Microsoft nechce opravit závažnou chybu v Edge zneužívající about:blank

Microsoft nechce opravit závažnou chybu v Edge zneužívající about:blank. Viz Vulnerability Spotlight: Content Security Policy bypass in Microsoft Edge, Google Chrome and Apple Safari a Microsoft Edge Content Security Bypass Vulnerability

2017-09-09 09_39_07-TALOS-2017-0306 - Cisco Talos.png

Reklamy

Na Steamu jste mohli chytit malware. Dobrá zpráva je, že chyba byla opravena.

Na Steamu jste mohli chytit malware. Dobrá zpráva je, že chyba byla opravena. Špatná zpráva je, že něco podobného se může kdykoliv opakovat. Zajímavé je, že to byla klasická webová chyba, XSS, tedy cross site scripting. Ještě zajímavější je, že tvůrcům Steamu unikla možnost vkládat HTML kód do uživatelského profilu. Viz A nasty vulnerability in Steam profiles potentially lets hackers spread malware (Update: It’s fixed)

2017-02-07 19_04_08-Komunita služby Steam __ daTBoe.png

Chytrá žárovka od Osramu má devět bezpečnostních chyb

Chytrá žárovka od Osramu má devět bezpečnostních chyb, čtyři stále neopravené. V Osram’s Lightify smart bulbs blow a security fuse – isn’t anything code audited anymore? upozorňují, že mohou dokonce útočníkům umožnit přístup do domácí či firemní sítě. Paradoxní je, že jde dokonce o tak triviální záležitost jako je XSS. Takže až vám doma začnou blikat žárovky, tak víte, že se blíží hacker.

2016-07-27 09_24_11-Light is OSRAM _ OSRAM.png

 

Google upozorňuje na zásadně nebezpečné rozšíření od AVG obcházející zabezpečení v Chrome

Google upozorňuje na zásadně nebezpečné rozšíření od AVG obcházející zabezpečení v Chrome. Jde o AVG „Web TuneUp“, které se do Chrome dostane při instalaci AVG (a pokud ho nechcete, tváří se silně neodbytně). Bohužel programátoři tohoto rozšíření vůbec nepochopili co je to soukromí uživatelů a nechali ho klasicky děravé přes XSS a zneužitelné. Samotné rozšíření navíc obchází kontrolu Chrome na malware. Po zjištění nedostatků AVG vytvořili opravu, která byla stejně děravá jako původní verze. Viz Google slams AVG for exposing Chrome user data with “security” plugin a AVG: „Web TuneUP“ extension multiple critical vulnerabilities

2016-01-02 16_22_22-AVG Web TuneUp _ Doplňte prohlížeč o ochranu při prohlížení internetu

Popcorn Time je děravý a může být napadnut hackery

Popcorn Time je děravý a může být napadnut hackery, takže pozor. Hrozí man-in-the-middle útok a ovládnutí vašeho stroje. Díl viny na tom má i to, jak aplikace obchází blokování od ISP a druhý zásadní problém jsou neošetřené vstupy. Viz POPCORN TIME VULNERABLE TO HACK ATTACKS, RESEARCHER SAYS a reakce od tvůrcu aplikace v Popcorn Time and recent security concerns. A pokud nevíte co ten Popcorn Time je, tak si o tom přečtete v Co je to ten Popcorn Time a co od toho můžu čekat?

pop-hack1