia kolejnego ciekawego przypadku dookoła OSINTu, dwa ogłoszenia :-) Po pierwsze – wszystkie odcinki cyklu są zebrane tutaj: https://sekurak.pl/tag/osint-czwartki/ Po drugie – autor cyklu prowadzi niedługo bezpłatne szkolenie: O wpadkach OPSEC (dokładniej rzecz ujmując: jest ono w modelu płać ile chcesz – a każdy kto zapłaci co…
Czytaj dalej »
Na całodniowe wydarzenie zapraszamy już 13. czerwca 2022 roku. Całość odbywa się w formule on-line, dzięki czemu każdy zapisany otrzyma zapis filmowy prezentacji (na 30 dni). Zwracam też uwagę na bilety VIP, których jest ograniczona liczba (30, na obecną chwilę już 22), a w których macie unikalną szansę zdobycia czarnej…
Czytaj dalej »
Jeśli chcecie bez zbędnych dodatków przejść od razu do zapisania się – można to zrobić tutaj. W skrócie: * szkolenie dostępne jest w modelu płać ile chcesz (również można wybrać opcję 0 zł)* jeśli zapłacisz dowolną kwotę dostaniesz certyfikat uczestnictwa (PDF)* może zapisać się każdy (osoba prywatna, osoby z firm)*…
Czytaj dalej »
Projekt chwali się swoimi osiągnięciami: Today, thousands of the world’s largest corporations, leading universities, and governments rely on our open-source, cloud-native, and uniquely extensible products and industry solutions. Together, we execute in excess of 18 trillion transactions, expose more than 200,000 APIs, and manage over 100 million identities every single…
Czytaj dalej »
Historia rozpoczyna się od od… kodeków audio firmy Apple :-D The Apple Lossless Audio Codec (ALAC), also known as Apple Lossless, is an audio coding format, developed by Apple Inc. and first introduced in 2004 for lossless data compression of digital music. Od 2011 roku kodek jest dystrybuowany w modelu…
Czytaj dalej »
