Hlavní navigace

Bezpečnost

Google zveřejnil neopravenou chybu ve Windows

Google zveřejnil informace o chybě ve Windows, konkrétně knihovně Windows GDI, která dosud nebyla opravena. Microsoft už sice dříve chybu opravil, nicméně výzkumníci Googlu později odhalili, že je oprava nedostatečná. A na to už Microsoft nestihl…

Roman Bořánek

Včera 11:31

Postřehy z bezpečnosti: ochrana proti hackingu neúčinná

V dnešním díle našeho seriálu se podíváme na novou zranitelnost v CPU čipech, která může útočníkům velmi usnadnit práci. Také si ukážeme, že udržet si na internetu soukromí bude ještě obtížnější.

CESNET CERTS

Včera 0:00

Microsoft o měsíc odkládá bezpečnostní aktualizaci Windows

Microsoft tradičně vydává balík aktualizací pro Windows vždy druhé úterý v měsíci. Tentokrát se však uživatelé nedočkali, protože v aktualizaci se na poslední chvíli vyskytl blíže nespecifikovaný problém. Předpokládalo se, že to Microsoft během pár…

Roman Bořánek

17. 2. 2017 7:49

Nový javascriptový útok ASLR⊕Cache vyřadí ASLR na 22 procesorech

Pětice výzkumníků z Nizozemí našla nový javascriptový útok ASLR⊕Cache nebo AnC, který vyřadí ASLR (address space layout randomization) na 22 procesorech. Postižené jsou procesory Intel (CVE-2017–5925), AMD (CVE-2017–5926) a ARM (CVE-2017–5927)…

Jan Fikar

16. 2. 2017 9:14

BIND má chybu, která umožňuje server vzdáleně shodit

DNS server BIND má vážnou bezpečnostní chybu, která dovoluje útočníkovi na dálku server shodit a tím způsobit DOS. Chyba označená jako CVE-2017–3135 se nachází ve verzi 9.8.8, všech vydáních 9.9 počínaje 9.9.3 a všech verzích v řadě 9.10 a 9.11…

Petr Krčmář

13. 2. 2017 10:48
| 9

Přes chybu v REST API bylo napadeno 1,5 milionů WordPressů

Bezpečnostní mezera v REST API, která ohrožuje WordPress, začíná být velmi aktivně zneužívána. Podle společností WordFence už bylo napadeno nejméně 1,5 milionu webů ve dvou desítkách velkých útoků. Kromě zneužití k přepsání obsahu se už začíná také…

Petr Krčmář

13. 2. 2017 10:39

Postřehy z bezpečnosti: malware v RAM

Dnes se podíváme na malware v operační paměti, na dva různé problémy související s televizí, na zásah skupiny Anonymous proti dětské pornografii, na zneužití maker v macOS a další.

CSIRT.CZ

13. 2. 2017 0:00
| 5

jQuery Mobile je při otevřeném přesměrování náchylné na XSS

Výzkumník Eduardo Vela z Googlu objevil závažnou chybu ve webovém frameworku jQuery Mobile. Ta umožňuje provést XSS na všech stránkách s tímto frameworkem, které mají otevřené přesměrování. Chyba navíc nebude opravena, protože vývojáři vidí chybu…

Roman Bořánek

10. 2. 2017 13:13

Útok na WordPress přes REST API: třetina webů nemá poslední záplaty

Novinkou WordPress verze 4.7 je REST API, které je již součástí jádra a je v základu zapnuté. Tato nová funkcionalita je však stále ještě čerstvá a objevují se v ní chyby.

Vladimír Smitka

10. 2. 2017 10:00

Kali Linux a prolamování hashovaných hesel

Dnes si povíme něco o hashích, co je to vlastně hash a jak vůbec vzniká a především si ukážeme možnosti jejich „dehashování“. S touto problematikou souvisejí dvě velice zajímavé linuxové utility: hashcat a oclhashcat.

Marian Pekár

10. 2. 2017 0:00

Výrobce televizí Vizio dostal pokutu za sledování uživatelů a prodej dat

Společnost Vizio byla před časem přistižena při sběru dat o uživatelích z 11 milionů zařízení. Jeden z největších světových výrobců navíc data prodával třetím stranám - především reklamním agenturám. Americká Federal Trade Commission (FTC) tyto…

Petr Krčmář

8. 2. 2017 9:23

Stav záplat WordPressu v Debianu

WordPress má vážnou bezpečnostní chybu v REST API, která je už útočníky aktivně zneužívaná. Craig Small se rozepsal o stavu balíčků WordPressu v Debianu - je jejich správcem. Aktualizované balíčky se záplatou jsou ve větvích unstable, testing a…

Petr Krčmář

8. 2. 2017 8:44
| 2

Spam je zpět, je ho nejvíc za 7 let, každý desátý obsahuje malware

Každou sekundu je na světě odesláno 3500 nevyžádaných mailů, každý desátý z nich je škodlivý. Spam dnes představuje více než 65 procent veškeré odeslané pošty a hodnoty se tak dostávají na úroveň roku 2010.

Petr Krčmář

8. 2. 2017 0:00
Blog

WordPress zranitelnost v REST API je aktivně exploitována

Majitelé webů si začali stěžovat na hackování webových stránek jen hodinu poté, co WordPress veřejně publikoval informaci o obsahu zranitelnosti v REST API.

Redakce

7. 2. 2017 21:27

Na Steamu se objevila obří zranitelnost dovolující spustit infikovaný kód

Pokud pravidelně sledujete subforum Steam na Redditu, určitě jste si všimli něčeho velice neobvyklého. Objevilo se tu totiž velké červené varování, které poukazuje na velice nepříjemnou zranitelnost.Jistí hackeři přišli na způsob, jak vložit do…

Tomáš Materna

7. 2. 2017 14:17
| 7

Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky

„Pro lásku boží, zavřete si ten port,“ objevuje se na ASCII-artových letácích, které vyjíždějí ze 160 000 tiskáren po celém světě. Hodný hacker se tak snaží upozornit na bezpečnostní chybu v PostScriptu.

Petr Krčmář

7. 2. 2017 10:00

Audit našel 76 aplikací v App Store se špatně implementovaným TLS

Audit firmy Sudo Security Group Inc. našel 76 aplikací pro iOS v App Store se špatně implementovaným TLS. Chyba spočívá v tichém akceptování podvrženého certifikátu, což může být zneužito k rozšifrování TLS komunikace (man-in-the-middle). Zatím…

Jan Fikar

7. 2. 2017 9:34
| 1

Anonymous kompromitovali pětinu dark webu

Hackeři, kteří se přihlásili k hnutí Anonymous, převzali kontrolu nad hostingem Freedom Hosting II. Ten je známý tím, že umožňuje hostování prakticky čehokoliv a běží na něm velká část dark webu, podle odhadů cca pětina. Útočníci smazali veškerá…

Roman Bořánek

6. 2. 2017 10:49

Postřehy z bezpečnosti: WordPress je opět zranitelný

V dnešním díle Postřehů si povíme o kritických zranitelnostech CMS WordPress, programu Tcpdump a o zranitelných tiskárnách oblíbených značek. K zamyšlení nás přiměje Etický kód počítačových zločinců.

CESNET CERTS

6. 2. 2017 0:00

Tails 3.0 vychází v první betaverzi, staví na Debianu Stretch

Superbezpečná distribuce Tails zanedlouho přijde s verzí 3.0, jejíž hlavní novinkou bude nová balíčková základna, a to Debian 9 Stretch. Právě byla vydána první betaverze. Další velkou změnou bude to, že Tails přestane podporovat 32bitové…

Roman Bořánek

3. 2. 2017 12:23

Google vloni za objevení bezpečnostních chyb vyplatil tři miliony dolarů

Celkem tři miliony dolarů Google vyplatil lidem, kteří mu nahlásili bezpečnostní chybu. V předchozím roce to přitom byly dva miliony. Program placení za odhalení bezpečnostních chyb běží šest let a během té doby bylo celkem vydáno více než devět…

Petr Krčmář

1. 2. 2017 12:42
| 2

GitLab měl pět zálohovacích mechanismů, nefungoval ani jeden

Že je potřeba zálohovat, ví každý admin a snad to tuší i každý uživatel. Případ velkého výpadku služby GitLab ale ukazuje, že je potřeba zálohy řešit pořádně, koncepčně a hlavně je průběžně hlídat.

Petr Krčmář

1. 2. 2017 12:09

Je čas aktualizovat Python: TLS 1.2 bude brzy povinné

Python Software Foundation oznámila, že Python.org a všechny související služby začnou vypínat starší TLS verze nižší než 1.2. Tuto změnu vynucuje CDN Fastly, kterou PSF používá. Navazuje tím na změnu, kterou vynucuje [PDF] Payment Card Industry…

Petr Krčmář

1. 2. 2017 11:39
| 1

Nový Chrome a Firefox varuje před HTTP

Jak jsme už oznámili, nová verze Firefoxu 51 (vydána 24. ledna 2017) i Chrome 56 (vydána 31. ledna 2017) varuje uživatele před odesíláním citlivých dat formuláře přes nezabezpečené spojení HTTP (např. hesla, údaje o platbách atp.).Pokud potřebujete…

Milan Keršláger

1. 2. 2017 9:22

Routery Netgear trpí novou zranitelností

Routery Netgear trpí novou zranitelností CVE-2017–5521 ve funkci obnovy administrátorského hesla, takže jeho neznalost lze lehce a automaticky obejít. Naštěstí ve výchozím nastavení alespoň není webové rozhraní přístupné z internetu. Zranitelnost…

Jan Fikar

31. 1. 2017 19:19
| 4

Je na čase přestat používat antiviry na Windows?

Bývalý vývojář Firefoxu Robert O'Callahan před pár dny napsal na svém blogu, že je možná na čase odinstalovat antivirový software, (kromě MS Windows Defenderu). Naopak Robert nabádá, aby lidé svůj software aktualizovali. Antivirový software totiž…

Jan Fikar

30. 1. 2017 15:35

Jak nainstalovat a používat ClamAV v Linuxu

Na serveru Linux and Ubuntu vyšel včera článek, jak nainstalovat a používat ClamAV v Linuxu. Instalace je popsána jak na Debianu/Ubuntu, tak na Fedoře/RHEL. Pro větší pohodlí si nainstalujete také grafický frontend  clamtk. Oficiální signatury…

Jan Fikar

30. 1. 2017 15:15

Pomáhají VPN aplikace v Androidu bezpečnosti?

Výzkumníci z universit v Jižním Walesu a Berkeley se zaměřili na 283 VPN aplikací v obchodě Google Play, a to jak placených, tak zadarmo. Ukázalo se, že 18 % aplikací vůbec nešifruje provoz, 16 % vkládalo do HTTP provozu svůj kód, například ke…

Jan Fikar

30. 1. 2017 9:55

Postřehy z bezpečnosti: linuxový trojan spouští proxy server

Dnes se podíváme na linuxový trojan, který již nakazil několik tisíc stanic, na knihu zabývající se kyberzločinem a jeho právním vymezením, na doplněk prohlížeče umožňující vzdálené spuštění kódu a další zajímavosti.

CSIRT.CZ

30. 1. 2017 0:00

Ransomware je na vzestupu, vydírání si můžete objednat

Zašifrovat soubory a požadovat výkupné za dešifrování. To je ve zkratce princip ransomware. V minulém roce takto kyberzločinci „vydělali“ miliardu dolarů, mimo jiné díky rozmachu ransomware-as-a-service.

Roman Bořánek

27. 1. 2017 0:00
| 6