A magyar médiában is rengeteg helyen lehetett olvasni a CanSecWest konferencián rendszeresen megrendezett Pwn2Own verseny részleteiről. Én most szeretnék egy átfogó bemutatást adni a versenyről, tisztázva néhány pontatlanul vagy félreérthetően megjelent részletet. Először is, a…

A Microsoft XBOX live rendszerében is léteznek "feltöltőkártyák", melyek segítségével (jó pénzért) mindenféle virtuális javakat vásárolhatnak maguknak a gémerek. Az IRL megvásárolható kártyákon kódok szerepelnek, melyeket a megfelelő helyre beírva értékes…

szerializáció (programozás): egy objektum soros formában (tipikusan karakterláncként) történő megjelenítése Sami Koivu megint publikált egy sor kellemetlen módszert a Java  applet sandboxból történő kitörésre. Ezek közül kettő a vágólapon található adatokhoz enged…

Wietse Venema, a Postfix fejlesztője a napokban felfedezett egy sérülékenységet a saját STARTTLS implementációjában, amely több más szoftverben is előfordul. A probléma az, hogy a titksított és hitelesített kapcsolat létrehozására utasító STARTTLS parancs után sortöréssel…

Te jóságos ég, hogy repül az idő! Szerencsére a tavaszi zsongásba (a fagyos szélben állva csak arra gondolok, milyen jó meleg lehet a otthon, a monitor előtt) nem zavar be jelentősen az ehavi MS frissítés, a három hibából kettő ugyanis egy-egy szimpla DLL hijacking sebezhetőség…

 Mire nem jó egy buta böngészőhiba! Jon Oberheide egy olyan XSS-t fedezett fel az Android Marketen, amit bármilyen script kiddie megirígyelne: ha beírsz egy tetszőleges szkriptet az alkalmazásod leírásába, az bizony lefut.  A dolog azért különösen gyönyörű, mert a Market…