<
1
2
3
4
5
6
7
8
9
10
>
>>
>|
13.07.2010 HP Virtual Connect Enterprise Manager, Validace vstupu a Cross-Site scripting
Byla nalezena zranitelnost v produktu HP Virtual Connect Enterprise Manager. Vzdálený uživatel díky chybě může vést Cross-Site scripting útoky. Software nedokonale filtruje poskytnutý HTML kód před zobrazením výstupu. Připojenému uživateli je tak umožněno spuštění libovolného kódu v kontextu webového prohlížeče napadené osoby. Kód spuštěný pod HP-VCEM má mimo jiné přístup k uživatelským cookies. Chyba je opravena ve verzi 6.1. Více informací naleznete v článku serveru Securitytracker.com. -jbl-
10.07.2010 Drupal, Cross Site Scripting zranitelnosti
Webový systém Drupal 5.x a 6.x obsahuje zranitelnosti, které dovolují vzdáleným uživatelům vykonat na aplikaci útok typu XSS. V původním oznámení je doporučen update na novější verze. -zte-
08.07.2010 Novell ZENworks Linux Management, několik zranitelností
Novell oznámil nalezení několika zranitelností v ZENworks Linux Management. Chyby jsou v Tomcat 5.0.28, který je v systému používán. Aktualizece ještě nejsou k dispozici. -zte-
08.07.2010 Sandbox, SQL injection
Aplikace Sandbox pro vytváření webů verze 2.0.3 obsahuje zranitelnosti, které dovolují vzdálenému uživateli mimo jiné vkládat zákeřný SQL kód. Může se takto např. obejít autentizace, apod. Aktuálnější verzi můžete stahovat ze stránek autora. -zte-
22.06.2010 Opera, Chyba ve zpracování webových fontů a další
Ve webovém prohlížeči Opera bylo objeveno několik blíže nespecifikovaných kritických zranitelností. Jednou z nich je pak možnost navýšení oprávnění při zobrazení obsahu pomocí speciálně upraveného TrueType fontu (písma). Zranitelnost byla ohlášena Microsoftem, který již vydal záplatu pro své operační systémy. Uživatelům nevyužívajícím tento systém se pak doporučuje updatovat Operu na verzi 10.54, která zneužití těchto zranitelností také zabraňuje. Další detaily a informace o ostatních zranitelnostech opravených touto verzí naleznete zde (Informace o ostatních zranitelnostech mají být teprve doplněny). -jbl-
07.06.2010 Zraniteľnosť v Adobe Flash Player
Ako uviedol informačný server Secunia, Adobe Flash Player obsahuje chybu, ktorá umožní potencionálnym útočníkom skompromitovať celý zraniteľný systém. Je spôsobená bližšie nešpecifikovanou chybou, o ktorej nie sú v súčasnej dobe žiadne detailnejšie informácie. Úspešné zneužitie tejto chyby umožní útočníkom spustiť ľubovoľný kód a je potvrdené, že sa aj aktívne zneužíva. Výskyt tejto zraniteľnosti je ohlásený vo verzii 10.0.45.2 a vo všetkých ostatných 10.0.x a 9.0.x a to pre Windows, Macintosh, Linux a Solaris. Viac informácii už však nájdete na stránkach výrobcu. -dra-
29.05.2010 Symantec, Norton Everywhere pro Google Android a Apple iPhone OS
Symantec spouští akci Norton everywhere dávající si za cíl rozšíření bezpečnostních produktů i na mobilní platformy. První aplikace Norton Connect je bezplatná a umožňuje bezpečný mobilní přístup k údajům, které jste již zálohovali online, buď pomocí Norton 360, nebo Norton Online Backup z vašeho PC, případně Apple Mac. Aplikace Norton Connect by měla být k dispozici v červnu z iPhone a Android online obchodů. Verze pro Android bude k dispozici i přímo od společnosti Symantec. Během června by také měla být vydána aplikace Norton Smartphone Security for Android, která umožní uživatelům vzdáleně vypnout telefon, v případě ztráty nebo krádeže. Společnost Norton navrhla ochrannný software, který bude kontrolovat aplikace běžící na operačním systému Android, a označí ty, které se chovají podezřele, např. rozesílají nekontrolovaně osobní údaje.
Kromě posunu v oblasti bezpečnostního software pro Android chystá společnost Norton zcela novou službu zaměřenou na ochranu široké škály chytrých mobilních telefonů, PC a Mac. Služba Norton DNS označí nebo dokonce zablokuje nebezpečný obsah, nebo webové stránky. Více informací se dozvíte na webu Symantec. -jbl-
26.05.2010 Nový typ phishing útoku
Většina phishing útoků závisí od počátku na podvodu. Pokud však zjistíte, že jste na chybné adrese, nebo, že na stránce je něco špatně, podvodníkům jste unikli. Lidé jsou nejvíce ostražití ve chvíli kdy poprvé navštíví danou stránku.
Co ale nečekáme je, že stránka, kterou jsme zrovna otevřeli se za našimi zády změní.
Jak nový útok funguje:
19.05.2010 Bezpečnostná chyba vo Windows 7
Spoločnosť Microsoft varovala užívateľov 64 bitovej verzie Windows 7 a Windows Server 2008 R2 pred potencionálnymi malware útokmi. Ako uviedol Jerry Bryant, hovorca spoločnosti Microsoft, na svojom blogu, s najväčšou pravdepodobnosťou ide o chyby v ovládači Canonical Display, ktoré spôsobujú reštart takto postihnutých zariadení a možu byť tiež zneužité k útokom v podobe samoinštalačných malware programov. Daný problém by mal vyriešiť pripravovaný opravný patch, no zatiaľ nie je známy ani predbežný dátum jeho vydania. Viac informácií o danej chybe, ako aj o možnostiach dočasného riešenia už však nájdete na stránkach informačného portálu The Register. -dra-
16.05.2010 Tisíce nakupujících nevědomky prodaly své duše
Tisíce online nakupujících prodalo svou duši obchodu GameStation po nedostatečném přečtení podmínek smlouvy. Tento obchod s počítačovými hrami na začátku měsíce přidal do své smlouvy „doložku nesmrtelné duše“. Uvádí, že zákazník poskytuje společnosti právo žádat jeho duši. Všichni nakupující měli možnost doložku odmítnout prostřednictvím jednoduchého zaškrtávacího políčka. Pouze 22% lidí odmítlo, což bylo následně odměněno poukázkou na $5. Více si můžete přečíst na FOXNews.com. -jbl-
<<< novější starší >>>
13.07.2010 HP Virtual Connect Enterprise Manager, Validace vstupu a Cross-Site scripting
Byla nalezena zranitelnost v produktu HP Virtual Connect Enterprise Manager. Vzdálený uživatel díky chybě může vést Cross-Site scripting útoky. Software nedokonale filtruje poskytnutý HTML kód před zobrazením výstupu. Připojenému uživateli je tak umožněno spuštění libovolného kódu v kontextu webového prohlížeče napadené osoby. Kód spuštěný pod HP-VCEM má mimo jiné přístup k uživatelským cookies. Chyba je opravena ve verzi 6.1. Více informací naleznete v článku serveru Securitytracker.com. -jbl-
10.07.2010 Drupal, Cross Site Scripting zranitelnosti
Webový systém Drupal 5.x a 6.x obsahuje zranitelnosti, které dovolují vzdáleným uživatelům vykonat na aplikaci útok typu XSS. V původním oznámení je doporučen update na novější verze. -zte-
08.07.2010 Novell ZENworks Linux Management, několik zranitelností
Novell oznámil nalezení několika zranitelností v ZENworks Linux Management. Chyby jsou v Tomcat 5.0.28, který je v systému používán. Aktualizece ještě nejsou k dispozici. -zte-
08.07.2010 Sandbox, SQL injection
Aplikace Sandbox pro vytváření webů verze 2.0.3 obsahuje zranitelnosti, které dovolují vzdálenému uživateli mimo jiné vkládat zákeřný SQL kód. Může se takto např. obejít autentizace, apod. Aktuálnější verzi můžete stahovat ze stránek autora. -zte-
22.06.2010 Opera, Chyba ve zpracování webových fontů a další
Ve webovém prohlížeči Opera bylo objeveno několik blíže nespecifikovaných kritických zranitelností. Jednou z nich je pak možnost navýšení oprávnění při zobrazení obsahu pomocí speciálně upraveného TrueType fontu (písma). Zranitelnost byla ohlášena Microsoftem, který již vydal záplatu pro své operační systémy. Uživatelům nevyužívajícím tento systém se pak doporučuje updatovat Operu na verzi 10.54, která zneužití těchto zranitelností také zabraňuje. Další detaily a informace o ostatních zranitelnostech opravených touto verzí naleznete zde (Informace o ostatních zranitelnostech mají být teprve doplněny). -jbl-
07.06.2010 Zraniteľnosť v Adobe Flash Player
Ako uviedol informačný server Secunia, Adobe Flash Player obsahuje chybu, ktorá umožní potencionálnym útočníkom skompromitovať celý zraniteľný systém. Je spôsobená bližšie nešpecifikovanou chybou, o ktorej nie sú v súčasnej dobe žiadne detailnejšie informácie. Úspešné zneužitie tejto chyby umožní útočníkom spustiť ľubovoľný kód a je potvrdené, že sa aj aktívne zneužíva. Výskyt tejto zraniteľnosti je ohlásený vo verzii 10.0.45.2 a vo všetkých ostatných 10.0.x a 9.0.x a to pre Windows, Macintosh, Linux a Solaris. Viac informácii už však nájdete na stránkach výrobcu. -dra-
29.05.2010 Symantec, Norton Everywhere pro Google Android a Apple iPhone OS
Symantec spouští akci Norton everywhere dávající si za cíl rozšíření bezpečnostních produktů i na mobilní platformy. První aplikace Norton Connect je bezplatná a umožňuje bezpečný mobilní přístup k údajům, které jste již zálohovali online, buď pomocí Norton 360, nebo Norton Online Backup z vašeho PC, případně Apple Mac. Aplikace Norton Connect by měla být k dispozici v červnu z iPhone a Android online obchodů. Verze pro Android bude k dispozici i přímo od společnosti Symantec. Během června by také měla být vydána aplikace Norton Smartphone Security for Android, která umožní uživatelům vzdáleně vypnout telefon, v případě ztráty nebo krádeže. Společnost Norton navrhla ochrannný software, který bude kontrolovat aplikace běžící na operačním systému Android, a označí ty, které se chovají podezřele, např. rozesílají nekontrolovaně osobní údaje.
Kromě posunu v oblasti bezpečnostního software pro Android chystá společnost Norton zcela novou službu zaměřenou na ochranu široké škály chytrých mobilních telefonů, PC a Mac. Služba Norton DNS označí nebo dokonce zablokuje nebezpečný obsah, nebo webové stránky. Více informací se dozvíte na webu Symantec. -jbl-
26.05.2010 Nový typ phishing útoku
Většina phishing útoků závisí od počátku na podvodu. Pokud však zjistíte, že jste na chybné adrese, nebo, že na stránce je něco špatně, podvodníkům jste unikli. Lidé jsou nejvíce ostražití ve chvíli kdy poprvé navštíví danou stránku.
Co ale nečekáme je, že stránka, kterou jsme zrovna otevřeli se za našimi zády změní.
Jak nový útok funguje:
- Uživatel se dostane na normálně vypadající web.
- Server zjistí, že uživatel se stránkou chvíli nepracuje a věnuje se něčemu jinému. (Pracuje na jiné záložce)
- Server nahradí stránku webem, který vypadá například jako Google mail. Změní vše, od ikonky a titulku po vzhled.
- Uživatel prohlíží své obvykle velké množství otevřených záložek a najednou si všimne ikonky svého mailu. Když klikne na tuto falešnou záložku, uvidí standardní přihlašovací okno Gmailu, bude předpokládat, že byl jednoduše odhlášen a zadá své přihlašovací údaje.
- Útočník tak získá tyto údaje a může uživatele přesměrovat na web pravé služby, kde uživatel s největší pravděpodobností vlastně nikdy nebyl odhlášen, takže to bude vypadat jako by přihlašování bylo uspěšné.
19.05.2010 Bezpečnostná chyba vo Windows 7
Spoločnosť Microsoft varovala užívateľov 64 bitovej verzie Windows 7 a Windows Server 2008 R2 pred potencionálnymi malware útokmi. Ako uviedol Jerry Bryant, hovorca spoločnosti Microsoft, na svojom blogu, s najväčšou pravdepodobnosťou ide o chyby v ovládači Canonical Display, ktoré spôsobujú reštart takto postihnutých zariadení a možu byť tiež zneužité k útokom v podobe samoinštalačných malware programov. Daný problém by mal vyriešiť pripravovaný opravný patch, no zatiaľ nie je známy ani predbežný dátum jeho vydania. Viac informácií o danej chybe, ako aj o možnostiach dočasného riešenia už však nájdete na stránkach informačného portálu The Register. -dra-
16.05.2010 Tisíce nakupujících nevědomky prodaly své duše
Tisíce online nakupujících prodalo svou duši obchodu GameStation po nedostatečném přečtení podmínek smlouvy. Tento obchod s počítačovými hrami na začátku měsíce přidal do své smlouvy „doložku nesmrtelné duše“. Uvádí, že zákazník poskytuje společnosti právo žádat jeho duši. Všichni nakupující měli možnost doložku odmítnout prostřednictvím jednoduchého zaškrtávacího políčka. Pouze 22% lidí odmítlo, což bylo následně odměněno poukázkou na $5. Více si můžete přečíst na FOXNews.com. -jbl-
<<< novější starší >>>
