Tag: zero-day

Poniżej krótkie podsumowanie 1. dnia konkursu Pwn2Own 2016. JungHoon Lee (lokihardt): Demonstrated a successful code execution attack against Apple Safari to gain root privileges. The attack consisted of four new vulnerabilities: a use-after-free vulnerability in Safari and three additional vulnerabilities, including a heap overflow to escalate to root. This demonstration earned…

Jak co roku najlepsi specjaliści z zakresu przełamywania zabezpieczeń w popularnym oprogramowaniu spotkają się w marcu podczas tegorocznej edycji prestiżowego konkursu Pwn2Own. Dużą popularnością cieszył się zawsze konkurs hakowania przeglądarek, tym razem zabraknie w nim jednak Firefoksa…

Kongres Stanów Zjednoczonych właśnie zabezpieczył kolejne środki finansowe na programy masowej inwigilacji. Nic więc dziwnego, że rynek dostawców tego typu usług kwitnie. Kolejnym ciekawym przykładem jest tutaj izraelska firma Rayzone.

Zgodnie z informacjami udostępnionymi na Full Disclosure i powtarzanymi na rozmaitych portalach, wszystkie wersje bardzo popularnego WinRARa są podatne na trywialny do przygotowania i przeprowadzenia atak z wykorzystaniem archiwum typu SFX.

Pośród danych wykradzionych włoskiej firmie Hacking Team znaleziono dwa kolejne exploity na Adobe Flash — wykorzystujące krytyczne podatności zero-day. Co najmniej jeden z nich jest obecnie wykorzystywany do ataków na internautów.

Zgodnie z przewidywaniami pośród danych wykradzionych włoskiej firmie Hacking Team znaleziono nieznane do tej pory exploity wykorzystujące podatności zero-day.

Microsoft ostrzega, że na wolności krąży nowy exploit 0day pozwalający na zdalne wykonanie kodu poprzez podatność obecną we wszystkich wspieranych obecnie wersjach IE.

Urządzenia działające pod kontrolą Androida od wersji 2.2 domyślnie wysyłają do serwerów firmy Google wszystkie zapamiętane hasła do sieci Wi-Fi. Temat nie jest nowy, jednak w obliczu rosnących obaw o naszą prywatność, warto o tej kwestii przypomnieć.

Firma Google prowadzi swe programy wynagradzania informacji o nowych podatnościach (Google Vulnerability Reward Programs) już od trzech lat. W tym czasie odkrywcy 2 tys. nowych podatności zarobili w sumie 2 miliony USD. Teraz niektóre stawki pójdą w górę nawet pięciokrotnie.

W ostatnim czasie trwa spore zamieszanie wokół sieci TOR, a znaczna część usług w pseudodomenie .onion jest nieosiągalna. Wszystko to jednak wynika najprawdopodobniej jedynie z kłopotów najpopularniejszej darmowej platformy hostingowej do tzw. usług ukrytych.

Stało się! Nieugięty do tej pory w kwestii wynagradzania odkrywców nowych luk Microsoft zmienił zdanie. Gigant z Redmond zaoferował właśnie program zachęcający do komercyjnego poszukiwania nowych podatności w swym oprogramowaniu. Zarobić będzie można nawet 150 tys. USD!

Microsoft udostępnił właśnie Enhanced Mitigation Experience Toolkit (EMET) 4.0. EMET to darmowe narzędzie, którego celem jest zapobieganie wykorzystaniu luk (również zero-day) w zabezpieczeniach oprogramowania (zarówno Microsoftu, jak i firm trzecich), dzięki wykorzystaniu takich technologii, jak:

Bloomberg dotarł do interesujących informacji dotyczących technologicznej współpracy pomiędzy amerykańskimi korporacjami, a wywiadem USA. Jak się okazuje, oprócz słynnego już programu PRISM dotykającego danych końcowych użytkowników, wymiana informacji dotyczy również aspektów technicznych.

Ataki typu Man-in-the-Browser stanowią obecnie jedno z najpoważniejszych zagrożeń dla internetowego bezpieczeństwa, tak prywatnych internautów, jak i dużych instytucji, a ich celem są najczęściej serwisy bankowości internetowej. Spójrzmy więc ku przestrodze, jak MinB może wyglądać w praktyce.

Firma Google przedstawiła właśnie na blogu Google Online Security własne stanowisko w kontrowersyjnej kwestii czasów upubliczniania informacji o podatnościach typu zero-day. Gigant zachęca badaczy do publikowania wszystkich szczegółów już nawet po 7 dniach od momentu powiadomienia producenta.