|<
<<
<
11
12
13
14
15
16
17
18
19
20
>
>>
>|
28.10.2008 NetBSD, padělání směrovacích záznamů IPv6
Byla nalezena zranitelnost v NetBSD. Díky chybě v Neighbor Discovery protokolu může vzdálený útočník na stejné fyzické síti posílat tzv. ICMPv6 žádosti routeru což může vyústit ve změnu směrovacích informací oběti. Následkem toho může útočník odříznout síťový provoz, případně způsobit DoS. Více informací naleznete zde. -jbl-
28.10.2008 Se slabou ochranou wi-fi sítí riskuje téměř polovina světa
Sedmý výroční průzkum zaměřující se na zabezpečení bezdrátových sítí společnosti RSA ukazuje, že ačkoli se ve velkých městech situace zlepšuje každým dnem, více než polovina obyvatelstva stále hazarduje se slabým zabezpečením bezdrátových sítí WEP, které pří míře sofistikovanosti dnešních zločinců poskytuje jen velmi malou ochranu. Dostatečná ochrana sítí přitom nebyla nikdy tak nezbytná jako dnes, kdy je v každém větším městě možné zachytit wi-fi signál na každém rohu. Díky společnostem i jednotlivcům nepoužívajícím technologie poskytující vyšší stupěň zabezpečení, včetně WPA a WPA2, se doposud američtí hackeři údajně obohatili o více než 40 milionů čísel kreditních karet. Více informací naleznete ve zprávě společnosti RSA. -jbl-
28.10.2008 Google Chrome, Address Spoofing
Prohlížeč Chrome společnosti Google dovoluje útočníkům vést útoky typu spoofing - tedy vydávat webové stránky za jiné. Ačkoli je prohlížeč založen na jádru Safari od Apple, v Safari je tento problém ošetřen. Pravděpodobně se tedy jedná o chybu způsobenou chybným kódem použitým programátory Googlu. Podle vyjádření Googlu se jedná o známý problém a bude napraven v příští vydané verzi. Podrobnější informace naleznete zde. -jbl-
26.10.2008 Sun Java Web Start, vzdálené spuštění příkazu
Sun Java Web Start obsahuje zranitelnost dovolujcí útočníkovi spuštění libovolného příkazu na počítači nicnetušícího uživatele. To může napomáhat dalším útokům. Více najdete zde. -jbl-
23.10.2008 Důležitá aktualizace kritické chyby ve Windows
Microsoft dnes na svých stránkách zveřejnil opravu kritické chyby pro podporované verze Windows, která řeší chybu v RPC. Vzálený útočník může pozměněným požadavkem vzdáleně spustit libovolný kód bez autentizace. -jba-
21.10.2008 VLC Media Player, Buffer Overflow
Zranitelnost je způsobena chybou při zpracování souborů TY, může být zneužita ke stack-based buffer overflow útokům a tím ke spuštění libovolného kódu. Zranitelnost je hlášena ve verzích 0.9.0 až 0.9.4, ostatní mohou být také zasaženy. Více informací naleznete zde. -jdo-
21.10.2008 Zranitelnosti drátových klávesnic
Tým z Security and Cryptography Laboratory (LASEC) v Lausanne, Švýcarsku, našel čtyři různé způsoby jak získat kompletní nebo částečná data přenášená z klávesnice do počítače, na vzdálenost až 20 metrů, dokonce i skrz zdi. Testováno bylo 11 různých drátových klávesnic, zakoupených v letech 2001 až 2008, připojených přes USB, PS2 a notebook. Všechny jsou zranitelné alespoň jedním ze 4 útoků. Útoky jsou založeny na odposlouchávání elektromagnetického záření. Více informací, včetně 2 videí naleznete zde. -jdo-
19.10.2008 FCKeditor, upload libovolného souboru
FCKeditor (WYSWYG editor používaný v mnoha webových aplikacích) obsahuje zranitelnost dovolující upload libovolného souboru, jelikož nedostatečně kontroluje uživatelem poskytnutý vstup. Útočník toho může zneužít k nastrčení libovolného kódu a jeho spuštění v kontextu webserverového procesu. To může usnadňovat nejen neautorizovaný přístup nebo navýšení oprávnění uživatele, ale i další útoky. Více naleznete na webu SecurityFocus.com. -jbl-
14.10.2008 Microsoft Security Bulletin na říjen
Microsoft Security Bulletin na říjen obsahuje 4 kritické chyby v Active Directory, Internet Exploreru (kumulativní aktualizace), Host Integration Serveru a Excelu. Dále 6 důležitých chyb ve Windows a jednu mírnou v Office. -zte-
14.10.2008 Oracle Database Server, Navýšení oprávnění
Oracle Database Server je náchylný k problému s navýšením oprávnění souvisejícím s uživatelským oprávněním „CREATE ANY DIRECTORY“. Útočník schopný zneužít tohoto problému může získat plná oprávnění SYSDB administrátora. Tento problém byl ohlášen ve verzích 10.1, 10.2 a 11g. Další verze nejsou potvrzeny. Bližší informace naleznete zde. Záplaty budou podle vyjádření Oracle během dnešního dne k dispozici zde. -jbl-
<<< novější starší >>>
28.10.2008 NetBSD, padělání směrovacích záznamů IPv6
Byla nalezena zranitelnost v NetBSD. Díky chybě v Neighbor Discovery protokolu může vzdálený útočník na stejné fyzické síti posílat tzv. ICMPv6 žádosti routeru což může vyústit ve změnu směrovacích informací oběti. Následkem toho může útočník odříznout síťový provoz, případně způsobit DoS. Více informací naleznete zde. -jbl-
28.10.2008 Se slabou ochranou wi-fi sítí riskuje téměř polovina světa
Sedmý výroční průzkum zaměřující se na zabezpečení bezdrátových sítí společnosti RSA ukazuje, že ačkoli se ve velkých městech situace zlepšuje každým dnem, více než polovina obyvatelstva stále hazarduje se slabým zabezpečením bezdrátových sítí WEP, které pří míře sofistikovanosti dnešních zločinců poskytuje jen velmi malou ochranu. Dostatečná ochrana sítí přitom nebyla nikdy tak nezbytná jako dnes, kdy je v každém větším městě možné zachytit wi-fi signál na každém rohu. Díky společnostem i jednotlivcům nepoužívajícím technologie poskytující vyšší stupěň zabezpečení, včetně WPA a WPA2, se doposud američtí hackeři údajně obohatili o více než 40 milionů čísel kreditních karet. Více informací naleznete ve zprávě společnosti RSA. -jbl-
28.10.2008 Google Chrome, Address Spoofing
Prohlížeč Chrome společnosti Google dovoluje útočníkům vést útoky typu spoofing - tedy vydávat webové stránky za jiné. Ačkoli je prohlížeč založen na jádru Safari od Apple, v Safari je tento problém ošetřen. Pravděpodobně se tedy jedná o chybu způsobenou chybným kódem použitým programátory Googlu. Podle vyjádření Googlu se jedná o známý problém a bude napraven v příští vydané verzi. Podrobnější informace naleznete zde. -jbl-
26.10.2008 Sun Java Web Start, vzdálené spuštění příkazu
Sun Java Web Start obsahuje zranitelnost dovolujcí útočníkovi spuštění libovolného příkazu na počítači nicnetušícího uživatele. To může napomáhat dalším útokům. Více najdete zde. -jbl-
23.10.2008 Důležitá aktualizace kritické chyby ve Windows
Microsoft dnes na svých stránkách zveřejnil opravu kritické chyby pro podporované verze Windows, která řeší chybu v RPC. Vzálený útočník může pozměněným požadavkem vzdáleně spustit libovolný kód bez autentizace. -jba-
21.10.2008 VLC Media Player, Buffer Overflow
Zranitelnost je způsobena chybou při zpracování souborů TY, může být zneužita ke stack-based buffer overflow útokům a tím ke spuštění libovolného kódu. Zranitelnost je hlášena ve verzích 0.9.0 až 0.9.4, ostatní mohou být také zasaženy. Více informací naleznete zde. -jdo-
21.10.2008 Zranitelnosti drátových klávesnic
Tým z Security and Cryptography Laboratory (LASEC) v Lausanne, Švýcarsku, našel čtyři různé způsoby jak získat kompletní nebo částečná data přenášená z klávesnice do počítače, na vzdálenost až 20 metrů, dokonce i skrz zdi. Testováno bylo 11 různých drátových klávesnic, zakoupených v letech 2001 až 2008, připojených přes USB, PS2 a notebook. Všechny jsou zranitelné alespoň jedním ze 4 útoků. Útoky jsou založeny na odposlouchávání elektromagnetického záření. Více informací, včetně 2 videí naleznete zde. -jdo-
19.10.2008 FCKeditor, upload libovolného souboru
FCKeditor (WYSWYG editor používaný v mnoha webových aplikacích) obsahuje zranitelnost dovolující upload libovolného souboru, jelikož nedostatečně kontroluje uživatelem poskytnutý vstup. Útočník toho může zneužít k nastrčení libovolného kódu a jeho spuštění v kontextu webserverového procesu. To může usnadňovat nejen neautorizovaný přístup nebo navýšení oprávnění uživatele, ale i další útoky. Více naleznete na webu SecurityFocus.com. -jbl-
14.10.2008 Microsoft Security Bulletin na říjen
Microsoft Security Bulletin na říjen obsahuje 4 kritické chyby v Active Directory, Internet Exploreru (kumulativní aktualizace), Host Integration Serveru a Excelu. Dále 6 důležitých chyb ve Windows a jednu mírnou v Office. -zte-
14.10.2008 Oracle Database Server, Navýšení oprávnění
Oracle Database Server je náchylný k problému s navýšením oprávnění souvisejícím s uživatelským oprávněním „CREATE ANY DIRECTORY“. Útočník schopný zneužít tohoto problému může získat plná oprávnění SYSDB administrátora. Tento problém byl ohlášen ve verzích 10.1, 10.2 a 11g. Další verze nejsou potvrzeny. Bližší informace naleznete zde. Záplaty budou podle vyjádření Oracle během dnešního dne k dispozici zde. -jbl-
<<< novější starší >>>
