»

Edge ponekod poganja Flash brez odobritve uporabnikov

Slo-Tech - Že več let se pripravljamo na smrt starih vtičnikov NPAPI, kamor seveda sodi tudi Flash. Čeprav ima Flash nekoliko posebno obravnavo in pogosto predstavlja izjemo, ki jo brskalniki vendarle dovoljujejo, se bliža tudi njegov konec. Ni pa takšnega mnenja Microsoft, ki je v svoj novi brskalnik Edge vgradil poseben seznam strani (whitelist), ki jim v nasprotju z uporabnikovimi nastavitvami dovoljuje poganjati Flash. Med njimi je tudi Facebook.

Že od leta 2017 je Flash v Edgeu privzeto izklopljen, uporabnik pa mora poganjanje izrecno potrditi za vsako stran posebej. Toda, do februarja letos je seznam izvzetih strani vseboval 58 vnosov (domen in poddomen), med katerimi so bili na primer Microsoftova stran, Yahoo, Deezer in Facebook, pa tudi španski frizer...

14 komentarjev

Letos na Pwn2Own tarča tudi avtomobil Tesla

Slo-Tech - Na letošnji izvedbi tekmovanja Pwn2Own, ki vsako leto poteka ob robu konference CanSecWest v Vancouvru, bodo prvikrat hekali tudi avtomobile. Na tekmovanju z 12-letno tradicijo so se doslej v glavnem osredotočali na operacijske sisteme, brskalnike, pametne telefone in podobno, letos pa bodo prvikrat tarče tudi pametni avtomobili. Tesla Model 3 bo tarča, ki ponuja 250.000 dolarjev nagrade za tistega, ki bo uspel na njegovem vozlišču (gateway), avtopilotu ali VCSEC (Vehicle Control Security) izvesti nepooblaščeno kodo. Na osrednje vozlišče se povezujejo vsi bistveni deli vozila, denimo prenos, šasija in podobno. Avtopilot je v resnici asistenčni sistem, VCSEC pa povezuje varnostne sisteme. Za celotno Teslo znaša nagradni...

5 komentarjev

Bliža se konec za Flash

Slo-Tech - Pred dobrimi tremi leti je Mozilla napovedala, da bo iz svojega brskalnika počistila vtičnike NPAPI (Netscape Plugin Application Programming Interface), ki so bili svoj čas pogoj za večpredstavnost na spletu, danes pa so jih povozili nativni API-ji. Edina izjema je bil Flash, ki so ga zaradi njegove razširjenosti obdržali. Sedaj bodo tudi temu napravili konec, saj bo Firefox 69 onemogočil Flash. Po trenutni časovnici bo Firefox 69 izšel septembra, torej bodo imeli pisci spletnih strani dovolj časa, da se na konec pripravijo.

V resnici bo tudi v Firefoxu 69 mogoče Flash vključiti, saj bo le privzeto onemogočen. Ne bo ga mogoče vključiti ob obisku spletne strani, ki ga uporablja, temveč bo treba iti ročno v nastavitve brskalnika in ga aktivirati. Podobno bo...

36 komentarjev

Sesalnik ali vohun na kolesih

Slo-Tech - Še en zgovoren primer, zakaj internet stvari ni vedno najpametnejša izbira, je pametni sesalnik Diqee 360, ki ga proizvajajo v kitajskem Dongguanu. Samodejni robotski sesalnik ima 360-stopinjsko kamero, ki jo potrebuje za avtonomno sesanje, povezavo na Wi-Fi za krmiljenje in mikrofon. Ker se naprava povezuje v internet, se lahko vprašamo, ali jo je mogoče predelati v prisluškovalno napravo na kolesih. Odgovor je - da.

Raziskovalci Positive Technologies so že pred časom ugotovili, da ima robotski sesalnik dve resni ranljivosti. Eno izmed njih lahko zlorabimo le, če imamo fizični dostop do sesalnika, drugo pa tudi na daljavo. Sesalnik ima pač privzeto uporabniško ime in geslo (admin/888888), ki omogoča administratorski dostop vsakomur, ki pozna njegov MAC-naslov in ima dostop do...

12 komentarjev

Na Pwn2Own padla večina programske opreme

Trend Micro - V Vancouvru se je končalo vsakoletno hekersko tekmovanje Pwn2Own, na katerem so največji svetovni strokovnjaki tri dni iskali ranljivosti v moderni programski opremi: od navideznih strojev do brskalnikov in poslovnih okolij. Letošnji nagradi sklad je bil rekorden, podobno pa so bili rekordni tudi rezultati tekmovalcev.

Že prvi dan so organizatorji razdelili 233.000 dolarjev za pet uspešnih vdorov in enega deloma uspešnega. Ekipa 360 Security je uporabila prekoračitev kopice v jpeg2000, da je v Windows prek Adobe Readerja izvedla oddaljeno kodo. Samuel Groß in Niklas Baumstark sta na macu v Safariju uspela izkoristiti nekaj hroščev in dobiti višje privilegije v macOS. Deloma je bila luknja že zakrpana, a sta vseeno uspelo na touch bar zapisati sporočilo. Ekipa...

22 komentarjev

Huda ranljivost v Firefoxu

Slo-Tech - Redko se zgodi, da varnostne ranljivosti v brskalnikih pridejo na prve strani novinarskih hiš. Najnovejša ranljivost v več verzijah brskalnika Firefox je dovolj resna, da se je zgodilo tudi to. Ker popravka še ni, SI-CERT v vmesnem času svetuje uporabo drugih brskalnikov. V Mozilli že pripravljajo popravek, ki ga bodo izdali v najkrajšem možnem času.

V brskalniku Firefox v verzijah od 41 do 50 so odkrili nezakrpano ranljivost, ki jo napadalci že izkoriščajo (zero-day). To pomeni tudi, da je ranljiv brskalnik v Tor Bundlu, kjer je inačica Firefox 45 ESR. Pravzaprav so bili Torovci tisti, ki so napako prvi odkrili in potrdili. Napad na ranljivost izkorišča prekoračitev predpomnilnika kopice (heap overflow bug) in potrebuje vključen JavaScript. V tem primeru lahko napadalec...

44 komentarjev

Napad rowhammer deluje tudi androidnih telefonih

Ars Technica - O napadu rowhammer smo prvikrat poročali pred skorajda dvema letoma, ko so raziskovalni na Carneige Mellon University odkrili, kako lahko z zelo hitro ponavljajočim branjem iste vrstice v pomnilniku okvarimo podatke v sosednjih vrsticah. Tedaj je bila ranljiva večina preizkušenih modulov, a so strokovnjaki fenomen večinoma odpravili kot hrošč, ki omogoča okvaro podatkov, kaj več pa ne. Štiri mesece pozneje so pokazali, da je mogoče to isto ranljivost uporabiti tudi za pridobitev skrbniškega dostopa do operacijskega sistema. Sedaj imamo pred nami praktično izvedbo napada, ki pridobi dostop root do večine androidnih telefonov.

Rowhammer je strojni napad, saj ne izkorišča nobene ranljivosti v programski opremi. Namesto tega izrabi...

7 komentarjev

Mozilla podelila nagrade v podporo odprte kode

Mozilla.org - Mozilla je podelila prve nagrade v okviru oktobra najavljenega programa Foundational Technology, ki jih prejmejo projekti, na katerih Mozilla temelji oziroma jih močno uporablja. S tem želijo nekaj vrniti odprtokodni skupnosti, iz katere črpajo, hkrati pa projektom dati vzpodbudo za nadaljnje delo in finance za izboljšanje varnosti. To pot si je sedem prejemnikov razdelilo pol milijona dolarjev.

Največji kos je domov odnesel projekt Bro, ki vzdržuje programsko opremo za nadzor mreže in predstavlja glavni del Mozillinega sistema za nadzor vdorov v omrežje. Bro bo prejetih 200.000 dolarjev porabil za postavitev javnega repozitorja za module in dodatke za Bro. Projekt Django je prejel 150.000 dolarjev, ki jih bodo porabili za spremembe jedrne kode (Channels), da...

5 komentarjev

Drugi dan Pwn2Own 2015 stoodstoten uspeh

Slo-Tech - V petek je bil v Vancouvru drugi dan tekmovanja Pwn2Own in tudi to pot so tekmovalci vdrli v vse izdelke na preizkušnji. Junak dneva je bil Jung Hoon Lee, ki je pod vzdevkom lokihardt zlomil zadnjo stabilno in najnovejšo beta verzijo brskalnika Chrome. Prek brskalnika mu je uspelo priti do dveh gonilnikov v jedru Windows, kar mu je omogočilo prevzem popolnega nadzora nad sistemom. V dveh minutah je dobil 110.000 dolarjev, kar je najvišja nagrada v zgodovini Pwn2Own. Seveda pa je treba vedeti, da trajajo priprave na tekmovanje več mesecev in da tekmovalci tja pridejo z že izdelanimi kosi kode za njim poznane ranljivosti, tako da si je ta znesek v resnici prislužil z večmesečnim delom (in večletnim izobraževanjem).

Že pred tem je Lee...

4 komentarji

Prvi dan Pwn2Own padle vse tarče

threatpost - Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.

Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil...

34 komentarjev

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Slo-Tech - Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet...

20 komentarjev

Tudi Microsoft bo plačeval za najdene ranljivosti

ZDNet - Microsoft se pridružuje čedalje večji skupini podjetij (najbolj znana so Google, Mozilla in Facebook), ki nagrajujejo ranljivosti, ki jih uporabniki oziroma raziskovalci odkrijejo v njihovih izdelkih. Doslej so to počeli le v okviru programa BlueHat, ki je potekal kot tekmovanje, ko so razdelili tudi do četrt milijona dolarjev. Sedaj pa prihaja stalni natečaj.

Kot pojasnjujejo v Redmondu, so včasih ljudje z odkritimi ranljivostmi prihajali neposredno k njim. Sčasoma je to izzvenelo, zato želijo to početje znova obuditi. Zanimivo pa je, da bo Microsoftov program vključeval tudi beta verzije izdelkov, kar je novost. Recimo Internet Explorer 11, ki pride v beta inačici z Windows 8.1 (Blue), bo že tak primer. Microsoft pravi, da drugod raziskovalci niso motivirani, da bi...

13 komentarjev

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

ComputerWorld - V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.

Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju...

13 komentarjev

Letošnji Pwn2Own z višjimi nagradami in povratkom Googla

Lanski zmagovalci so bili iz francoskega VUPEN-a

vir: ComputerWorld
ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.

Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000...

10 komentarjev

Na letošnjem Pwn2Ownu rekordna nagrada za uspešen napad na Chrome

ComputerWorld - Vsakoletni hekerski dogodek, kjer hekerji in raziskovalci demonstrirajo svoje poznavanje brskalnikov in mobilnih telefonov ter varnostnih lukenj v njih, se bo letos v Vancouvru začel 9. marca. Za nekoliko več vznemirjenja kot ponavadi je poskrbel Google, ki je razpisal doslej najvišjo nagrado 20.000 dolarjev za kogarkoli, ki bi našel in uspešno zlorabil kakšno ranljivost v njihovem brskalniku Chrome.

Na letošnjem Pwn2Ownu bosta okolje 64-bitna operacijska sistema Windows 7 in Mac OS X, na katerih bodo tekli Internet Explorer, Firefox, Safari in Chrome. Prvi, ki bodo zlomili prve tri brskalnike, bodo prejeli 15.000 dolarjev, kar je 50 odstotkov več kot lani, medtem ko so za Chrome nekoliko drugačna pravila.

Ker Chrome...

5 komentarjev