Hlavní navigace

Bezpečnost

Šest dalších rozšíření pro Chrome uneseno, používá je 4,8 milionů uživatelů

Šesti dalším vývojářům rozšíření pro prohlížeč Chrome byl v uplynulých čtyřech měsících kompromitován účet. Útočník přístupu využil k přidání nové verze daných rozšíření, která se pak dostala k uživatelům a přidávala do stránek vlastní reklamy…

Petr Krčmář

Včera 12:08 |
| 2

Siemens varuje před zranitelnostmi ve svých zdravotnických přístrojích

Firma Siemens varuje před nedávno zjištěnými zranitelnostmi ve svých zdravotnických přístrojích PET/CT (pozitronová emisní tomografie s výpočetní tomografií), SPECT (tomografická scintigrafie) a SPECT/CT. Dvě nově objevené zranitelnosti se týkají…

Petr Kajzar

15. 8. 2017 13:57 |

Bezplatná kontrola zranitelností binárek pro IoT

Insignary představilo službu TruthIsIntheBinary, která dělá bezplatnou kontrolu binárních souborů určených primárně pro IoT. Služba umí najít open source komponenty použité v binárce a zkontroluje známé zranitelnosti proti databázi nvd.nist.gov…

Jan Fikar

15. 8. 2017 8:48 |
| 4

USB zařízení se mohou vzájemně odposlouchávat

Skupina australských analytiků objevila zranitelnost v rozhraní USB. Jednotlivá zařízení mohou odposlouchávat komunikaci svých sousedů, protože mezi jednotlivými porty dochází k přeslechům. Odborně se to nazývá „channel-to-channel crosstalk…

Petr Krčmář

15. 8. 2017 8:47 |

Na Google Play byl nalezen spyware, byl i v kopii Telegramu

Odborníci ze společnosti Lookout objevili v obchodě Google Play rodinu zákeřných aplikací, která obsahuje spyware nazvaný SonicSpy. Tvůrce tohoto malware stáhl a modifikoval oficiální aplikaci Telegram, přidal vlastní kód a nejméně třikrát ji…

Petr Krčmář

14. 8. 2017 21:32 |

USA možná zpřísní legislativu v oblasti kyberbezpečnosti zdravotnických přístrojů

Americký senátor Richard Blumenthal z Connecticutu navrhl minulý týden zpřísnit pravidla týkající se kyberbezpečnosti zdravotnických přístrojů. Cílem úprav je lépe chránit citlivé informace o pacientech a vytvořit silnější ochranu proti možnému…

Petr Kajzar

14. 8. 2017 19:50 |
| 2

Postřehy z bezpečnosti: DC/AC Horus Scenario

Minulý týden nás zaujal popis útoku na měnič napětí DC/AC, a tak jsme se rozhodli k tomu ještě něco dodat. Dále se podíváme, jak se výzkumník WannaCry dostal do vazby, srovnáme přístupy k politice hesel a mnohem více.

CSIRT.CZ

14. 8. 2017 0:00

Microsoft opravil první dvě zranitelnosti v linuxovém subsystému

Microsoft ve své pravidelné měsíční záplatě opravil také dvě chyby, které se týkají linuxového subsystému ve Windows 10 (WLS). Jde o CVE-2017–8627 (DoS při použití IPC) a CVE-2017–8622 (eskalace práv). Chyby patrně na samotném Linuxu nenajdete.

Jan Fikar

10. 8. 2017 18:16 |

Tři zranitelnosti F2FS v Linuxu a Androidu

V linuxových ovladačích souborového systému F2FS (Flash Friendly File System) byly objeveny tři bezpečnostní chyby, které dovolí přepsat paměť a potenciálně spustit libovolný kód. Jde o CVE-2017–10663 (chybějící kontrola meze), CVE-2017–10662…

Jan Fikar

10. 8. 2017 11:16 |
| 2

Zakladatel Toru: žádný dark web neexistuje, lidé používají Tor k ochraně soukromí

Na konferenci DEF CON zazněla také přednáška jednoho ze tří zakladatelů sítě Tor, kterým je Roger Dingledine. Cílem bylo vyvrátit některé mýty, které se kolem Toru šíří. Roger tvrdí, že jen asi tři procenta uživatelů se připojují ke skrytým službám…

Petr Krčmář

9. 8. 2017 11:42 |

Adobe záplatuje 80 chyb ve svých produktech, včetně Flashe

Společnost Adobe zveřejnila nové verze celé řady svých produktů, které dohromady obsahují záplaty na 80 bezpečnostních chyb. Aktualizovat by měli uživatelé nástrojů Flash Player, Reader, Acrobat, Digital Editions a Experience Manager. Uživatele…

Petr Krčmář

9. 8. 2017 11:10 |

Typo-squatting v npm repozitári

Oscar Bolmsten, uživateľ npm balíčka crossenv, zistil 1. Augusta 2017, že tento posiela užívateľské dáta na server npm.hacktask.net. Po jeho tweete autor cross-env kontaktoval npmjs. Kontrolou crossenv sa zistilo, že je to podvodný balíček, ktorý…

Andrej Kvasnica

9. 8. 2017 10:44 |
| 3

Microsoft přestane důvěřovat autoritám WoSign a StartCom

Microsoft se přidává k Mozille, Google a Apple a také přestane důvěřovat certifikačním autoritám WoSign a StartCom. Ty mají společného vlastníka a v minulosti několikrát porušily bezpečnostní pravidla. Výsledkem byly bezpečnostní incidenty, které…

Petr Krčmář

9. 8. 2017 7:15 |
| 7

DNS RPZ: mocný firewall nejen pro blokování hazardu

Globální distribuovaná databáze DNS slouží velmi dobře už desítky let. Bohužel, někdy je její funkce na škodu a přáli bychom si mít možnost některá data lokálně přepsat. Přesně k tomu slouží systém RPZ.

Ondřej Caletka

9. 8. 2017 0:00

Fedora 24 dnes končí s podporou, už nedostane aktualizace

Počínaje dnešním dnem končí podpora distribuce Fedora 24, která vyšla více než před rokem. Uživatelé by proto měli co nejdříve přejít na podporovanou verzi Fedora 25 nebo čerstvě vydanou 26. Už nepodporovaná verze 24 totiž nebude nadále dostávat…

Petr Krčmář

8. 8. 2017 11:26 |
| 3

Debian unstable končí s podporou TLS 1.0 a 1.1

Do vývojové verze Debianu (unstable/Sid) byla nahrána nová verze balíčku OpenSSL, která už neobsahuje podporu pro zastaralé šifrovací protokoly TLS 1.0 a 1.1. Jediným podporovaným tedy zůstává aktuální TLS 1.2. To může v budoucnu způsobit…

Petr Krčmář

8. 8. 2017 10:38 |
| 1

VPN Hotspot Shield prý sledovala své uživatele

Organizace Center for Democracy & Technology obvinila provozovatele VPN Hotspot Shield z toho, že sleduje své uživatele, resp. že to umožňuje třetím stranám. Stížnost byla podána k americké Federální obchodní komisi, která se jí bude muset…

Roman Bořánek

7. 8. 2017 23:49 |
| 4

Rozšíření prohlížečů jsou hrozbou pro soukromí uživatelů

Další případ únosu rozšíření opět poukázal na známý problém: jde o část prohlížeče, kterou nemáme vůbec pod kontrolou, a přitom může téměř cokoliv. Tvůrci prohlížečů staví zdi, které tvůrci rozšíření bourají.

Petr Krčmář

7. 8. 2017 13:00

Postřehy z bezpečnosti: rybářská sezóna vrcholí

Dnes se podíváme na to, jak tvůrci rozšíření pro Chrome odolávají phishingu, jak byl WannaCry inspirací pro bankovní malware, jak strojově vytvořit škodlivý kód a nakonec se podíváme na nové díly oblíbeného seriálu.

CESNET CERTS

7. 8. 2017 0:00
| 5

Rozšíření Web Developer pro Chrome bylo kompromitováno

Pokud používáte rozšíření Web Developer pro Chrome, mějte se na pozoru. Útočník kompromitoval Google účet jeho autora a do Web Store nahrál verzi obohacenou o malware. Není zřejmé, co všechno rozšíření dělá. Minimálně vkládá vlastní reklamu na…

Roman Bořánek

3. 8. 2017 16:31 |

Google zveřejnil plán znedůvěryhodnění certifikátů od Symantecu

Už na jaře Google avizoval, že plánuje postupně znedůvěryhodnit SSL certifikáty od autority Symantec, a to hlavně kvůli ledabylému vydávání EV certifikátů. Nyní byl zveřejněn finální plán, jak k tomu dojde. Hlavní zlom nastane s vydáním Chrome 66…

Roman Bořánek

31. 7. 2017 9:30 |

Postřehy z bezpečnosti: bankovní loupež

V dnešním díle postřehů se podíváme, jak tento týden zloději „vykradli” banku, kdy kůň sleduje myš, jak smrt ve hře může mít fatální následky v reálném světě a jak se stalo, že turecké tržiště bylo plné virů.

CSIRT.CZ

31. 7. 2017 0:00
| 2

Největší únik dat ve Švédsku potrestán polovinou měsíční výplaty

Švédskému úřad pro dopravu (TS) unikly v roce 2015 citlivé údaje ve velkém. K úniku došlo, když správa databází TS byla outsourcována IBM v Česku a NCR v Srbsku. Celá TS databáze byla nahrána do cloudů IBM a NCR, přičemž někteří zaměstnanci měli…

Jan Fikar

25. 7. 2017 15:51 |

Zranitelnost Devil's Ivy bezpečnostních kamer Axis a gSOAP

Minulý týden byla zveřejněna závažná zranitelnost Devil's Ivy (potos) bezpečnostních kamer Axis. Chyba má označení CVE-2017–9765 a jde o vzdálené spuštění kódu. Zasaženo je nejméně 249 modelů, ale problém se týká také všech IoT zařízení používající…

Jan Fikar

25. 7. 2017 11:35 |

Postřehy z bezpečnosti: nový anti-malware, nová naděje?

V dnešním díle postřehů z bezpečnosti si představíme nový nadějný anti-malware IntelliAV a ve zkratce se podíváme na to, jak hackeři můžou převzít kontrolu nad vozítkem segway a na jiné zajímavosti.

CESNET CERTS

24. 7. 2017 0:00

Procesory Clover Trail nové Windows nedostanou. Záplaty ale ano

Majitelé počítačů s procesory Intel řady Clover Trail se dostali do zapeklité situace. Z technických důvodů nemohou nainstalovat nejnovější Windows 10 Creators Update. Počítače se přitom obvykle prodávaly s Windows 8 a podporou do roku…

Roman Bořánek

21. 7. 2017 17:02 |

K odhalení provozovatele AlphaBay stačila e-mailová adresa

Američtí vyšetřovatelé tvrdí, že domnělého provozovatele černého tržiště AlphaBay prozradila naprosto školácká chyba, resp. nedbalost. Provozovatel Alexandre Cazes totiž používal stejnou e-mailovou adresu pro komunikaci se členy AlphaBay i pro…

Roman Bořánek

21. 7. 2017 16:43 |

USA ruší zákaz notebooků na palubě letadel z Blízkého východu a Afriky

USA včera zrušilo čtyřměsíční zákaz notebooků a elektroniky větší než mobilní telefony na palubě letadel z 10 letišť na Blízkém východě a v Africe. IATA zákaz kritizovalo a bezpečnostní experti jej označovali jako neefektivní. S elektronikou se…

Jan Fikar

20. 7. 2017 16:54 |

Apple opravuje chybu Broadpwn

Apple včera vydal opravené iOS 10.3.3, macOS 10.12.6, watchOS 3.2.3 a tvOS 10.2.2. Mezi nejzávažnější opravené chyby patří Broadpwn, vzdálená zranitelnost WiFi chipsetů Broadcom BCM43×x pomocí upraveného WiFi signálu. Broadpwn je též označován…

Jan Fikar

20. 7. 2017 14:35 |
| 4

Zranitelnost GNOME file manageru „Bad Taste“ pomocí upravených MSI souborů

Včera byly zveřejněny detaily o zranitelnosti „Bad Taste“, která se týká GNOME Files a upravených MSI souborů (ano, soubory Windows installer). Chyba CVE-2017–11421 je v balíčku gnome-exe-thumbnailer od Canonicalu, který generuje automatické…

Jan Fikar

20. 7. 2017 11:12 |