31.05.2019 00:42 Uživatelé freemailové služby na portálu Centrum.cz nenávratně přišli o část svých e-mailových zpráv. „Nedopatřením jsme vymazali ve Vaší e-mailové schránce zprávy starší 13 let,“ informuje provozovatel, vydavatelství Economia, ve zprávě rozeslané do jejich mailboxů. Podle informací v e-mailu Centrum zprávy vymazalo v rámci údržby, při migraci dat na svých mailových serverech. „Naši technici udělali maximum pro to, abychom Vaše data obnovili, ale bohužel se to nepodařilo. Chceme Vás ubezpečit, že jsme daný problém identifikovali a nastavili jsme opatření, aby k podobnému incidentu již v budoucnosti nedošlo,“ ujišťuje Centrum.cz. Zdroj
30.05.2019 00:06 Po upgrade na novou verzi firmware 4.0.42.10433 oblíbených accespointů UniFi výrobce UBNT dochází k lagování signálu, vypadávání připojení a nebo dokonce k nepřipojení některých klientů. V případě automatického upgrade dojde k destrukci celé sítě accesspointů. Pomůže downgrade na firmware 4.0.21.9965. UBNT mlčí, jako vždy. Řeší se to na fóru. Zdroj
28.05.2019 23:38 Odborník v oblasti bezpečnosti s pseudonymem SandboxEscaper objevil v systémech Windows tři zero-day chyby. Jejich popis včetně zdrojového kódu zveřejnil na GitHubu a to bez předchozího upozornění společnosti Microsoft. Dvě chyby se týkají zvýšení lokálních oprávnění, třetí chybou je chyba sandbox bypass vulnerability v prohlížeči Internet Explorer 11. V tuto chvíli pro tyto chyby neexistují opravy. Více informací je možné nalézt například v članku na serveru Security Affairs.
17.05.2019 18:07 WhatsApp opravil chybu, která umožnila útočníkům instalovat spyware na telefony obětí. Populární aplikace pro zasílání zpráv zjistila počátkem května, že útočníci instalovali software pro sledování na telefonech iPhone a Android – tím, že zavolali obětem pomocí funkce volání WhatsApp. WhatsApp potvrdila, že chyba – nyní opravená – je chyba zabezpečení přetečení bufferu v zásobníku VOIP WhatsApp, který umožňuje vzdálené spuštění kódu pomocí speciálně vytvořených sérií paketů SRTCP odeslaných na cílové telefonní číslo. Bezpečnostní experti naléhají na uživatele WhatsApp, aby co nejdříve aktualizovali své aplikace. Zdroj
16.05.2019 17:36 Google varuje uživatele bezdrátové verze tokenu Titan před zranitelností, která dovoluje útočníkovi na dálku zařízení zneužít. Problém je ve špatné konfiguraci rozhraní Bluetooth, kvůli kterému může útočník během aktivace tokenu při přihlašování vstoupit do komunikace a připojit se k Titanu sám. Pokud zná zároveň uživatelovo jméno a heslo, může se pak přihlásit k jeho účtu. Problém se týká výhradně jen bezdrátové varianty Titanu, token připojovaný přes USB samozřejmě zranitelností netrpí. Google o celém problému píše na svém blogu a nabízí uživatelům bezplatnou výměnu. Do té doby doporučuje token normálně používat, protože stále bez problémů chrání proti vzdáleným útočníkům, kteří by třeba pomocí malware dokázali odposlechnout přihlašovací údaje. Zdroj
16.05.2019 17:36 Twitter oznámil bezpečnostní chybu ve své platformě, kterou neúmyslně unikly lokalizační údaje uživatelů iOS. Twitter zdůraznil, že opravil chybu, ale nabídl omezené podrobnosti o tom, kdy byla chyba zjištěna, kolik uživatelů bylo ovlivněno a kdo konkrétně přistupoval k datům o poloze. Podle oznámení společnosti unikly lokalizační údaje na úrovni PSČ nebo města. Zdroj
15.05.2019 17:09 Redmondský softwarový gigant vydal bezpečnostní záplatu pro systém, jemuž skončila podpora pro všechny druhy licencí již před pěti lety. Důvodem je závažná bezpečnostní chyba. Zranitelnost s označením CVE-2019–0708 se nachází aplikaci Remote Desktop Services a umožňuje vzdálené spuštění kódu bez nutnosti ověření uživatele . Stejná zranitelnost se nachází také v již nepodporovaném serverovém systému Windows Server 2003, ve Windows 7 a dvou serverových systémech se stále aktivní podporou . Microsoft tvrdí, že zatím nezaznamenal zneužití zranitelnosti v žádném známém škodlivém softwaru, ale přesto doporučuje promptní aktualizaci, nebo alespoň zákaz služby Remote Desktop Services a TCP spojení na port 3389. Zdroj
15.05.2019 17:09 Nebezpečná chyba byla objevena v oblíbené komunikační aplikaci WhatsApp, kterou provozuje společnost Facebook. Situace je o to závažnější, že se ukázalo, že trhlina je skutečně již zneužívána k útokům. Za škodlivým kódem, který dovede trhlinu zneužít k útokům, stojí izraelská společnost NSO Group. Ta se specializuje na to, že vyhledává zranitelnosti v různých aplikacích a za úplatu pak nabízí prakticky komukoliv speciálně vytvořené exploity, jež dovedou chyby zneužít. A přesně to se stalo také v případě WhatsAppu. Kvůli chybě stačilo na jakékoliv zařízení zavolat, čímž se do přístroje dostal škodlivý kód. Daný kontakt jste přitom nemuseli mít ani v seznamu přátel, hovor dokonce nebylo nutné ani přijmout. Podrobnosti zde
15.05.2019 17:09 Už je sice rok 2019 a ne 2018, ale bohužel to vypadá, že zdaleka není konec objevům bezpečnostních chyb v procesorech. Včera byly oznámené nově objevené slabiny, které jako zranitelnost Spectre dovolují škodlivému kódu krást nepozorovaně citlivá data nebo číst informace operačního systému a privilegovaného uživatele – ale i data z hypervizoru nebo dalších VM z virtualizovaného systému a dokonce chráněná data bezpečnostní enklávy SGX nebo režimu SMM. Oddechnout si můžou ale aspoň někteří z vás, vypadá to totiž, že tyto bezpečnostní díry zejí jenom v procesorech Intelu. Podrobnosti zde
14.05.2019 16:37 Komunikační aplikace WhatsApp opravila chybu v zabezpečení svého produktu, která útočníkům umožňovala nainstalovat do telefonu uživatele sledovací software, informovala agentura DPA. Špionážní program podle deníku Financial Times pochází od izraelské firmy NSO Group a používají ho zejména vlády a jejich tajné služby. WhatsApp své uživatele nabádá, aby si v zájmu ochrany zařízení nainstalovali nejnovější vylepšení aplikace. Podrobnosti zde
13.05.2019 16:05 Nový útok na hashovací funkci SHA-1 publikovala dvojice výzkumníků z Francie a Singapuru. Při dřívější úspěšně vytvořené kolizi neměl útočník pod kontrolou obsah vstupních dat. V tomto případě se jedná o tzv. kolizní útok se zvoleným prefixem, tedy o kolizi vytvořenou tak, že může obsahovat smysluplná data. Mimo jiné se jedná o útok, který je možné objednat, a to za cenu až 100 000 dolarů. Je důrazně doporučeno ustupovat od používání této funkce k jiným alternativám, např. dle doporučení Národního úřadu pro kybernetickou a informační bezpečnost. Zdroj
09.05.2019 13:39 Microsoft představil na svém blogu nový terminál pro Windows. Umožňuje používat více panelů, v každém z nich lze spustit klasický Windows CMD, PowerShell, nebo i linuxový terminál systému WSL. Designově zapadá do Windows 10. Aplikace je open source, zdrojové kódy jsou k dispozici na GitHubu. Brzy údajně bude možné nový terminál stáhnout z Windows Store. Zdroj
