W biegu

Trochę sensacyjny tytuł, ale popatrzcie tylko na ten film… pomieszanie nowoczesnej technologii (ułożone w rządki GPU) z tradycją (pozbijane z deszczółek stelaże) z domieszką chaosu – to palętające się kable i urządzenia niewiadomego przeznaczenia: Akcja likwidacji „tego miejsca” została zorganizowana przez Ukraińską cyberpolicję. Zarzutem jest tutaj wykorzystanie środków uniwersytetu (m.in. prądu)…

Właśnie załatano podatność, wykorzystującą prostą funkcję =WEBSERVICE() LibreOffice Calc supports a WEBSERVICE function to obtain data by URL. Vulnerable versions of LibreOffice allow WEBSERVICE to take a local file URL (e.g file://) which can be used to inject local files into the spreadsheet without warning the user. W pakiecie MS…

W Rosji każdy orze jak może – jedni ogrzewają koparkami kryptowalut mieszkania, inni próbują kopać bitcoiny na superkomputerze służącym do badań nad bronią jądrową – tak przynajmniej donosi BBC i inne media. Rosyjska agencja Interfax potwierdza incydent, choć nie podaje wielu szczegółów (niespodzianka). Cała operacja miała mieć miejsce w mieście…

Ekipa fail0verflow, znana choć z exploita na PS4, pokazała właśnie Debiana, którego udało im się uruchomić na Nintendo Switch:   Wykorzystany bug jest w Boot ROM-ie i nie da się go załatać w obecnej edycji Switchów… –ms

albo wykona dowolne inne polecenie umieszczone w $() – a wszystko w KDE, czy dokładniej: w środowisku KDE Plasma: When a vfat thumbdrive which contains „ or $() in its volume label is plugged and mounted trough the device notifier, it’s interpreted as a shell command, leaving a possibility of…

…lub za dowolną kwotę, którą chcecie zapłacić. Podstawy, parę zaawansowanych metod wstrzyknięć, omijanie filtrów czy podejście do eksploitowania XSS-a – polecam wydrukowanie i powieszenie koło biurka. –ms  

Kolejna edycja krakowskiej edycji Sekurak Hacking Party prawdopodobnie zostanie całkiem wyprzedana. Mamy dostępnych 520 miejsc (+ mała rezerwa, którą zostawimy na absolutny last minute), z czego już 419 zostało sprzedanych (pierwsze osoby miały bilety po zaledwie ~15 zł). Trochę eksperymentujemy z formułą i tym razem cała impreza odbędzie się wcześniej…

IDA to chyba najbardziej znany dezasembler. Znany również ze swojej wysokiej ceny – szczególnie w wersji Pro. A tymczasem właśnie twórcy IDY udostępnili do bezpłatnego pobrania wersję 7.0 swojego flagowego narzędzia. Warto zaznaczyć, że jest to okrojona wersja pełnego produktu – po pierwsze można go używać tylko niekomercyjnie, mamy tylko wsparcie…

Podatność ma zostać załatana 5 lutego, a była (i jest) w aktywnym użyciu od połowy listopada 2017 roku. Pocieszające jest to że: 1) zapewne większość naszych czytelników ma wyłączoną obsługę Flasha 2) błąd był wykorzystywany dość selektywnie w ramach „sąsiedzkich przepychanek” pomiędzy Koreą Północną a Południową. Można teraz pobawić się…

Z jailbreakami na iOS w wersji 11 jest ciężko, co wpisuje się w ogólny trend: w ostatnim czasie jest mało jailbreaków na iOS (również na wersję 10). A tymczasem dostaliśmy kod źródłowy jailbreaka na iOS – na wersję 11.1.2. Więcej – tutaj mamy dokładny, techniczny opis jailbreaka, również z instrukcją dla…

W tym roku będzie nas nieco mniej na konferencjach (trzeba kiedyś odpocząć), ale jednym z wyjątków jest Semafor, na którym byliśmy z sekurakową załogą już wiele razy. Tego roku na Semaforze  opowiem o bezpieczeństwie API REST, a prezentacja zorganizowana zostanie dookoła ~20 różnych przypadków podatności z życia wziętych: infrastruktura Cisco,…

Cisco właśnie wypuściło łatę na podatność CVE-2018-0101: A vulnerability in the Secure Sockets Layer (SSL) VPN functionality of the Cisco Adaptive Security Appliance (ASA) Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code. Jak widzicie wyżej – luka otrzymała maksymalną…

Operacja określana jest jako największa w 2017 roku kampania typu malwertising. Fejkowe były agencje reklamowe, z fejkowymi szefami posiadającymi konto na LinkedIN, fejkowymi profilami społecznościowymi i fejkowym „unikalnym contentem”. Niefejkowe były reklamy – z liczbą wyświetleń na poziomie 1 miliarda,  malware w nich serwowany i pieniądze płynące do przestępców. Więcej…

To może być początek naprawdę poważnych i liczonych w miliardach strat związanych z atakiem klasy cyber, czyli popularnym „zhackowaniem”. Wiele serwisów donosi o ataku na Coincheck, japońską giełdę kryptowalut. Najczęściej pojawia się kwota strat w wysokości $400-530 milionów USD połączona z datą wykrycia „incydentu” – 26 stycznia 2018 roku i…

Tym razem Lenovo nie stara się zatuszować sprawy (brawo!). Co dopiero wydana aktualizacja dotyka narzędzia Lenovo Fingerprint Manager Pro – instalowanego domyślnie na dużej liczbie laptopów Lenovo wyposażonych w czytnik linii papilarnych: Lenovo Fingerprint Manager Pro is a utility for Windows 7, 8 and 8.1 that allows users to log into…