Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hírek - 2012/27. hét

2012.07.16. 11:47 | buherator | Szólj hozzá!

Kapcsold ki a kütyüket!

A Microsoft arra bíztatja felhasználóit, hogy kapcsolják ki a Windows Sidebar és Gadgets komponenseit, mivel az ezeken elhelyezendő, harmadik féltől származó kütyük sok esetben nem követik a biztonságos programozás alapelveit, sérülékenységeket vezetve be a felhasználók rendszereibe. A lépésnek feltehetően köze van ahhoz az előadáshoz, amit Mickey Shkatov és Toby Kohlenberg fog tartni a hó végén megrendezésre kerülő BlackHaten.

Tumblr perzisztens XSS

Három hétig tartott a Tumblr biztonsági csapatának, hogy kigyomláljanak egy perzisztens XSS hibát a szolgáltatásból. A sérülékenységet az alkalmazások regisztrációjánál megadott kliens-oldali kódokkal lehetett kihasználni. A probléma jó lehetőséget adott volna egy masszív spam kampány lebonyolítására a több mint 63 millió mikroblogot tartalmazó szolgáltatáson - szerencse, hogy ezt a hibát nem a rosszfiúk szúrták ki.

Vége a DarkCometnek

Négy év fejlesztés után a DarkComet távoli adminisztrációs eszköz (RAT) fejlesztője, DarkcoderSc lezárta a projektet. Egyes hírek szerint a döntés oka az, hogy a szoftvert a szíriai konfliktusban is felhasználták a rezsim támogatóinak megfigyelésére, a DarkcoderSc által kiadott közlemény azonban ilyet nem említ, sokkal inkább a fejlesztő azirányú félelmeinek ad hangot, hogy a DarkComet illegális felhasználásáért őt is felelősségre vonhatják, ahogy az a Blackshades RAT fejlesztőjével is megtörtént.

AusCERT #fail

Az ausztrál információs infrastruktúra védelméért felelős AusCERT postára adott egy DVD-t, amin a szervezet Stay Smart Online programjára feliratkozott személyek adatai szerepeltek titkosítatlanul, a posta pedig természetesen elhagyta a lemezt.

Plesk 0-day 

trey@HUP:

Hosting cégek előszeretettel használják a Parallels Plesk megoldását. Underground körökben állítólag 8 ezer dollárért exploit vásárolható olyan Plesk (10.4.4 vagy régebbi verzió, a 11.0 nem érintett) 0day sebezhetőséghez, amely a támadó számára sikeres kihasználás esetén teljes hozzáférést biztosít a kezelt weboldalakhoz. Részletek itt.

AndroidForums.com - 1 millió rekord

Feltörték a Phandroid által üzemeltetett AndroidForums.com fórumot és megfújták a több mint egymillió felhasználói rekordot tartalmazó adatbázist. A támadáshoz egy ismert exploitot használtak. A jelszavakat hashelve tárolták, ennek ellenére természetesen minden felhasználónak érdemes jelszót változtatnia.

Három arcú drive-by támadás

Az F-Secure szakemberei egy kolumbiai weboldalon multiplatform trójaira bukkantak. A kártevő egy aláírt Java appleten érkezik az áldozatok számítógépére, engedélyezés után pedig a platformnak (Windows, OS X, Linux vagy Unix) megfelelő futtatható állományokat tölt le és indít el egy távoli szerverről. Külön érdekesség, hogy úgy tűnik, a támadók egy biztonsági szakember, Dave 'Rel1k' Kennedy demó kódját használták a támadáshoz. 

A macesek ezen kívül a Longage.A-tól is tarthatnak, ami a Word OS X-re készült változatának egy 2009-es hibáját kihasználva próbálja átvenni az irányítást a sérülékeny rendszerek felett. 

A fentieken túl részletes posztokat tervezünk a kulcs nélküli BMW lopásról illetve az App Store hackeléséről, maradjatok vonalban!

Címkék: hírek incidens xss 0day rat fail tumblr auscert darkcomet plesk andoridforums

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.