"Pénteken érkezik a kereskedelmi hálózatba a Mac OS X legújabb, 10.5-ös verziószámú, "Leopard" kódnévre hallgató kiadása. Az Apple néhány napja fellebbentette a fátylat az OS X legújabb nagy verziójának újdonságairól, amelyek közt 11 új biztonsági…

Nos, azt nevezzük science-fictionnek, de nem kell megijedni, nem irodalmi értekezés következik. Csupán Sandro Gauci cyberpunk szösszenetét szeretném a figyelmetekbe ajánlani, melyen keresztül a szerző a saját maga által készített SIPVicious programgyűjtemény használatát…

Tegnap hajnalban deface-elték a hackerlegenda, Kevin Mitnick hivatalos weboldalát. A támadók a szokásos fikázás mellé azért voltak kedvesek feltenni az eredeti tartalmat gzippelve, hogy az illetékeseknek könnyebb legyen visszaállítani az oldalt. Hölgyeim és uraim, ez a blog 100.…

Michal Sobieraj szemléletes cikkében azt elemzi, hogy hogyan kezelik a különböző böngészők a speciális Unicode karaktereket tartalmazó URL-eket. Szabadfordítás következik: Azokat az URL-eket, amelyek nem-ASCII karaktereket is tartalmaznak, mindig ASCII kompatibilis formában (valahogy…

Egyes híresztelések szerint a NASA arra kéri alkalmazottait és partnereit, hogy ne használjanak Internet Explorert, mivel a böngésző ActiveX vezérlőjén keresztül egy új Real Player sebezhetőséget (azt elárulná valaki, hogy a sebezhető rendszerek felsorolásához hogy kerül a SuSE…

Egy 19 éves kaliforniai srácot azzal vádolnak, hogy a hívószámát meghamisítva a 911-es segélyhívószámot használva kommandósokat küldött egy idegen család házába. A fiú a 911-et hívva azt állította, hogy lelőtt egy embert, és hogy további gyilkosságokra készül. A…

Na, kissé sok volt a dolgom az elmúlt pár napban, mostanra sikerült magam átrágnom a Crypto-Gramon, amiben Schneier úr megint megmondja a tutit :) Szóval a globális terrorpara legújabb eredménye az a brit törvény, amely öt évig terjedő szabadságvesztéssel bünteti, ha valaki nem…

Ha kocka lennék most azt mondanám, lol. Mondjuk kocka vagyok, de csak azért sem mondom :) Szóval hogy a fenébe lehet cross-site scriptinget csinálni egy telefonnal? A válasz egyszerű, ha el sikerül vonatkoztatnunk a manapság leggyakrabban használt vezetékes és mobil készülékektől:…

Mint arról már a HUP is hírt adott, sikeresen kijátszották az iPhone új firmware-rel érkező védelmét, amely megakadályozza a harmadik féltől származó adatok feltöltését a telefonra. A "jailbreaket" ugyanazzal a TIFF képek kezelésénel jelentkező buffer overflow hiba…

A vihar csendesedni látszik a Google körül, de a szél a felhőket a Yahoo felé sodorja: Nitesh Dhanjani két CSRF támadást mutatott be a Yahoo ellen. A kihasznált hibák nem a fő webes alkalmazásokat, hanem a mobil eszközökre szánt WAP és mobil web szolgáltatásokat érintik (mint…

Már tényleg kezd vicces lenni, hogy a Firefox kb. mindenbe enged szkriptet írni. Gareth Heyes újabban például XML-be injektál. Legközelebb azzal jön elő valaki, hogy a HTML entity-kből (tudjátok, á) lehet alerteket dobálni... Tényleg, próbálta már valaki?Frissítve: Most…

Miközben az előző poszthoz gyűjtöttem az infókat egy kis érdekességbe botlottam: Előszeretettel használom a Firefoxnak azt a funkcióját, ami törli a személyes adataimat a program bezárásakor. Pá-pá terhelő bizonyítékok tracker cookiek! Miközben azonban a mentett jelszavaimat…

A nagy sikerre való tekintettel folytatódik a kívánságműsor. A pártatlanság jegyében az Internet Explorer után most a Firefox jelszótárolási szokásait elemezzük ki - bár az iPhone magyarországi megjelenéséről és a Yahoo Messenger magyarításáról többen érdeklődtek, ezek…

A blind (vak) SQL injectiont hagyományosan úgy szokás felfogni, mint egy bináris keresést az ASCII táblán, vagy annak egy részén.  Ennek lépésszáma O(log2 n)-nel arányos, ahol n a teljes ASCII táblát figyelembe véve 255 (a nullbyte nem érdekes), így a logaritmus értéke kb. 8…

A múltkor hosszan megtalált Safari beta bug úgy tűnik, hogy működik az iPhone-okon. Ennyit az Apple hibabejelentő rendszeréről...

Szokatlanul agyafúrt módszerrel próbálták becserkészni a Chinese Internet Security Response Team (CISRT) angol nyelvű oldalának látogatóit. A támadók a szokásos <iframe> injektálós trükkött alkalmazták azzal a csavarral, hogy a veszélyes kód nem minden látogató számára…

Hétvégén uborkaszezon volt, tegnap viszont beindultak a dolgok, csak én nem voltam gépközelben:Még a blog indulása környékén írtam Ronald véletlen felfedezéséről melynek segítségével elvileg a Google találati listájának élére (vagy legalábbis annak ε sugarú…

RSnake és Jeremiah Grossman még egy BlackHat-es podcastban említették, hogy olyan módszert dolgoztak, ki melynek segítségével egy weboldal Tor (vagy bármilyen más proxy) mögé bújt látogatóinak valódi IP címe megszerezhető. Az említett JavaScript kódot most tették közzé. Az…

Van úgy, hogy az ember úgy érzi, a világ összeesküdött ellene. A Google esetében ez mostanában valószínűleg több mint egyszerű paranoia.Billy Rios a trükkös Picasa sebezhetőség után most egy pofonegyszerű ötlettel rukkolt elő: Az újabb Flash Playerek megengedik, hogy az ún.…

Speciális Unicode karakterek segítségével teljesen elrejthetők a fájlok kiterjesztései Windows Vista alatt. Max Ried felfedezése azon alapul, hogy a pl. arab nyelvű szövegek esetén használt RLO (right-to-left override) és LRO (left-to-right override) vezérlőjelek használatakor a…

Rá jár a rúd a Google-re mostanában. Hiába, nem könnyű a világ egyik legnagyobb informatikai szolgáltatójának lenni... Már beszámoltam a Google Search Appliance hibájáról, ami közel 200.000 felhasználót érintett. Midnenkit megnyugtatok, a mostaniak még ennél is…

Túléltem a Hacktivityt, jó buherátorhoz méltóan borostásan, álmosan, és másnaposan értem haza azzal a jóeső érzéssel, hogy idén is hoztuk a formát!Ötször próbáltam befejezni ezt a posztot, de úgy döntöttem, hogy reménytelen a dolog. Egy dologra reagálnék csak a ma már…

Akit esetleg megrendített az Index vezércikke, annak íme egy kis háttér:A szivárványtáblák ötlete már 1980-ban felvetődött a híres-neves Martin Hellman-ban, a módszert aztán a szintén legendás Rivest fejlesztette tovább '82-ben. A módszer tehát több mint húsz éves, a…

Örömmel jelentem, hogy sikerült kimásznom az ágyból, és nem sokára elindulok Hacktivityre. A kevésbé örömteli hír az, hogy a blog.hu-ra nem tudok belépni biztonságosan, úgyhogy a helyszíni közvetítés úgy néz ki elmarad, de megígérem, hogy szorgosan fogok jegyzetelni, hogy…

MustLive felfedezett egy XSS sebezhetőséget, amely majdnem 200.000, a Google beépülő keresőmotorját használó oldalt érint. Sajnos a poszt ukránul(?) van, úgyhogy a legjobb lesz, ha helyettem a kis párbeszédablakok beszélnek - mondjuk egy finom .gov-os címről:mi5.gov.ukEgy kis…