LastPass děravý a na nápravě se pracuje.

LastPass děravý a na nápravě se pracuje. Napadnout se prý dá pomocí dvou řádek JavaScriptu a je možné na dálku spouštět kód i dostat se k uloženým heslům. Objevitelem je Tavis Ormandy a není to jeho první objev bezpečnostního nedostatku v LastPass. Informace o chybě by měl LastPass brzy zveřejnit na svém blogu. Hodit se vám možná bude Co používat pro správu hesel? Jaké jsou alternativy pro LastPass?

2017-03-21 16_41_48-LastPass _ Password Manager, Auto Form Filler, Random Password Generator & Secur.png

Přes tři stovky switchů od Cisca je možné ovládnout na dálku.

Přes tři stovky switchů od Cisca je možné ovládnout na dálku. Cisco na chybu přišlo studiem informací CIA, které zveřejnili WikiLeaks. Stačí přes telnet poslat jednoduchý příkaz a kdokoliv může zařízení ovládnout. Oprava prozatím neexistuje, jediné co je možné udělat je zákaz telnetu. Viz A simple command allows the CIA to commandeer 318 models of Cisco switches

2017-03-20 20_14_10-Cisco - Global Home Page.png

Snahy o jailbreak Nintendo Switch jedou na plno

Snahy o jailbreak Nintendo Switch jedou na plno, zatím se zjistilo to, že WebKit (prohlížeč ve Switchi ho používá) nemá ošetřenou „Trident“ chybu, která se záplatovala loni. Viz Old WebKit bugs in Nintendo Switch could lead to jailbreaking ale pokud se těšíte na root/jailbreak, tak zatím nic. Na @365tipů každopádně rostou Nintendo Switch tipy a triky a pokračování na téma jailbreak viz PegaSwitch

nintendo-switch-internet-test-17192000_10155121031074931_2372636606701263185_o

Děravé Apache Struts 2 sice už má opravu, ale slouží k útokům na weby ve velkém

Děravé Apache Struts 2 sice už má opravu, ale slouží k útokům na weby ve velkém. Píše o tom například Critical vulnerability under “massive” attack imperils high-impact sites a žádná legrace to není, chyba totiž umožňuje spuštění vzdáleného kódu a nevyžaduje vlastně nic než odeslat dotaz přes web. Detaily viz též Apache Struts Jakarta Multipart Parser Remote Code Execution Vulnerability a CVE-2017-5638 – Apache Struts2 S2-045

Capture1_1

 

Věřili jste Confide? Špatný nápad

Věřili jste Confide? Špatný nápad, roky vážných bezpečnostních zranitelností, které podle všeho právě CIA využívala k tomu, aby se dostala ke zprávám v této „bezpečné“ aplikaci. Viz Confide, the White House’s favorite messaging app, has multiple critical vulnerabilities. A ano, jak z titulku tušíte, tohle aplikaci si naivně oblíbili v Bílém domě. Confide bylo dokonce tak děravé, že kdokoliv mohl z databáze vytahovat detaily uživatelů.

2017-03-10 07_58_34-IOActive-Security-Advisory-Confide-Messaging-Ap.pdf.png

WordPress NextGEN Gallery děravá a to tak, že je možné zneužít SQL Injection

WordPress NextGEN Gallery děravá a to tak, že je možné zneužít SQL Injection a dostat se tak až na databází, nad kterou jede váš WordPress. Což znamená možnost ho zcela ovládnout – je nutné aby ale váš WordPress umožňoval návštěvníkům vytvářet příspěvky, takže přímo jen tak to zneužitelné není. Každopádně dost zásadní věc k opravě, zejména s ohledem na rozšířenost NextGEN Gallery. Viz SQL Injection Vulnerability in NextGEN Gallery for WordPress

nextgen-vulnerability-function.png