Aktuálně z bezpečnosti (RSS)

Je k dispozici nová verze populárního e-mailového serveru Exim, který je až do verze 4.92.1 (včetně) zranitelný přetečením zásobníku a potenciálním spuštením nebezpečného kódu. Zranitelnost (CVE-2019-15846) sídlí v kódu vyjednávání TLS spojení. Všem uživatelům a administrátorům doporučujeme přečíst bezpečnostní doporučení od Eximu a provést aktualizaci na opravenou verzi 4.92.2. V krajním případě lze také zranitelnost omezit ...

Cisco vydalo opravu na vzácnou kritickou zranitelnost (CVE-2019-12643) s maximálním CVSS hodnocením 10 bodů. Ta umožňuje útočníkovi obejít přihlášení do zařízení se systémem IOS XE. Zranitelnost sídlí v kódu, který nedůsledně provádí kontrolu v oblasti autentikace skrze REST API a útočníkovi může umožnit získání token-id přihlášeného uživatele a s jeho oprávněním tak vykonávat příkazy na zařízení. Dobrou zprávou však je ...

Společnost Apple v červnu nedopatřením odstranila opravu zranitelnosti, která už byla dříve záplatována, což vystavilo současnou verzi iOS útokům hackerů a umožnilo provést jailbreak zařízení. Společnost Apple proto vydala mimořádnou záplatu dostupnou pro zařízení iPhone verze 5s a pozdější, iPad Air a iPod touch 6th generace.

Nedávno záplatovaná zranitelnost v emulátoru QEMU může být zneužita k DoS nebo ke spuštění libovolného kódu. Zranitelnost se týká staršího nástroje Slirp, který je používán k emulování PPP, SLIP a CSLIP spojení a podle jednoho z vývojářů QEMU se v produkčních systémech příliš nevyužívá.

V antivirovém programu Bitdefender Antivirus Free 2020 byla objevena závažná zranitelnost, která může útočníkovi umožnit získání přístupu k zařízení na úrovni uživatele SYSTEM. Chyba byla opravena ve verzi 1.0.15.138. Uživatelé programu Bitdefender Antivirus Free 2020 by měli záplatu co nejdříve aplikovat, pokud tak již neučinili.

Nedávno oznámené zranitelnosti týkající se firemních VPN řešení od společností Fortinet a Pulse Secure začaly být aktivně zneužívány útočníky. Záplaty zranitelností jsou pro dotčené systémy již delší dobu k dispozici, administrátoři by si tedy jen měli zkontrolovat, zda záplaty již aplikovali.

Server The Hacker News publikoval článek o zajímavém pluginu pro správce stránek provozovaných na WordPressu. Správci WordPressu se tak dozvědí, jak využít WP Security Audit Log plugin pro monitorování aktivit uživatelů, jak mít přehled o všech provedených updatech a změnách nastavení, či jak využít získané logy pro WordPress Intrusion Detection System.

V klientské aplikaci služby Steam určené pro Windows byla objevena zranitelnost nultého dne, která se týká více než 96 milionů uživatelů. Ve zveřejněném videu jsou demonstrovány dvě metody, které může útočník využít k získání oprávnění na úrovni SYSTEM na systému Windows s neopravenou verzí klienta Steam.

Bezpečnostní experti nalezli několik zranitelností v 4G routerech společností ZTE, Netgear, Huawei nebo TP-Link. Některé ze zranitelností mohly vést až k převzetí zařízení útočníkem.

Podvodníci, kteří zneužívají služeb a loga České pošty, přichází s novou formou podvodu, která poškozuje zákazníky. Nově se v e-mailových schránkách klientů začaly objevovat klamavé zprávy s logem České pošty, které je informují, že „Mají balík“. Upozorňujeme zákazníky České pošty a všechny ostatní uživatele, aby na danou zprávu neodpovídali a nepokoušeli se klikat na odkazy. Existuje zde reálné nebezpečí napadení ...