»

Nezakrpana ranljivost v Androidu se že izrablja

Slo-Tech - Maddie Stone iz Googlovega Project Zero je v Androidu odkrila resno ranljivost, ki hekerjem omogoča prevzem nadzora nad nekaterimi telefoni z Androidom. Ranljivost se tudi v praksi že izrablja, pri čemer Project Zero s prstom kaže na NSO Group. Gre za izraelsko podjetje, ki je specializirano za iskanje, zbiranje in preprodajo ranljivosti. NSO se brani, da omenjena ranljivost ni v nikakršni povezavi z njimi. Google je obstoj ranljivosti potrdil in obljubil, da oktobra izide popravek.

Trenutno kaže, da je prizadetih več telefonov številnih proizvajalcev. Med drugim je moč zlorabiti Pixel 1 in 2, Huawei P20, Redmi 5A in Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3 in Samsung S7, S8 in S9. Googlov popravek bo neposredno uporaben za Pixel, medtem ko bodo morali ostali proizvajalci poskrbeti za njegovo integracijo v sistemsko posodobitev. Ranljivost je del Linuxovega jedra, kjer so jo odpravili v verziji 4.14 (v začetku leta 2018). Popravljena je tudi v novejših jedrih Androida, ni pa...

0 komentarjev

Edge ponekod poganja Flash brez odobritve uporabnikov

Slo-Tech - Že več let se pripravljamo na smrt starih vtičnikov NPAPI, kamor seveda sodi tudi Flash. Čeprav ima Flash nekoliko posebno obravnavo in pogosto predstavlja izjemo, ki jo brskalniki vendarle dovoljujejo, se bliža tudi njegov konec. Ni pa takšnega mnenja Microsoft, ki je v svoj novi brskalnik Edge vgradil poseben seznam strani (whitelist), ki jim v nasprotju z uporabnikovimi nastavitvami dovoljuje poganjati Flash. Med njimi je tudi Facebook.

Že od leta 2017 je Flash v Edgeu privzeto izklopljen, uporabnik pa mora poganjanje izrecno potrditi za vsako stran posebej. Toda, do februarja letos je seznam izvzetih strani vseboval 58 vnosov (domen in poddomen), med katerimi so bili na primer Microsoftova stran, Yahoo, Deezer in Facebook, pa tudi španski frizer...

14 komentarjev

Masaker programske opreme na letošnjem Pwn2Ownu

Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za...

35 komentarjev

Mozilla označila Flash za nevarnega, Facebook ga želi mrtvega

Slo-Tech - Pri Mozilli so se odločili, da je Flash, ki je imel vseskozi renome luknjičastega in ranljivega vtičnika, dokončno na listi za odstrel. Ta teden brskalnik Firefox privzeto onemogoča Flash, četudi imamo naloženo najnovejši verziji obeh.

Povod za drastično potezo je bil vdor v Hacking Team, ki je na internet naplavil podatke o treh nezakrpanih ranljivostih v Flashu. Adobe je takoj obljubil izdajo popravkov, ki jih bodo zakrpali, a se bo to zgodilo šele kasneje ta teden. Popravki se pač ne napišejo čez noč in v vmesnem času so računalniki najbolj ranljivi, saj za luknjo vedo vsi.

Pri Mozilli so sicer dejali, da bodo Flash ponovno omogočili, ko bo izšla verzija z zakrpanimi novo odkritimi luknjami. Flash 18.0.0.203, ki je trenutno aktualna verzija, ima eno od...

71 komentarjev

Prvi dan Pwn2Own padle vse tarče

threatpost - Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.

Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil...

34 komentarjev

Izšel Firefox 17

Mozilla.org - Včeraj je izšla nova verzija najbolj priljubljenega odprtokodnega brskalnika Firefox. Šest tednov po fiasku s Firefoxom 16, ki so ga zaradi ranljivosti celo umaknili in nekaj dni pozneje ponovno objavili, je po urniku tu sedemnajsta inačica. Kljub kratkemu ciklu je novosti kar precej.

Glavna novost so tako imenovani vtičniki na klik (click-to-play plugins). Vtičnike bo Firefox samodejno spremljal in uporabnike obvestil, če bodo imeli nameščene zastarele verzije. Za zdaj so, kar se tiče posodabljanja, podprti le Adobe Reader, Adobe Flash in Microsoft Silverlight, ki sicer že sami skrbijo, da so karseda moderni. Kljub temu bo Firefox ob obisku strani, ki bo klicala...

21 komentarjev

Facebook širi program nagrajevanja odkritih ranljivosti

Bloomberg - Facebook se je lani pridružil Googlu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.

To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato...

5 komentarjev