Aktuálně z bezpečnosti (RSS)

Zranitelnost v runc umožňuje únik z kontejneru

Nízkoúrovňový nástroj runc pro práci s kontejnery (využíván například Dockerem) obsahuje zranitelnost umožňující útočníkovi přepsat runc program a spustit tak vlastní kód na hostitelském systému s právy uživatele root. Jako další zdroj doporučujeme uživatelům a administrátorům informace z blogu RedHat a Amazon Web Services.

více »

Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu

Zranitelnost odhalená v kancelářských balících LibreOffice a OpenOffice umožňuje spuštění libovolného kódu při otevření upraveného ODT dokumentu. Součástí balíků je totiž také Python interpreter se sadou knihoven, které zranitelnost využívá, neboť jedné z nich lze předat upravené parametry, které se spustí z příkazové řádky. Zranitelnost je opravena v LibreOffice verze 6.0.7 a 6.1.3. Pro OpenOffice zatím ...

více »

Zranitelnost v Microsoft Exchange autentikačním protokolu NTLM

Microsoft Exchange podporuje API zvané Exchange Web Services (EWS). Jednou z funkcí EWS je takzvaná PushSubscriptionRequest, kterou se může Exchange připojit k libovolné stránce. Spojení navázaná skrze PushSubscirptionRequest se Exchange pokusí autentikovat pomocí NTLM protokolu. Microsoft Exchange 2013 a vyšší ovšem špatně nastavují podepisující (sign) a pečetní (seal) příznak NTLM zpráv. To může vést ke zneužití útočníkem k relay útoku ...

více »

Kvíz na rozpoznávání phishingu

Technologický inkubátor Jigsaw od Googlu zveřejnil kvíz, ve kterém mohou uživatelé vyzkoušet, jak dobře rozpoznají podvodné zprávy (phishing). Kvíz byl postaven na základě zkušeností při výuce téměř 10 000 novinářů, aktivistů či politických lídrů po celém světě.

více »

Zranitelnost v APT správci balíčků

Byla objevena zranitelnost v APT balíčkovacím systému. Útočník působící jako man-in-the-middle vloží do HTTP odpovědi dodatečné informace od serveru, které pak APT zpracuje jako validní. To může vést k nainstalování škodlivého balíčku, který by mohl být spuštěn s právy uživatele root. Zranitelnost je opravena ve verzi 1.4.9, kterou lze stáhnout a nainstalovat buď manuálně nebo s vypnutým přesměrováním ...

více »

Neopatchovaná kritická zranitelnost v Cisco Small Business switchích

Byla objevena neopatchovaná kritická zranitelnost (s CVSS skórem 9,8) v softwaru pro Cisco Switche pro domácnost a malé podniky. Nastává v případě, kdy jsou ze systému odebráni všichni uživatelé s úrovní oprávnění 15. V takovém momentě systém automaticky povolí (bez uvědomění administrátora) výchozího uživatele s tímto oprávněním, kterého pak může útočník zneužít. V rámci podrobností o zranitelnosti zveřejnilo Cisco ...

více »

Přes 87 GB e-mailových adres a hesel se objevilo na Internetu

Byl objeven rozsáhlý archiv, který obsahuje téměř 2,7 miliardy záznamů, z toho celkem 772 milionů unikátních e-mailových adres a necelých 22 milionů unikátních hesel. Archiv dostal název Collection #1 a údajně obsahuje data z různých zdrojů. Doporučujeme využít například službu Have I Been Pwned, kde se po zadání e-mailové adresy snadno dozvíte, zda-li vaše osobní údaje nebyly součástí tohoto ...

více »

Neopravená zero-day zranitelnost ve Windows s PoC

Neopatchovaná zranitelnost, kterou Microsoft plánuje opravit v rámci dubnového updatu, byla zveřejněna i s ukázkovým postupem zneužití. Jedná se o chybu při čtení vCard kontaktu. Ten může obsahovat speciálně připravený hyperlink, který vypadá legitimně, ale při kliknutí na něj se spustí lokální soubor. Tímto způsobem lze spustit program v kontextu přihlášeného uživatele. Zranitelnost však není zneužitelná vzdáleně a vyžaduje uživatelskou ...

více »

Oracle vydal January 2019 Critical Patch Update

Oracle vydal lednový kumulativní Critical Patch Update, který obsahuje celkem 284 bezpečnostních oprav napříč dlouhým seznamem produktů. Všem uživatelům a administrátorům je doporučeno seznam projít a aplikovat příslušné aktualizace. Doporučení neobsahuje opravy předchozích chyb, které byly opraveny v rámci minulého (říjnového) updatu.

více »

Podvodná aplikace na Android předinstalována výrobcem

Aplikace o počasí Weather Forecast — World Weather Accurate Radar (com.tct.weather), která je předinstalována čínským výrobcem TCL Corporation na telefonech Alcatel (model Pixi 4 a A3 Max), se ukázala jako podvodná. Výzkumníci zjistili, že aplikace vyžaduje zbytečné množství povolení a v pozadí odesílá data (geografickou polohu, emailové adresy, IMEI) na čínské servery, generuje návštěvnost webovým stránkám, na kterých také ...

více »