Skocz do treści

Get Secure Wpisy

Zdalne wykonanie kodu w SQLite

Opublikowany przez Redakcja dnia 15 grudnia 2018 11:44:13 CET

Wenxiang Qian z grupy badaczy bezpieczeństwa Tencent Blade Team odkrył podatność w silnikach baz SQLite, która pozwala między innymi na zdalne wykonanie kodu na urządzaniu ofiary. Podatny jest także silnik Chromium używany w wielu aplikacjach i urządzeniach spiętych w Internet of Things (IoT). Grupa posiada działający exploit, który został użyty do ataku na głośniki Google Home. Google załatał już swój kod, Tencent Blade Team wstrzymuje się z opublikowaniem kodu exploita do czasu wypuszczenia aktualizacji przez innych producentów. Łatki zostały także wypuszczone na Red Hat, Debian, openSUSE. Jeśli jesteś autorem oprogramowania lub administratorem zaktualizuj SQLite do 3.26.0,  Chromium i Chrome do 71.0.3578.80.…

Kontynuuj czytanieZdalne wykonanie kodu w SQLite

Logitech Options – dziurawy od 3 miesięcy

Opublikowany przez Redakcja dnia 13 grudnia 2018 22:45:45 CET

Tavis Ormandy –  badacz bezpieczeństwa Google Project Zero odkrył podatność oprogramowania do modyfikowania zachowań klawiatury Logitech o nazwie Logitech Options. Oprogramowanie to instaluje serwer WebSockets na porcie 10134, który uruchamia się automatycznie po starcie systemu MS Windows i nasłuchuje na polecenia od urządzenia Logitech Crown w oparciu o publiczne SDK. Jedyne uwierzytelnienie urządzenia to identyfikator procesu pluginu użytkownika, jednak brak zabezpieczenia przed atakiem typu Brute-Force daje szansę na szybkie odgadnięcie tej wartości. Jeśli użytkownik uruchomi spreparowany kod (np klient WebSocket napisany wJavaScript na stronie internetowej) to atakujący jest w stanie wysłać do oprogramowania złośliwe sekwencje klawiszy, co daje duże możliwości złośliwych działań.…

Kontynuuj czytanieLogitech Options – dziurawy od 3 miesięcy

CSRF w portalu Samsung

Opublikowany przez Redakcja dnia 13 grudnia 2018 07:59:22 CET

Artem Moskowsky, ukraiński badacz bezpieczeństwa wykrył podatności CSRF w portalu samoobsługi Samsunga pozwalające na przejęcie konta użytkownika. O fakcie poinformował portal ZDNet sam hacker, podobną informację podaje też The Register.  Portal https://account.samsung.com/ pozwala zarządzać urządzeniami mobilnymi użytkownika. Błędy CSRF pozwalały zmienić dane bezpieczeństwa konta (wyłączyć uwierzytelnianie wieloetapowe, zmienić pytanie odzyskiwania hasła) a w rezultacie przejąć konto. Błędy oczywiście załatano, a hacker otrzymał nagrodę w wysokości 13300 USD. Przed błędami CSRF stosunkowo łatwo się ustrzec, pojawiają się niezmiernie rzadko, do tego stopnia, że zostały usunięte z listy OWASP Top Ten w 2017 roku.Jak widać nadal jednak mogą być groźne.