|<
<<
<
11
12
13
14
15
16
17
18
19
20
>
>>
>|
04.02.2010 Apple iPhone/iPod touch, několik zranitelností a update
Bylo nalezeno několik zranitelností v produktech iPhone a iPod touch firmy Apple zneužitelných k obcházení určitých bezpečnostních opatření, kompromitaci systému a majících na svědomí možnost úniku citlivých informací. Mimo jiné se jedná například o chybu v ověřování vstupu systému CoreAudio, zranitelnost v ImageIO a chyby v balíku WebKit. Chyby jsou údajně opraveny ve verzi 3.1.3 operačního systému iPhone OS pro obě platformy. Více na webu podpory společnosti Apple. -jbl-
25.01.2010 Microsoft Internet Explorer - chyba v Cross-Site Scripting filtru
Byla oznámena chyba v Microsoft Internet Explorer verze 8. Zneužití této zranitelnosti spočívá ve speciálně vytvořené URL, která při načítání obejde cross-site scripting filtr. Výrobce vydal záplaty jako součást hromadných updatů pro Internet Explorer. Více informací naleznete zde. -jba-
22.01.2010 CiscoWorks InternetWork Performance Monitor CORBA GIOP - Buffer Overflow
Byla nalezena zranitelnost v Cisco IPM (InternetWork Performance Monitor), která může být zneužita ke kompromitaci systému. Zranitelnost je způsobena chybou při zpracování CORBA (Common Object Request Broker Architecture) GIOP požadavků. Tato chyba dovoluje útočníkovi způsobit buffer overflow prostřednictvím speciálně vyvolaného CORBA GIOP požadavku. Zranitelnost byla odhalena ve verzi 2.6 pro Windows a starší. Více informací spolu s navrhovaným řešením naleznete zde. -jba-
22.01.2010 Zraniteľnosť v MS Windows objavená po 17 rokoch
Na spoločnosť Microsoft v posledných dňoch doľahli ťažké časy, keď k nedávnemu objavu neopravenej bezpečnostnej chyby v Internet Explorer teraz pribudla aj ďalšia chyba v MS Windows. Daná zraniteľnosť, ktorú objavil člen bezpečnostného týmu pre Google Tavis Ormandy, je spôsobená nedostatkami vo Virtual DOS Machine (VDM), ktorá sa používa od roku 1993 na podporu 16-bitových aplikácií a jej potencionálne zneužitie umožní užívateľom s obmedzenými právami spustiť ľubovoľný kód, či vykonávať iné úkony na systémovej úrovni. Výskyt týchto problémov je ohlasený vo všetkých 32-bitových verziách Windows od Windows NT 3.1 a to vrátane Windows 7. Spoločnosť Microsoft, okrem vyhlásenia oficiálneho stanoviska o výskyte chýb a následne prebiehajúcom vyšetrovaní, nevykonala žiadne iné opatrenia, taktiež zatiaľ nevydala opravný patch a to napriek tomu, že bola o chybách informovaná už v polovici roku 2009. Podrobnejšie informácie o zraniteľnostiach, ako aj o alternatívnych možnostiach riešenia nájdete tu -dra-
17.01.2010 Německá vláda nabádá uživatele Internet Exploreru používat alternativní prohlížeče
Ve včerejším vyjádření BSI (Německý spolkový úřad pro bezpečnost v informačních technologiích) doporučuje všem uživatelům webového prohlížeče Internet Explorer přejít na alternativní software, alespoň do chvíle, než bude společností Microsoft opravena kritická zranitelnost, která pravděpodobně dovolila nedávný útok na vyhledávač Google v Číně. Microsoft na opravě údajně pracuje. Zatím není známo kde chyba vznikla, dovoluje každopádně útočníkům nastrčit a spustit kód na počítačích s operačním systémem Windows. Zasaženy jsou verze 6, 7 i 8 tohoto prohlížeče. BSI v nejbližší době předpokládá masivní zneužívání této zranitelnosti. Více v článku na mashable.com. -jbl-
15.01.2010 Adobe opravil kritickou zranitelnost v Adobe Reader a Acrobat
Kritická zranitelnost byla nalezena v Adobe Reader 9.2 a Acrobat 9.2 pro Windows, Macintosh a UNIX, a Adobe Reader 8.1.7 a Acrobat 8.1.7 pro Windows a Macintosh. Tato zranitelnost může způsobit pád aplikace a potenciálně umožnit útočníkovi převzít kontrolu nad postiženým systémem. Společnost Adobe doporučuje uživatelům Adobe Reader 9.2 a Acrobat 9.2 a starších verzí pro Windows, Macintosh a UNIX aktualizaci na Adobe Reader 9.3 a Acrobat 9.3. Uživatelům Acrobat 8.1.7 a starší verze pro Windows a Macintosh update na Acrobat 8.2. Více informací naleznete na stránkách adobe.com. -jba-
12.01.2010 Apple za uběhlých 7 měsíců neopravil chybu v OS X
Na veřejnost se dostala zpráva o zranitelnosti, o které společnost Apple ví již skoro 7 měsíců, přesto ji však stále neopravila. Zranitelnost se vyskytuje v jádře systému OpenBSD na kterém Mac OS X stojí, stejně pak v každém systému a aplikaci implementující „gdtoa“ (čísla s plovoucí desetinnou čárkou). Tato chyba byla v systémech OpenBSD, NetBSD apod. opravena mnohdy v rámci hodin. Podle vyjádření zaměstnance firmy, která Apple na zranitelnost upozornila není oprava této chyby zvlášť náročná a vypadá to, že se Apple chybou nebude zabývat dokud nebude mít zprávy o aktivním zneužívání zranitelnosti. Společnost nedávno uveřejnila kód, přímo ukazující jak může být zranitelnost zneužita. Doufejme, že Apple se nyní začne problémem umožňujícím i vzdálené spuštění kódu zabývat. Více v originálním článku na theregister.co.uk. -jbl-
12.01.2010 Routery D-Link, několik HNAP zranitelností
Několik routerů společnosti D-Link obsahuje zranitelnost umožňující za určitých okolností obcházení bezpečnostních opatření a přístup k administrátorským funkcím routeru. Tento problém byl zatím potvrzen u následujících modelů: DI-524, DIR-628, DIR-655. Výrobce zatím nevydal žádné záplaty. Více naleznete na securityfocus.com. -jbl-
08.01.2010 Adobe Illustrator - Buffer Overflow
Byla nalezena chyba v Adobe Illustrator, která může dovolit vzdálenému útočníkovi vyvolat libovolný kód. Jedná se o Adobe Illustrator CS4 (14.0.0) a CS3 (13.0.3 a novější verze). Pro tuto zranitelnost již byl vydán update, který spolu s více informacemi naleznete na stránkách výrobce. -jba-
08.01.2010 GPS lokalizace pomocí routeru
Pokud k surfování po internetu používáte bezdrátový router (poskytovaný některým z největších tvůrců včetně Thomson, Netgear, Linksys), je šance, že budete identifikována vaše zeměpisná poloha - bez vašeho vědomí. Příčina je ve WiFi přístupových bodech vytvořených Westellem a dalšími, které jsou náchylné k XSS nebo cross-site scriptingu. Pro tuto chvíli se pracuje pouze na routerech FiOS (Verizon). Doporučení pro uživatele routerů je držet se zásady odhlašování se z hypertextových odkazů nebo operací, které jsou chráněny heslem. Pro více informací navštivte stránky The Register, koncepci útoku naleznete zde. -jba-
<<< novější starší >>>
04.02.2010 Apple iPhone/iPod touch, několik zranitelností a update
Bylo nalezeno několik zranitelností v produktech iPhone a iPod touch firmy Apple zneužitelných k obcházení určitých bezpečnostních opatření, kompromitaci systému a majících na svědomí možnost úniku citlivých informací. Mimo jiné se jedná například o chybu v ověřování vstupu systému CoreAudio, zranitelnost v ImageIO a chyby v balíku WebKit. Chyby jsou údajně opraveny ve verzi 3.1.3 operačního systému iPhone OS pro obě platformy. Více na webu podpory společnosti Apple. -jbl-
25.01.2010 Microsoft Internet Explorer - chyba v Cross-Site Scripting filtru
Byla oznámena chyba v Microsoft Internet Explorer verze 8. Zneužití této zranitelnosti spočívá ve speciálně vytvořené URL, která při načítání obejde cross-site scripting filtr. Výrobce vydal záplaty jako součást hromadných updatů pro Internet Explorer. Více informací naleznete zde. -jba-
22.01.2010 CiscoWorks InternetWork Performance Monitor CORBA GIOP - Buffer Overflow
Byla nalezena zranitelnost v Cisco IPM (InternetWork Performance Monitor), která může být zneužita ke kompromitaci systému. Zranitelnost je způsobena chybou při zpracování CORBA (Common Object Request Broker Architecture) GIOP požadavků. Tato chyba dovoluje útočníkovi způsobit buffer overflow prostřednictvím speciálně vyvolaného CORBA GIOP požadavku. Zranitelnost byla odhalena ve verzi 2.6 pro Windows a starší. Více informací spolu s navrhovaným řešením naleznete zde. -jba-
22.01.2010 Zraniteľnosť v MS Windows objavená po 17 rokoch
Na spoločnosť Microsoft v posledných dňoch doľahli ťažké časy, keď k nedávnemu objavu neopravenej bezpečnostnej chyby v Internet Explorer teraz pribudla aj ďalšia chyba v MS Windows. Daná zraniteľnosť, ktorú objavil člen bezpečnostného týmu pre Google Tavis Ormandy, je spôsobená nedostatkami vo Virtual DOS Machine (VDM), ktorá sa používa od roku 1993 na podporu 16-bitových aplikácií a jej potencionálne zneužitie umožní užívateľom s obmedzenými právami spustiť ľubovoľný kód, či vykonávať iné úkony na systémovej úrovni. Výskyt týchto problémov je ohlasený vo všetkých 32-bitových verziách Windows od Windows NT 3.1 a to vrátane Windows 7. Spoločnosť Microsoft, okrem vyhlásenia oficiálneho stanoviska o výskyte chýb a následne prebiehajúcom vyšetrovaní, nevykonala žiadne iné opatrenia, taktiež zatiaľ nevydala opravný patch a to napriek tomu, že bola o chybách informovaná už v polovici roku 2009. Podrobnejšie informácie o zraniteľnostiach, ako aj o alternatívnych možnostiach riešenia nájdete tu -dra-
17.01.2010 Německá vláda nabádá uživatele Internet Exploreru používat alternativní prohlížeče
Ve včerejším vyjádření BSI (Německý spolkový úřad pro bezpečnost v informačních technologiích) doporučuje všem uživatelům webového prohlížeče Internet Explorer přejít na alternativní software, alespoň do chvíle, než bude společností Microsoft opravena kritická zranitelnost, která pravděpodobně dovolila nedávný útok na vyhledávač Google v Číně. Microsoft na opravě údajně pracuje. Zatím není známo kde chyba vznikla, dovoluje každopádně útočníkům nastrčit a spustit kód na počítačích s operačním systémem Windows. Zasaženy jsou verze 6, 7 i 8 tohoto prohlížeče. BSI v nejbližší době předpokládá masivní zneužívání této zranitelnosti. Více v článku na mashable.com. -jbl-
15.01.2010 Adobe opravil kritickou zranitelnost v Adobe Reader a Acrobat
Kritická zranitelnost byla nalezena v Adobe Reader 9.2 a Acrobat 9.2 pro Windows, Macintosh a UNIX, a Adobe Reader 8.1.7 a Acrobat 8.1.7 pro Windows a Macintosh. Tato zranitelnost může způsobit pád aplikace a potenciálně umožnit útočníkovi převzít kontrolu nad postiženým systémem. Společnost Adobe doporučuje uživatelům Adobe Reader 9.2 a Acrobat 9.2 a starších verzí pro Windows, Macintosh a UNIX aktualizaci na Adobe Reader 9.3 a Acrobat 9.3. Uživatelům Acrobat 8.1.7 a starší verze pro Windows a Macintosh update na Acrobat 8.2. Více informací naleznete na stránkách adobe.com. -jba-
12.01.2010 Apple za uběhlých 7 měsíců neopravil chybu v OS X
Na veřejnost se dostala zpráva o zranitelnosti, o které společnost Apple ví již skoro 7 měsíců, přesto ji však stále neopravila. Zranitelnost se vyskytuje v jádře systému OpenBSD na kterém Mac OS X stojí, stejně pak v každém systému a aplikaci implementující „gdtoa“ (čísla s plovoucí desetinnou čárkou). Tato chyba byla v systémech OpenBSD, NetBSD apod. opravena mnohdy v rámci hodin. Podle vyjádření zaměstnance firmy, která Apple na zranitelnost upozornila není oprava této chyby zvlášť náročná a vypadá to, že se Apple chybou nebude zabývat dokud nebude mít zprávy o aktivním zneužívání zranitelnosti. Společnost nedávno uveřejnila kód, přímo ukazující jak může být zranitelnost zneužita. Doufejme, že Apple se nyní začne problémem umožňujícím i vzdálené spuštění kódu zabývat. Více v originálním článku na theregister.co.uk. -jbl-
12.01.2010 Routery D-Link, několik HNAP zranitelností
Několik routerů společnosti D-Link obsahuje zranitelnost umožňující za určitých okolností obcházení bezpečnostních opatření a přístup k administrátorským funkcím routeru. Tento problém byl zatím potvrzen u následujících modelů: DI-524, DIR-628, DIR-655. Výrobce zatím nevydal žádné záplaty. Více naleznete na securityfocus.com. -jbl-
08.01.2010 Adobe Illustrator - Buffer Overflow
Byla nalezena chyba v Adobe Illustrator, která může dovolit vzdálenému útočníkovi vyvolat libovolný kód. Jedná se o Adobe Illustrator CS4 (14.0.0) a CS3 (13.0.3 a novější verze). Pro tuto zranitelnost již byl vydán update, který spolu s více informacemi naleznete na stránkách výrobce. -jba-
08.01.2010 GPS lokalizace pomocí routeru
Pokud k surfování po internetu používáte bezdrátový router (poskytovaný některým z největších tvůrců včetně Thomson, Netgear, Linksys), je šance, že budete identifikována vaše zeměpisná poloha - bez vašeho vědomí. Příčina je ve WiFi přístupových bodech vytvořených Westellem a dalšími, které jsou náchylné k XSS nebo cross-site scriptingu. Pro tuto chvíli se pracuje pouze na routerech FiOS (Verizon). Doporučení pro uživatele routerů je držet se zásady odhlašování se z hypertextových odkazů nebo operací, které jsou chráněny heslem. Pro více informací navštivte stránky The Register, koncepci útoku naleznete zde. -jba-
<<< novější starší >>>
