W biegu

Zobaczcie tylko na to dość oryginalne pismo przesłane pocztą tradycyjną: Wiecie, rozumiecie, brexit, płacić trzeba, patriotyzm, i tak dalej. Ważne że królowa potrzebuje Bitcoinów :-) Ciekawe czy ktokolwiek się złapał na taki dość nietypowy phishing? –ms

Rosjanin, który przyznał się do winy naprawdę nieźle poszalał. Skala i sposób działania były zorganizowane na tyle z rozmachem, że podejrzewano ingerencję rosyjskiego rządu (w sumie nie jest to wykluczone): Andrei Tyurin, 35, whose last name is also spelled Tiurin, also pleaded guilty to hacks against other US financial institutions,…

Afera dotyczy najnowszego systemu iOS 13, gdzie umożliwiono instalację zewnętrznych (programowych ;) klawiatur. W opisie problemu Apple pisze dość enigmatycznie: Third-party keyboard extensions in iOS can be designed to run entirely standalone, without access to external services, or they can request “full access” to provide additional features through network access….

Dość kuriozalny błąd wykorzystywany jest przez tego exploita. Forum po prostu bierze jeden z parametrów przesyłany bez uwierzytelnienia i jego wartość traktuje jako polecenie w OS do wykonania… Podatność występuje od wersji 5.0.0 aż do ostatniej – 5.5.4. Na razie jeszcze nie wydano łatki i jak można się spodziewać exploit…

Podatność występuje w Internet Explorerze 9, 10, 11 i dotyka wszystkich Windowsów (od 7-ki do 10-tki, w tym serwerowe). Luka umożliwia wykonanie złośliwego kodu w systemie operacyjnym ofiary, po wejściu na odpowiednio przygotowaną stronę. Problem jest na tyle duży, że Microsoft przygotował łatę, poza standardowym cyklem aktualizacji. Łatajcie się (i…

Właśnie opublikowaliśmy obejście ochrony przed XSS dostarczanej przez DOMPurify (podatność właśnie została załatana). Całość to kolejna publikacja na naszym anglojęzycznym research blogu – poprzednie unikalne wpisy dotyczyły paru bugów w Chrome dotyczących elementu <portal>, oraz tematyki SSTI (Server-Side Template Injection) w systemie szablonów Pebble. Kolejne publikacje niebawem, śledźcie bezpośrednio research.securitum.com i/lub konto…

Zerknijcie tutaj. Zdjęcia można pobierać losowo, w trakcie tworzenia jest również API (gdzie będzie można przefiltrować wyniki, po pochodzeniu etnicznym (są też Słowianie), wieku, płci czy nastroju czy kolorze skóry). Twórcy projektu piszą tak: Every image was generated by our internal AI systems as it continually improves. Use them in…

Chodzi o znany zapewne większości naszych czytelników incydent, który doprowadził do ujawnienia rekordów o przeszło 2 milionach osób. Poza danymi osobowymi były tam też zahashowane hasła, (na temat szybkości ich łamania przygotowaliśmy osobny tekst). O nałożonej karze przez UODO można poczytać tutaj („kara za niewystarczające zabezpieczenia organizacyjne i techniczne”): Zastosowane…

Zobaczcie na to dość rozbudowane badanie. Przygotowano testowo ekstremalnie smart apartament: Były tam telewizory, dongle do telewizorów, kamery, suszarki do ubrań, dzwonki, pralki, żarówki czy asystenci głosowi – wszystko bardzo inteligentne i wysyłające dane do Internetu (w sumie 81 urządzeń umieszczonych w labie znajdującym się w UK oraz osobnym w…

Dzisiaj na oficjalnym twitterze GitHub pojawiła się informacja, że stali się CNA, czyli CVE Numbering Authority. Oznacza to, że badacze bezpieczeństwa będą mogli zwrócić się do serwisu w celu przydzielenia numerów CVE dla znalezionych podatności.  CVE to skrót od Common Vulnerabilities and Exposures i jest ogólnie przyjętym systemem katalogującym informacje…

O problemie doniósł the Hacker News. Całość do podatność klasy CSRF (czyli zmuszenie przeglądarki ofiary do wykonania jakiejś nieautoryzowanej akcji; w naszej książce mamy cały rozdział o tym problemie): W zasadzie widać co tutaj się dzieje. Wystarczy osadzić tego typu obrazek na jakiejś stronie (np. na sekuraku) – oraz umieścić stosowną…

Jeśli ktoś chce zobaczyć trochę realnych, świeżych podatności w IoT, zachęcam do lektury wyników badania projektu SOHOpelessly Broken 2.0. Na celownik wzięto 13 urządzeń, w których każde miało minimum jedną podatność webowo-aplikacyjną (co nie dziwi…): All 13 of the devices we evaluated had at least one web application vulnerability such…

Osoby które czytują sekuraka mają już przeczucie o jaką branżę chodzi – tak to wojsko USA (Air Force). Eksperyment z pewnymi systemami F-15 na tegorocznym Defconie się powiódł, a na przyszły rok szykuje się prawdziwa niespodzianka. W scope będzie sam satelita ale również infrastruktura naziemna: While sending elite hackers after…

W zasadzie każdy normalny kraj posiada centralną bazę danych obywateli. Co jednak się może wydarzyć kiedy taka baza wycieknie? VPNMentor doniósł właśnie o namierzeniu otwartej do Internetu bazy Elasticsearch, zawierającej przeszło 20 milionów rekordów o obywatelach Ekwadoru. Kraj ten ma ok. 16 milionów ludzi, jednak w bazie zdarzają się informacje…

Google Project Zero donosi o załatanej już podatności w LastPass (czy raczej przeglądarkowym pluginie dostarczanym przez tego managera haseł). PoC jest dość prosty i umożliwia na wykradzenie hasła wpisywanego na poprzednio odwiedzanej stronie: Luka jest już załatana, ale warto pamiętać że to właśnie pluginy przeglądarkowe są piętą Achillesową managerów haseł……