W najnowszym biuletynie bezpieczeństwa popularnego, międzyplatformowego odtwarzacza multimediów VLC, znalazła się informacja o załataniu podatności typu heap based buffer overflow. Wykorzystanie tej podatności, związanej z odtwarzaniem strumieni mms (Microsoft Media Server), może prowadzić nawet do wykonania kodu z uprawnieniami użytkownika. Oznacza to, że napastnik będzie miał możliwość dokonywania tych samych operacji, co…
Czytaj dalej »
Akcję opisuje Wired, a krótką relację filmową możesz oglądnąć tutaj. Co się wydarzyło? Zacznijmy od tego, że przecież tak długie hasło jest abolutnie niełamalne! Zgoda, przy przym błąd podczas jego generacji spowodował, że nie jest ono wcale tak losowe… Portfel został utworzony w 2013 roku, a hasło do niego zostało…
Czytaj dalej »
Kiedy ostatnio aktualizowaliście Google Chrome? Niezależnie, czy robiliście to dawno, czy niedawno to… pora zrobić to ponownie. Ostatnie tygodnie obfitowały w krytyczne błędy bezpieczeństwa w przeglądarce Google, ale właśnie pojawiła się kolejna podatność. Do załatanych podatności w maju tego roku dołączyła właśnie czwarta. Najnowsza podatność, której nadano identyfikator CVE-2024-5274, jest aktywnie wykorzystywana…
Czytaj dalej »
Nie tak dawno pisaliśmy o możliwości wykonania kodu na NAS’ach od D-Linka. Okazuje się, że nowszy sprzęt, a konkretnie wysokowydajne routery D-Link DIR-X4860 obsługujące WiFi 6 również mają problem – i to całkiem poważny. Według informacji producenta, urządzenie to jest wciąż w aktywnej sprzedaży, a jego wsparcie jeszcze nie wygasło….
Czytaj dalej »
Na blogu eclypsium.com opublikowano wpis, który opisuje niedawno załatane podatności oznaczone jako CVE-2024-21793 oraz CVE-2024-26026 dotyczące produktów BIG-IP Next firmy F5. Od początku roku obserwujemy wysyp ciekawych podatności na urządzenia sieciowe między innymi Fortinetu czy Ivanti. Nic dziwnego, ich kontrola zapewnia atakującym całkiem ciekawe możliwości. Odkryte podatności zostały znalezione w…
Czytaj dalej »
Piątkowy wieczór to ulubiony czas administratorów oraz badaczy bezpieczeństwa. Zgłoszenia w tym czasie są chyba najbardziej frustrujące a z drugiej strony, początek weekendu to ulubiony czas hackerów na zabawę w bug bounty. Tym razem użytkownik portalu Twitter/X @Yanir_, opublikował krótki wpis oraz post na blogu w którym opisuje jak był…
Czytaj dalej »
Każdy zespół bezpieczeństwa lubi otrzymać zgłoszenie podatności w piątek po 17. Tym razem autor znaleziska (@Creastery) opisuje szczegóły podatności, którą odnalazł w okolicach Świąt Bożego Narodzenia 2023, odrywając zespół reagowania na incydenty od makowca. Użytkownicy GitHuba mogli trafić na ogłoszenie, w którym informowano że sekrety, takie jak klucze API itd….
Czytaj dalej »
Nie ma dziś chyba programisty, który nie słyszał o projekcie Mozilla Foundation, języku programowania Rust, który zdobywa serca kolejnych developerów. Język ten dorobił się sporej grupy fanów, a dzięki cechom takim jak memory safety oraz type safety trafił do kernela systemu Linuks. Cechy te utrudniają programistom pisanie kodu, który mógłby…
Czytaj dalej »
Jeśli jesteście właścicielami starszego modelu urządzenia typu NAS firmy D-Link, przeczytajcie koniecznie – nie mamy dla Was dobrych wiadomości. Nowy użytkownik GitHuba netsecfish (konto założone dwa tygodnie temu, posiadające jednego obserwującego oraz trzy publiczne repozytoria) udostępnił informację o podatności dotykającej wielu starszych urządzeń D-Linka z linii dysków sieciowych. Luka sklasyfikowana…
Czytaj dalej »
Developerzy GrapheneOS już w styczniu poinformowali opinię publiczną, że zgłosili do Google podatności w firmware Pixela. Ogłosili też, że podobne zgłoszenia zostaną wysłane odnośnie telefonów firmy Samsung. Google w swoim biuletynie informacyjnym dodał informację, że niektóre z tych podatności mogą być aktywnie wykorzystywane, jednak na niewielką skalę. O co chodzi?…
Czytaj dalej »
Niedawno pisaliśmy o tym, jak wykorzystanie niebezpiecznych mechanizmów serializacji może być metodą ataku na developerów. Tym razem przedstawiamy research przeprowadzony przez WIZ, który korzystając z podobnych mechanizmów umożliwia atak na infrastrukturę usługi AI-as-a-Service. AaaS jest kuszącym rozwiązaniem w dobie AI ze względu na spore wymagania sprzętowe. Skorzystanie z rozwiązań chmurowych…
Czytaj dalej »
Cztery dni temu ConnectWise opublikowało notkę oraz wydało łatki na dwie podatności. Informacji tej został nadany najwyższy priorytet, co nie jest niczym niezwykłym w przypadku luki, która otrzymała najwyższą liczbę punktów w skali CVSS, czyli 10.0. Niecodziennie spotyka się błędy bezpieczeństwa o tak wysokim współczynniku, dlatego warto przyjrzeć się technicznym…
Czytaj dalej »
Mathy Vanhoef wspólnie z Héloïse Gollier opublikowali raport z badań przeprowadzonych w ramach grantu od firmy Top10VPN. Wskazali dwie podatności, które narażają poufność danych w sieciach bezprzewodowych. Problem dotyka sieci zabezpieczonych najnowszymi standardami oraz wykorzystujących mechanizmy serwera uwierzytelniającego (WiFi Enterprise). W raporcie przedstawiono szczegółową analizę błędów oraz opisano dwie podatności:…
Czytaj dalej »
Ostatnie tygodnie to zdecydowanie nie jest dobry czas dla producentów sprzętowych VPN-ów. Zapewne pierwsze doniesienia skłoniły badaczy do dokładniejszego przyjrzenia się konkretnym aplikacjom np. od firmy Ivanti, a dalej zadziałała już kwestia skali. Niestety, jak na aplikacje sprzętowe, które mają gwarantować bezpieczny dostęp do sieci wewnętrznej to nie wygląda to…
Czytaj dalej »
Okazuje się, że Fortinet to nie jedyny producent, któremu aktywnie przyglądają się nie tylko badacze bezpieczeństwa ale i grupy APT :). Po niedawnych rewelacjach dotyczących Connect Secure, znów pojawiła się informacja o pilnej potrzebie aktualizacji wskazanego VPNa a także dwóch innych rozwiązań. Tym razem jest to podatność typu XXE (XML…
Czytaj dalej »
