Soroush Dalili egy olyan problémát fedezett fel a microsoft IIS 6-os és korábbi változataiban, amely lehetővé teszi, hogy fájlfeltöltést biztosító webalkalmazások ellenőrzési mechanizmusai megkerülhetők. A problémát az okozza, hogy az IIS rosszul kezeli a pontosvesszőt vagy…

A Hackers on a Train alakulat sikeresen megérkezett Berlinbe, ahol már masszívan folyik a 26. Chaos Communication Congress. A négynapos jegyek már tegnap elfogytak, és komoly kihívást jelent ülőhelyet, tápot valamint hálózati csatlakozást találni, tehát jó sokan jöttünk össze :)…

Minden kedves olvasómnak bugogktól mentes boldog karácsonyt kívánok!Nem sokára indulunk Berlinbe a 26C3-ra, onnan még biztosan jelentkezem, addig is egyetek és igyatok sokat!

Jó ideje tervezem kiposztolni qgeh levelét, ami egy hihetetlenül csúnya problémára hívja fel a figyelmet egy "felnőtt tartalmakat" szolgáltató weboldallal kapcsolatban. Mivel jóval több mint egy hete felvettem a kapcsolatot az érintettekkel, úgy érzem, hogy most már eljött…

Tiny Tim kapott egy új számítógépet karácsonyra, de nem figyelt oda a védekezésre, így a PC szomorú véget ért:

A legalább november vége óta aktívan kihasznált 0-day Abode Reader és Acrobat sebezhetőséget a gyártó csak a január 12-én esedékes rendszeres negyedévi fogja javítani. Egy ComputerWorld-nek adott interjúban Brad Arkin, az Adobe termékbiztonságért felelős igazgatója elmondta,…

Miután nyilvánosságra került a Microsoft igazságügyi szakértői munkát segítő szoftvere, a COFEE, várható volt valamiféle válaszreakció a túloldalról. Ez a DECAF nevű eszközben öltött testet, amely képes érzékelni, ha COFEE-val felvértezett adathordozót csatlakoztatnak az…

Egyik kedves régi olvasóm a múltkori BKV-s poszton felbuzdulva elkezdte nézegetni az elméletileg mostanában élesedő új BKV weboldal háza táját. Már többször megállapíthattuk (és ezt jól jegyezze meg mindenki!), kár túlkombinálni a dolgokat - ezesetben pl. ott figyelt egy ostoba…

Azt mondja az Index:A katonai szintű titkosító technológiákat fejlesztő izraeli cég provokálja a hackereket, és aranyrudakat ajánl annak, aki feltöri az algoritmusát. Az előző versenyükön nem volt győztes.A hírt kb. két hete olvastam valahol, és már akkor is azt gondoltam, hogy…

Javítatlan Adobe Reader sebezhetőséget kihasználó exploittal garázdálkodnak újabban a rosszemberek. A hivatalos blog szerint a Reader és Acrobat termékeket egyaránt érinti a probléma. A sebezhetőség részletei nem kerültek nyilvánosságra ezidáig, de CVE már nyílt, érdemes azt…

Most szombaton a Független Magyar Tudásközpont (H.A.C.K.) workshopot rendez a Fogasházban (Budapest VII. Akácfa utca 51), ahová szeretettel várjuk a lelkes-szomjas érdeklődőket! A programpontok között szerepel a 3D nyomtató hackelése, meg lehet ismerkedni a hackerspace tagjaival…

Elmaradt az esti előrehozott sörözés, szóval lett egy kis időm összerántani az elmúlt frissítőkedd érdekességeit, voilá: MS09-069: Távoli, DoS előidézésére alkalmas sebezhetőség a Windows 2000, 2003 és XP LSASS szolgáltatásában. A problémát speciális IPSec csomagok…

Először is szeretném a figyelmetekbe ajánlani a címben szereplő remek oldalt (nye, adok pageranket is :), melyen a BME különböző (általában "nagy látogatottságú" :) előadásait tekinthetitek meg ingyen, otthoról, akkor is ha nem vagytok hallgatók (legalábbis…

Helyesbítés: a poszt készültekor még nem voltam Facebook felhasználó, így tévesen azt feltételeztem, hogy az apps.facebook.com domainen elérhető szolgáltatások is a közösségi oldal infrastruktúrájához tartoznak, miközben ezeken a helyeken valójában mindig külső szervereket…

 Kingkope egy FreeBSD újabb verzióit érintő, helyi root jogosultság megszerzésére felhasználható exploitot tett közzé a Full-Disclosure listán. A problémát az okozza, hogy a dinamikus linker (Run-Time Link Editor - rtld) rávehető, hogy setugid-es programok (pl. ping)…

Helyesbítés: a poszt készültekor még nem voltam Facebook felhasználó, így tévesen azt feltételeztem, hogy az apps.facebook.com domainen elérhető szolgáltatások is a közösségi oldal infrastruktúrájához tartoznak, miközben ezeken a helyeken valójában mindig külső szervereket…

Kaptam egy szép képet:  

Mivel a H.A.C.K. wikioldalait láthatóan nem sokan szerkesztgetik szívesen,   csináltam egy egyszerű szavazást annak felmérésére, hogy hánymennyien vennének részt a budapesti közvetítésen. Részletek itt és itt, szavazni oldalt lehet.

Buksikutya küldte az infót, hogy a Roxy rádió és a VEKE oldala sem fest túl jól:http://veke.hu/index.php?fc=cikk&par=-1'A Roxyt azóta úgy látom javították, kár, hogy a felhasználói adatbázis már szét lett kürtölve a nagyvilágba - ezt onnan tudom, hogy ide is ki lett…

A szoftverek szűrőmechanizmusainak megkerülése miatt néha szükséges, hogy egy sebezhetőségen kersztül bejuttatandó shellkód ne tartalmazzon bizonyos karaktereket. Láttunk már olyan shellkódot, ami túléli az Unicode transzformációt, és csak egyszerű alfanumerikus karaktereket…

Egy eddig foltozatlan, Internet Explorer 6 és 7 típusú böngészőket érintő sebezhetőség látott napvilágot tegnap a Bugtraq listán. A probléma speciális STYLE tagek getElementsByTagName() segítségével történő feldolgozásakor jelentkezik.  A hiba böngészőn keresztüli…

A tavalyi balszerencse-sorozat ellenére idén úgy tervezzük, hogy ismét nekivágunk Európa egyik legnagyobb és minden bizonnyal legrégibb múltra visszatekintő hackerösszejövetelének, a 26. Chaos Communication Congress-nek, méghozzá a H.A.C.K. zászlaja alatt vonulva!  A…

Megérkezett a Metasploit Framework 3.3-as, stabil változata, rengeteg izgalmas újdonsággal úgymint: Windows 7 támogatás futtató és célpont oldalon, továbbfejlesztett Oracle és MSSQL támadási módszerek, a playloadok bágyazásának lehetősége tetszőleges .exe-be vagy VBA makróként…

Továbbított levél alant:Idén decemberben immár 3. alkalommal kerül megrendezésre az ELTE és akancellar.hu közös 24 órás IT biztonsági programozó versenye = ITSecurity Coding Contest :)A versenyen különböző IT biztonsággal kapcsolatos PROGRAMOZÓIfeladatokat kell megoldani. Nem…

Bár a napokban nyilvánosságra került TLS probléma súlyosságát senki sem vonta kétségbe, többen szkeptikusak voltak azzal kapcsolatban, hogy a sebezhetőséget éles rendszeren, széles körben ki tudnák használni. Anil Kurmus most megmutatta, hogy a protokollújraegyeztetésen alapuló…