W biegu

Adobe Reader w formie - znaleźli 50 podatności w 50 dni

13 grudnia 2018, 09:44 | W biegu | komentarzy 12

Krótki research Checkpointa zakończył się zaraportowaniem 50 podatności w Adobe Readerze. Mamy dostępną łatę. W zasadzie tutaj news mógłby się zakończyć, ale powiem to bardziej dobitnie: Podatności dające potencjalnie możliwość wykonania kodu na komputerze ofiary (najprawdopodobniej po prostu po otworzeniu odpowiednio spreparowanego pliku pdf): CVE-2018-15998 CVE-2018-15987 CVE-2018-16004 CVE-2018-19720 CVE-2018-19715 CVE-2018-19713 CVE-2018-19708...

Czytaj dalej »

Jeden z największych wycieków danych w USA: dostali się do 48 baz danych, 9 tysięcy zapytań, wyłączony monitoring bo "wygasł certyfikat", webshelle, ...

12 grudnia 2018, 10:33 | W biegu | 1 komentarz

Raczej nikt nie chwali się wynikami analizy powłamaniowej, szczególnie gdy jest ona druzgocąca. Ale inaczej jest w przypadku Equifax. Przypomnijmy - w wyniku naruszeń bezpieczeństwa wyciekło niemal 150 milionów rekordów danych osobowych. Dodatkowo - około 200 000 numerów kart kredytowych. Obecnie mamy dostępny rządowy raport opisujący szczegóły incydentu. Polecam zerknąć przynajmniej...

Czytaj dalej »

Samsung nawiązał współpracę z... podrobioną firmą

11 grudnia 2018, 16:08 | W biegu | komentarze 3

Supreme to marka dla bogatych hips ludzi ceniących swoją unikalność. Docenił to Samsung, wspierając się samym szefostwem Supreme, które wystąpiło na chińskiej konferencji organizowanej przez koreańskiego giganta. Wiadomo - Apple to styl życia, a Samsung też nie chce być gorszy. Problem w tym, że nawiązali współpracę i zaprosili na scenę ludzi...

Czytaj dalej »

Google+ tym razem błąd dający dostęp do danych około 52 500 000 użytkowników

10 grudnia 2018, 19:57 | W biegu | 1 komentarz

Niedawno pisaliśmy o podatności potencjalnie dającej dostęp do danych około 500000 użytkowników Google+. Teraz Google publikuje nową informację - naprawiony obecnie błąd potencjalnie dotykał aż 52,5 mln użytkowników i w swojej naturze podobny był do poprzedniego problemu. Zewnętrzne aplikacje, który prosiły i otrzymywały dostęp do profilu użytkownika przez API, miały...

Czytaj dalej »

Paryż płonie! Dezinformacja czy dezinformacja podwójna?

10 grudnia 2018, 15:37 | W biegu | komentarzy 18

Dla studentów kierunków dziennikarskich to zapewne normalka - jedno wydarzenie można opisać czy sfotografować na różne sposoby. Zobaczmy na pierwszy z brzegu twit (ćwierk:P) : "Paris Burns": Czy te zdjęcia są fejkiem? A może mają one ilustrować fakt, że we Francji wszystko spoko, tylko ci żądni sensacji dziennikarze... Ale może...

Czytaj dalej »

Jenkins - łata krytyczną podatność umożliwiającą wykonywanie kodu w OS poprzez odpowiednio (złośliwie) zbudowany URL

10 grudnia 2018, 11:55 | W biegu | 0 komentarzy

Problem opisany jest w ramach ID: SECURITY-595: Code execution through crafted URLs (błąd jest krytyczny, w skali CVSS 9.8 / 10, nie wymaga uwierzytelnienia). W skrócie, można wołać prawdopodobnie niemal dowolne metody javowe, korzystając właśnie z odpowiedniej konstrukcji URL-a: (...) any public method whose name starts with get, and that has a String, int, long,...

Czytaj dalej »

5G od Huawei banowane w kolejnych krajach... Czyżby wszyscy bali się globalnego backdoora?

10 grudnia 2018, 11:31 | W biegu | komentarzy 5

Jeden z czytelników podesłał nam ciekawego linka. Standard 5G może być rzeczywiście pewną rewolucją. Szybkości transferu liczące w setkach megabitów na sekundę (pojawiają się nawet informacje o 1Gbit, w praktyce, nie w teorii ;), niskie opóźnienia: Lower latency could help 5G mobile networks enable things such as multiplayer mobile gaming, factory...

Czytaj dalej »

Podsłuchy klawiatur, triki socjotechniczne, ataki na WiFi/NFC/Bluetooth

09 grudnia 2018, 21:42 | W biegu | komentarze 4

Wszystko to i wiele więcej w poradniku (zbiorze linków) Awesome Red Teaming. Znajdą tutaj inspirację początkujący, ale nie zabraknie też kilku ciekawostek dla zaawansowanych. Zarówno jeśli chodzi o prezentacje, teksty, książki, jak i sprzęt, czasem dość groźny: KeySweeper is a stealthy Arduino-based device, camouflaged as a functioning USB wall charger, that...

Czytaj dalej »

Przechwytywanie haseł na podstawie pozostałości termicznych na klawiaturze

08 grudnia 2018, 23:05 | W biegu | komentarzy 19

Zastanawialiście się jak długo temperatura z Waszych palców zostaje na wciśniętych klawiszach klawiatury?. Okazuje się niespodziewanie długo. W czasie 20-30 sekund bez problemu można odczytać wszystkie "wciśnięcia" (i to np. dla hasła: 3xZFkMMv|Y). Graniczną wartością jest około 50-60 sekund. Wystarczy odpowiednio czuła kamera termowizyjna, trochę wiedzy i pomysłowości (hej, właśnie się...

Czytaj dalej »

Hacker pokazał jak można zhackować serwis dla hackerów (SQLi w hackerone.com).

06 grudnia 2018, 18:48 | W biegu | komentarze 4

SQL injection to podatność stara jak SQL i cały czas popularna jak smog w Polsce. Tutaj ciekawy przykład SQLi w serwisie hackerone (krytyczność: 10/10 w skali CVSS). Podatność istniała w zapytaniu GraphQL:

Jak widać, wielkiej finezji tu nie ma. Podatne miejsce to (jeszcze raz): embedded_submission_form_uuid=1';SELECT 1 SELECT pg_sleep(5);-- Działa tutaj średnik, który zamyka...

Czytaj dalej »