Jeśli ktoś jeszcze nie zna platformy Magento, krótki opis ze strony Natanela Rubina, osoby która znalazła w tym popularnym systemie e-commerce, co najmniej dwie krytyczne podatności: Magento is an extremely popular eCommerce platform with a 30% share in the eCommerce market. It is used by major corporations, such as Samsung, Nike and Lenovo,…
Czytaj dalej »
Sekurak objął patronatem wydarzenie PyCon, stąd publikujemy prośbę o nadsyłanie ciekawych propozycji wystąpień. Właśnie uruchomiono Call for Proposals konferencji PyCon PL 2016, czyli nabór na propozycje prelekcji, warsztatów, paneli dyskusyjnych oraz innych aktywności konferencyjnych. Propozycje będą przyjmowane do 10 czerwca. Kiedy i gdzie? PyCon PL 2016 to dziewiąta edycja największej konferencji…
Czytaj dalej »
Na blogu Talos pokazał się opis dwóch spatchowanych niedawno podatności w 7-zip. Co więcej, inne biblioteki, korzystające z tego popularnego pakera, również mogą być podatne. –ms
Czytaj dalej »
Tym razem w ramach patronatu zapraszamy do udziału w II edycji konferencji CyberGOV, dotyczącej bezpieczeństwa IT z perspektywy sektora publicznego, która odbędzie się 17 maja w Warszawie. Udział w spotkaniu jest bezpłatny dla osób z sektora publicznego. Kluczowymi tematami konferencji CyberGOV będą: – strategia cyberbezpieczeństwa dla RP; – dyrektywa NIS – implementacja w…
Czytaj dalej »
Na tegorocznym Confidence będzie można posłuchać mojej świeżej prezentacji: „Internet of Things – Internet of Bugs”. W ramach pokazów na żywo postaram się pokazać m.in. tematykę fizycznego wpinania się w port diagnostyczny na jednym TP-Linków (może uda to się postreamować kamerką USB na żywo – łącznie z dobieraniem się do…
Czytaj dalej »
Popularna biblioteka Stuts2, w ostatnim czasie zaliczyła kilka podatności klasy Remote Code Execution, z czego część doczekała się nawet modułu w Metasploicie. Przed naciśnięciem przycisku >panic< oczywiście warto wczytać się w szczegóły błędu, i sprawdzić choćby czy w naszym przypadku jest jak w opisie podatności – czyli atak nie wymaga…
Czytaj dalej »
Firma FireEye donosi o podatności w Androidzie (4.3, 4.4, 5.0), która została znaleziona w oprogramowaniu firmy Qualcomm (w ramach pakietu network_manager, który jest składnikiem Android Open Source Project). Podatność została wprowadzona aż w 2011 i przede wszystkich dotyka Androida 4.3 (ok 34% całej „populacji” Androida) – pozostałe systemy są podatne w mniejszym…
Czytaj dalej »
Wydaje się, że powoli czas odchodzić od OpenSSL: tym razem wydano paczkę zawierającą poprawki m.in. 2 błędów o poziomie niebezpieczeństwa wysokim. Jedna z nich umożliwia na częściowe odszyfrowanie ruchu (z wykorzystaniem odpisywanego ostatnio przez nas Padding Oracle) – przy pewnych warunkach. Błąd wprowadzono łatając podatność Lucky 13 (CVE-2013-0169), która łatała…
Czytaj dalej »
Tym razem będziemy mieć prezentację na Quality Meetup w Gliwicach. Całość 12-stego maja i będzie można posłuchać mojej prelekcji o różnych ciekawostkach z obszaru testów penetracyjnych a i zobaczyć kilka ataków na żywo. Wstęp wolny, ale wymagana wcześniejsza rejestracja. –Michał Sajdak
Czytaj dalej »
TL;DR Błąd w ImageMagick umożliwia zdalne wykonanie kodu – wystarczy uploadowanie odpowiednio spreparowanego pliku graficznego. Są gotowe exploity, jest też niekompletny fix (na dzień 4.05.2016), a relacje środowiska są dość nerwowe a całe upublicznienie sprawy dość szybkie i momentami chaotyczne. Jako bonus (niezależnie od OS command exec) możliwe są też scenariusze: SSRF,…
Czytaj dalej »
Jak informuje fiński serwis Iltalehti, 10-letni Jani otrzymał od Facebooka 10 tys. USD za zgłoszenie luki w Instagramie.
Czytaj dalej »
Tym razem skimmer udawał osłonę na pinpad, służącą normalnie do tego żeby utrudnić ujawnienie wpisywanego PIN-u (!): Później okazało się w środku jest urządzenie domowej konstrukcji, posiadające własną kamerę (z detekcją ruchu) i umiejące zapisywać nagrane filmy (z wpisania PIN-u) na karcie SD: Filmy te zresztą udało się cytowanemu badaczowi…
Czytaj dalej »
Na rozwal.to wylądowały nowe zadania. Do wygrania wejściówka na Confidence 2016.
Czytaj dalej »
Do poczytania dwa artykuły (kolejne w produkcji): O lokalizowaniu / fizycznym wpinaniu się do portów serwisowych urządzeń: 2. O analizie firmware –ms
Czytaj dalej »
Najnowsze wydanie „Programisty” ponownie „blisko krzemu”. Tytułowy artykuł najnowszego wydania szczegółowo opisuje detale implementacyjne zarządzania pamięcią w procesorach, których wszyscy na co dzień używamy. Autorem tego opracowania jest Maciej Czekaj, który uzasadnia, dlaczego tak zwana „pamięć współdzielona” to duże uproszczenie tematu, a w rzeczywistości podobnie jak w przypadku aplikacji działającej…
Czytaj dalej »
