Skocz do treści

Tag: Google-Zero

0-day w IE, aktualizujcie

Microsoft ogłosił wydanie specjalnej aktualizacji przeglądarki Internet Explorer łatającej błąd CVE-2018-8653 pozwalający na wymuszone wykonanie kodu po wejściu ofiary na specjalnie spreparowaną stronę. Błąd w obsłudze pamięci w Microsoft Scripting Engine mógł spowodować wykorzystanie uprawnień lokalnego użytkownika. Szczególnie niebezpieczeństwo niesie praca na koncie z uprawnieniami administratora, która może skończyć się przejęciem maszyny. Informację o podatności przekazali uczestnicy  Google Project Zero. Niestety, znane są już exploity wykorzystujące tę lukę. Podatne są Internet Explorer 9, 10 i 11. Zalecamy nie zmieniać domyślnych ustawień wykonywania skryptów na stronach dla strefy innej niż Intranet (sieć wewnętrzna) dla serwerów oraz dla kont z uprawnieniami administratora.  …

Logitech Options – dziurawy od 3 miesięcy

Tavis Ormandy –  badacz bezpieczeństwa Google Project Zero odkrył podatność oprogramowania do modyfikowania zachowań klawiatury Logitech o nazwie Logitech Options. Oprogramowanie to instaluje serwer WebSockets na porcie 10134, który uruchamia się automatycznie po starcie systemu MS Windows i nasłuchuje na polecenia od urządzenia Logitech Crown w oparciu o publiczne SDK. Jedyne uwierzytelnienie urządzenia to identyfikator procesu pluginu użytkownika, jednak brak zabezpieczenia przed atakiem typu Brute-Force daje szansę na szybkie odgadnięcie tej wartości. Jeśli użytkownik uruchomi spreparowany kod (np klient WebSocket napisany wJavaScript na stronie internetowej) to atakujący jest w stanie wysłać do oprogramowania złośliwe sekwencje klawiszy, co daje duże możliwości złośliwych działań.…