Ticketbleed ohrožuje soukromí na https spojeních na tisících webů.

Ticketbleed ohrožuje soukromí na https spojeních na tisících webů. V Newly discovered flaw undermines HTTPS connections for almost 1,000 sites mezi postiženými najdete například i www.blesk.cz. Chyba K05121675: F5 TLS vulnerability CVE-2016-9244 se netýká přímo samotného webu, ale používaných zařízení pro load balancing či firewallu. Další detaily též viz Ticketbleed (CVE-2016-9244)

2017-02-11 14_49_10-Ticketbleed (CVE-2016-9244).png

 

Útoky na weby používající neaktualizovaný WordPress stoupají.

Útoky na weby používající neaktualizovaný WordPress stoupají. Podle Virally growing attacks on unpatched WordPress sites affect ~2m pages jde až o dva miliony hacknutých stránek od posledního zranitelnosti (přes zhruba devíti dny). Mezi hacknutými weby najdete i news.opensuse.org a záplavu dalších známých a i vcelku navštěvovaných webů. Pokud tedy nemáte WordPress 4.7.2 (objevil se 26. ledna), je nejvyšší čas na upgrade.

google-trands-website-defacement-chart.png

 

Na Steamu jste mohli chytit malware. Dobrá zpráva je, že chyba byla opravena.

Na Steamu jste mohli chytit malware. Dobrá zpráva je, že chyba byla opravena. Špatná zpráva je, že něco podobného se může kdykoliv opakovat. Zajímavé je, že to byla klasická webová chyba, XSS, tedy cross site scripting. Ještě zajímavější je, že tvůrcům Steamu unikla možnost vkládat HTML kód do uživatelského profilu. Viz A nasty vulnerability in Steam profiles potentially lets hackers spread malware (Update: It’s fixed)

2017-02-07 19_04_08-Komunita služby Steam __ daTBoe.png

Cisco WebEx rozšíření pro Chrome katastrofálně děravé.

Cisco WebEx rozšíření pro Chrome katastrofálně děravé. Uvážíme-li, že má okolo dvaceti milionů uživatelů, je to ještě horší, než to na první pohled vypadá. Stačí aby se v URL objevil řetězec „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ a rázem může jakýkoliv web spouštět kód. Viz Cisco: Magic WebEx URL Allows Arbitrary Remote Command Execution

86c80caf-5939-4721-8340-f79e6e152205

Automatické vyplňování v prohlížeči už prý slouží pro phishingové útoky

Automatické vyplňování v prohlížeči už prý slouží pro phishingové útoky, alespoň to píše The Guardian v Browser autofill used to steal personal details in new phishing attack. Řeč je zde o tom co zjistil zhruba před týdnem Viljami Kusomanen a co si v praxi můžete vyzkoušet zde. Ten text od Guardianu má mimochodem jednu zvláštnost, tvrdí něco o využití této chyby v phishingovém útoku, ale nic takového v článku neuvádí (a už vůbec nezdrojuje). Takže s ohledem na objevenou chybu nic nového, s ohledem na žurnalistiku jenom další selhání kdysi věrohodného média.

2017-01-06-12_24_50-github-anttiviljami_browser-autofill-phishing_-a-simple-demo-of-phishing-by-ab

Backdoor ve WhatsApp? Nebo „jen“ chyba?

Backdoor ve WhatsApp? Nebo jen chyba? The Guardian přišel s WhatsApp backdoor allows snooping on encrypted messages. Popisuje mechanismus, který umožňuje reset klíčů, které zajišťují end-to-end šifrování a zároveň s tím získání dřívější komunikace. Na první pohled jasný backdoor, minimálně zásadní bezpečnostní nedostatek. Opravdu zásadní. Pak se objevilo There’s No Security Backdoor in WhatsApp, Despite Reports kde člověk dříve pracující v Facebooku tvrdí, že je to „celé výmysl, není to chyba, vše pracuje tak jako bylo navrženo“. Velmi uklidňující od někoho z Facebooku. A pak je tu WhatsApp vulnerability: Bug or Backdoor?. Kde zjistíte, že tahle chyba byla WhatsApp nahlášená v dubnu 2016 a dodnes na ní nesáhli. Tohle bude zajímavé sledovat.

2016-03-02 09_50_57-WhatsApp __ Home

Automatické vyplnění v prohlížečích toho prozradí až až příliš

Automatické vyplnění v prohlížečích toho prozradí až až příliš. Pokud vám jde opravdu o soukromí, tak si tuhle funkčnost buď vyplňte, nebo velmi pečlivě nastavte, co může prohlížeč automaticky vyplnit. Viljami Kuosmanen na Twitteru ukázal praktický příklad zneužitelnosti a na browser-autofill-phishing si to můžete i vyzkoušet. Stačí si v prohlížeči aktivovat vývojářský režim a podívat se co se bude dít po odeslání. Prohlížeč ochotně vyplní i všechna ukrytá pole. Lahůdkové.

2017-01-06 12_24_50-GitHub - anttiviljami_browser-autofill-phishing_ A simple demo of phishing by ab.png