Tag: podatność

Podatność w antywirusie TrendMicro - banalne wykonanie kodu na komputerze ofiary

12 stycznia 2016, 20:24 | W biegu | 1 komentarz

Wykorzystanie błędów w oprogramowaniu antywirusowym nie musi być wcale trudne. Tavis Ormandy pokazał tym razem krytyczny błąd w antywirusie TrendMicro. Oprogramowanie to domyślnie instaluje komponent Password Manager. Ten z kolei otwiera na localhost, port 49155. Jednak usługa działająca na tym porcie jest podatna na zdalne wykonanie kodu. Proof of Concept: Wystarczy...

Czytaj dalej »

Firefox 42 wydany - z naprawionym "naszym" błędem bezpieczeństwa

03 listopada 2015, 18:30 | W biegu | 1 komentarz

Mozilla wydała dzisiaj nową wersje swojej przeglądarki - Firefoksa 42.0. Jakie czekają nas nowości? Wprowadzono nowy tryb ochrony przed śledzeniem w trybie prywatnym, Po raz pierwszy została wydana natywna wersja na 64-bitowe Windowsy, Informacja o tym, która zakładka w przeglądarce wydaje dźwięk wraz z możliwością jego wyciszenia, Naprawiono 18 błędów bezpieczeństwa,...

Czytaj dalej »

Zdalne przejęcie kontroli nad Androidem - opublikowano exploit

10 września 2015, 14:44 | W biegu | komentarze 2

Jakiś czas temu pisaliśmy o podatności umożliwiającej przejęcie kontroli nad Androidem poprzez wysyłkę złośliwego MMS-a (od tego czasu np. część operatorów GSM wyłączyła automatyczne pobieranie treści MMS na telefony). Obecnie dostępne jest więcej informacji o samej podatności - w tym działający exploit - tworzy on plik mp4, który po otwarciu na...

Czytaj dalej »

Microsoft łata krytyczny błąd w Windowsach mający 15 lat...

12 lutego 2015, 21:18 | W biegu | komentarze 3

Ostatnimi czasy Microsoftowi ciężko idzie ze sprawnym wydawaniem poprawek bezpieczeństwa. Tymczasem, dwa dni temu na technecie ukazał się ciekawy opis scenariusza wykorzystania dwóch co dopiero załatanych błędów: MS15-011 (Vulnerability in Group Policy Could Allow Remote Code Execution) oraz MS15-014 (Vulnerability in Group Policy Could Allow Security Feature Bypass). Całość polega...

Czytaj dalej »

Gmail i Google+ - czyli opowieść o dwóch XSS-ach

30 kwietnia 2014, 11:03 | Teksty | 1 komentarz
Gmail i Google+ - czyli opowieść o dwóch XSS-ach

Poszukiwanie XSS-ów w ciasteczkach http jest równie uzasadnione, jak w parametrach GET czy POST. Na takie podatności szczególnie narażone są firmy, które korzystają z wielu subdomen do hostowania swoich stron, wówczas XSS z jednej domeny może być eskalowany do innej (potencjalnie o wyższej istotności). Takie poszukiwania to także świetna okazja do rozwinięcia swoich umiejętności.

Czytaj dalej »