Udostępniono patcha na krytyczną podatność, umożliwiającą zdalny, nieautoryzowany dostęp do urządzenia (poprzez Winbox). Problem dotyka systemy w wersjach od 6.29 do 6.43rc3. Jako wstępny workaround podano następujące rozwiązanie: If your Winbox port is open to untrusted networks, assume that you are affected and upgrade + change password + add firewall….
Czytaj dalej »
Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można…
Czytaj dalej »
Jak najczęściej użytkownicy weryfikują dodatki do przeglądarek? Wystarczy wysoka pozycja na wyszukaniu w oficjalnym repozytorium Google do tego dobre oceny i instalujemy :) Nie jest to najlepsze podejście, o czym przekonało się (lub przekona) około 20 milionów osób które zainstalowały jedno z rozszerzeń: AdRemover for Google Chrome™ (10M+ users) uBlock Plus (8M+ users) Adblock…
Czytaj dalej »
RODO znane też jako GDPR zaczyna obowiązywać od 25 maja tego roku. A niektórzy postanowili po prostu uniknąć ryzyka bardzo wysokich kar – przykładowo sieć marketów Spar zamknęła swój program lojalnościowy (na stronie nie ma wzmianki o RODO), choć jak donosi Wojciech Boczon: W sklepie widnieje wywieszka, że to przez…
Czytaj dalej »
TL;DR – jesteś programistą i chciałbyś nauczyć się atakować aplikacje webowe? To świetnie trafiłeś :) Poszukujemy junior pentesterów / osób na staż. Nie wymagamy doświadczenia, ale potrzebujemy solidności i sporych zdolności uczenia się. Pisz na praca@securitum.pl – przesyłając swoje CV. Gdzie? Co? Jak? W Securitum realizujemy około 300 testów bezpieczeństwa…
Czytaj dalej »
Zacznijmy od cytatu: The vulnerability is due to an undocumented user account with privilege level 15 that has a default username and password. An attacker could exploit this vulnerability by using this account to remotely connect to an affected device. A successful exploit could allow the attacker to log in…
Czytaj dalej »
Microsoft udostępnił właśnie łatę na Windows Defendera (podatne są wersje na wszystkie Windowsy) – wystarczy… przeskanować odpowiednio spreparowany plik aby wykonać dowolne polecenie z uprawnieniami LocalSystem: A remote code execution vulnerability exists when the Microsoft Malware Protection Engine does not properly scan a specially crafted file, leading to memory corruption….
Czytaj dalej »
Pewnie część z Was kojarzy PC Speakera – to taki wprowadzony dawno temu w PC-tach głośniczek: Pod Linuksy jest binarka, która umożliwia odgrywanie konkretnego dźwięku na PC speakerze. Jak tłumaczą developerzy Debiana: Program beep robi to czego można się po nim spodziewać: brzęczy. Jak się jednak okazuje, nie tylko „brzęczy” –…
Czytaj dalej »
Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!). Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze,…
Czytaj dalej »
Pamiętacie aferę z procesorami Intela (Meltdown/Spectre)? Microsoft przygotował odpowiednie łaty na swoje systemy, ale w styczniowej poprawce (Windows7 x64, Windows Server 2008R2) przypadkowo wprowadzono jeszcze gorszy błąd. Otóż bez większych problemów każdy proces mógł teraz czytać / pisać do pamięci innych procesów. Prędkości odczytu dochodzą nawet do paru gigabajtów na…
Czytaj dalej »
Za jakiś czas będziecie też mogli wygrać parę bezpłatnych biletów na wejście (konkurs na rozwal.to) Sekurak jest patronem medialnym wydarzenia, publikujemy poniżej garść informacji od organizatorów. Rok temu odbyła się w Gdyni pierwsza edycja konferencji pod ciekawą nazwą x33fcon (ang. /ˈziːf-kɒn/). Konferencja w założeniu poświęcona jest współpracy Red i…
Czytaj dalej »
Chodzi dokładnie 9 osób, które wg FBI pracowało dla irańskiego rządu. Jednym z celów były ośrodki badawcze na całym świecie – wykradziono „więcej niż 30 TB danych”. Wśród poszkodowanych znajduje się również Polska: They successfully compromised approximately 8,000 professor email accounts across 144 U.S.-based universities, and 176 universities located in…
Czytaj dalej »
Facebook umożliwia przygotowanie pliku, w którym znajdziecie wszystkie (miejmy nadzieję) dane, które zebrał on o nas. Tego typu plik przygotował dla swojego profilu Dylan McKay i znalazł tam m.in logi rozmów telefonicznych (kto do kogo dzwonił, czas trwania rozmowy, status rozmowy): Podobnie zresztą było z SMS-ami – a Dylan od razu pisze,…
Czytaj dalej »
Wersja 7.70 dostępna jest tutaj. Doszło kilka nowych skryptów NSE (w dużej mierze na tym teraz skupia się rozwój nmapa), znacznie rozbudowana została też baza fingerprintów usług / systemów operacyjnych. Poza tym – jak zwykle – masa bugfixów. Jeśli ktoś chce zacząć przygodę z nmapem – polecamy nasze rozbudowane, praktyczne…
Czytaj dalej »
Niemiła przygoda przydarzyła się Teatrowi Współczesnemu w Warszawie. Instytucja padła ofiarą „ataku hackerskiego”. Teatr padł ofiarą ataku hackerskiego, w wyniku którego nastąpiła awaria serwera obsługującego sprzedaż biletów z kasy teatru, spowodowała, że utraciliśmy dane, które jesteśmy w stanie odzyskać tylko dzięki Państwu. Otóż nie wiemy, które miejsca na poszczególne spektakle…
Czytaj dalej »
