Κυριακή, 22 Οκτώβριος 2017, 4:30 μμ

Vulnerabilities

Κρίσιμο κενό ασφαλείας εντοπίστηκε στους Mozilla Firefox και Tor browser

Ένα κρίσιμο κενό ασφαλείας στον Mozilla Firefox, το οποίο μπορούσε να επιτρέψει σε hackers να εκτελέσουν κακόβουλο κώδικα σε υπολογιστές με λειτουργικά συστήματα Windows, Linux και macOS, ώστε να αποκαλύψουν την ταυτότητα χρηστών του δικτύου ανωνυμίας Tor, διορθώθηκε με patch που ανέπτυξαν οι developers της Mozilla σε συνεργασία με αυτούς του Tor browser - ο οποίος βασίζεται στην ίδια μηχανή.

Ένα κρίσιμο κενό ασφαλείας στον Mozilla Firefox, το οποίο μπορούσε να επιτρέψει σε hackers να εκτελέσουν κακόβουλο κώδικα σε υπολογιστές με λειτουργικά συστήματα Windows, Linux και macOS, ώστε να αποκαλύψουν την ταυτότητα χρηστών του δικτύου ανωνυμίας Tor, διορθώθηκε με patch που ανέπτυξαν οι developers της Mozilla σε συνεργασία με αυτούς του Tor browser  – ο οποίος βασίζεται στην ίδια μηχανή. …

Read More »

Truecaller: αναγκαία η αναβάθμιση λόγω ευπάθειας

Ευπάθεια στην εφαρμογή Truecaller εντόπισε η εταιρεία ασφαλείας Cheetah Mobile. Σύμφωνα με ανακοίνωσή της, το Truecaller app χρησιμοποιεί το IMEI της συσκευής για να κάνει συσχετισμούς ταυτότητας με τους χρήστες.

Ευπάθεια στην εφαρμογή Truecaller εντόπισε η εταιρεία ασφαλείας Cheetah Mobile. Σύμφωνα με ανακοίνωσή της, το Truecaller app χρησιμοποιεί το IMEI της συσκευής για να κάνει συσχετισμούς ταυτότητας με τους χρήστες. Αυτό σημαίνει ότι οποιοσδήποτε με πρόσβαση στο IMEI της συσκευής μπορεί να αποκτήσει πρόσβαση σε προσωπικές πληροφορίες, χωρίς να ζητηθεί η συναίνεση του χρήστη ρητά. Η ευπάθεια μπορεί να επιτρέψει …

Read More »

Ιστότοποι Drupal: κίνδυνος λόγω προβληματικού μηχανισμού ενημερώσεων

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις.

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις. Ο ερευνητής Fernando Arbaboldi της IOActive παρατήρησε ότι το Drupal δεν ενημερώνει τους διαχειριστές ιστοσελίδων ότι μια ενημέρωση απέτυχε, π.χ. λόγω αδυναμίας πρόσβασης στον εξυπηρετητή ενημερώσεων. Αντίθετα, το back-end panel θα …

Read More »

Σοβαρή ευπάθεια στα Juniper NetScreen firewall

Οι εταιρεία Juniper ανακοίνωσε ότι εντόπισε «μη εξουσιοδοτημένο κώδικα»  στο ScreenOS, το οποίο είναι το λειτουργικό σύστημα των Juniper NetScreen firewall και το οποίο επιτρέπει σε έναν επιτιθέμενο να αποκρυπτογραφήσει την κίνηση που στέλνεται μέσω VPN (Virtual Private Networks). Η backdoor που εντοπίστηκε λόγω της ύπαρξης «μη εξουσιοδοτημένου κώδικα» επηρεάζει τα NetScreen firewall των εκδόσεων: 6.2.0r15 έως 6.2.0r18 6.3.0r12 έως 6.3.0r20 σύμφωνα …

Read More »

Χωρίς jailbreak το iOS 9.1 λόγω… Pangu

Η πρώτη ευπάθεια για το jailbreak επέτρεπε να εκτελείται κώδικας σε επίπεδο Kernel, αφού πρώτα είχε προηγηθεί επίσκεψη σε ιστοσελίδα με κακόβουλο λογισμικό, ενώ η δεύτερη παρείχε αυξημένα δικαιώματα πρόσβασης. pangu

To iOS 9.1 έγινε διαθέσιμο και, εκτός από περισσότερα emoji που ενδιαφέρουν έντονα μια μερίδα του κοινού, έρχεται με αναβαθμίσεις που ίσως ενοχλήσουν αρκετούς από τους χρήστες των φορητών συσκευών της Apple, οι οποίες διορθώνουν ευπάθειες που εκμεταλλευόταν η ομάδα Pangu για τις jailbreak τεχνικές της. H Apple ανέφερε ότι έχει διορθώσει δύο κενά ασφαλείας που θα επέτρεπαν το jailbreak στο …

Read More »

Uber: σε bug οφείλεται νέα διαρροή προσωπικών δεδομένων οδηγών της

Η Uber έκανε γνωστό ότι ένα σφάλμα στο λογισμικό του οδήγησε στην δημοσιοποίηση προσωπικών δεδομένων συνεργαζόμενων οδηγών ταξί στις ΗΠΑ.

Η Uber έκανε γνωστό ότι ένα σφάλμα στο λογισμικό του οδήγησε στην δημοσιοποίηση προσωπικών δεδομένων συνεργαζόμενων οδηγών ταξί στις ΗΠΑ. Τα στοιχεία που εκτέθηκαν περιλαμβάνουν αριθμούς κοινωνικής ασφάλισης, φωτογραφίες, αριθμούς αδειών οδήγησης, οικονομικά στοιχεία και άλλες λεπτομέρειες. Το σφάλμα δημοσιοποιήθηκε αρχικά από δημοσίευμα του website Motherboard και ανακαλύφθηκε από τους ίδιους τους χρήστες-οδηγούς. Ένας από αυτούς πήρε screenshot από τα εκτεθειμένα …

Read More »

Διαρροή δεδομένων σε session HTTPS λόγω… cookies!

Τα περιβόητα, πλέον, cookies φαίνεται ότι μπορούν να θέσουν σε κίνδυνο την κρυπτογραφημένη επικοινωνία βασισμένη στο πρωτόκολλο HTTPS, σύμφωνα με μια πρόσφατη αναφορά του αμερικανικού CERT.

Τα περιβόητα, πλέον, cookies φαίνεται ότι μπορούν να θέσουν σε κίνδυνο την κρυπτογραφημένη επικοινωνία βασισμένη στο πρωτόκολλο HTTPS, σύμφωνα με μια πρόσφατη αναφορά του αμερικανικού CERT. Στο vulnerability note που δημοσιεύθηκε την περασμένη βδομάδα στο CERT, τα cookies που δημιουργήθηκαν στο πλαίσιο αιτημάτων HTTP αποτελούν σοβαρό κίνδυνο για την ασφάλεια των HTTPS session, καθώς δεν παρέχουν “εγγυήσεις για την ακεραιότητα …

Read More »

Τα Android 5.x ξεκλειδώνονται… για πλάκα

To bug δίνει τη δυνατότητα σε έναν που δεν γνωρίζει τον κωδικό που ξεκλειδώνει την οθόνη του Android smartphone να αποκτήσει πλήρη πρόσβαση στη συσκευή. Το bug παρουσιάζεται σε συσκευές με Android 5.x, δηλαδή με Android 5.0 έως 5.1.1. Ο επιτιθέμενος δεν χρειάζεται να γνωρίζει τον πραγματικό κωδικό πρόσβασης, αλλά και με έναν τυχαίο κωδικό μπορεί να ξεκλειδώσει την οθόνη του smartphone.

To bug δίνει τη δυνατότητα σε έναν που δεν γνωρίζει τον κωδικό που ξεκλειδώνει την οθόνη του Android smartphone να αποκτήσει πλήρη πρόσβαση στη συσκευή. Το bug παρουσιάζεται σε συσκευές με Android 5.x, δηλαδή με Android 5.0 έως 5.1.1. Ο επιτιθέμενος δεν χρειάζεται να γνωρίζει τον πραγματικό κωδικό πρόσβασης, αλλά και με έναν τυχαίο κωδικό μπορεί να ξεκλειδώσει την οθόνη …

Read More »

Hackers πλουτίζουν από ευπάθεια ασφαλείας στο PayPal

Μια κρίσιμη ευπάθεια στην πλατφόρμα πληρωμών του PayPal ανακαλύφθηκε από τον ερευνητή ασφαλείας Ebrahim Hegazy. Πρόκειται για μια ευπάθεια Stored Cross Site Scripting (XSS), στο domain των ασφαλών πληρωμών του PayPal, την οποία ένας κυβερνοεγκληματίας θα μπορούσε να εκμεταλλευτεί προκειμένου να υποκλέψει credentials πρόσβασης σε λογαριασμούς ή ακόμα και στοιχεία των πιστωτικών καρτών χρηστών σε μη-κρυπτογραφημένη μορφή.

Μια κρίσιμη ευπάθεια στην πλατφόρμα πληρωμών του PayPal ανακαλύφθηκε από τον ερευνητή ασφαλείας Ebrahim Hegazy. Πρόκειται για μια ευπάθεια Stored Cross Site Scripting (XSS), στο domain των ασφαλών πληρωμών του PayPal, την οποία ένας κυβερνοεγκληματίας θα μπορούσε να εκμεταλλευτεί προκειμένου να υποκλέψει credentials πρόσβασης σε λογαριασμούς ή ακόμα και στοιχεία των πιστωτικών καρτών χρηστών σε μη-κρυπτογραφημένη μορφή. Στην πράξη, το …

Read More »

Ευπάθεια στο πληκτρολόγιο των smartphone της Samsung

Ευπάθεια στο πληκτρολόγιο των smartphone της Samsung

Εκατομμύρια κάτοχοι κινητών τηλεφώνων Samsung τα οποία ενσωματώνουν το λειτουργικό σύστημα της Google, Android, θα μπορούσαν να πέσουν θύματα εκμετάλλευσης από hackers, αναφέρει σε δημοσίευμά της η εφημερίδα The Guardian, εξαιτίας μιας ευπάθειας (bug) που υπάρχει στο πληκτρολόγιο αφής που είναι εγκατεστημένο στις συσκευές. Η ευπάθεια, η οποία έχει εντοπιστεί στο πληκτρολόγιο που είναι εγκατεστημένο σε φορητές συσκευές της Samsung …

Read More »

Ευπάθεια στον iOS email client θέτει σε κίνδυνο δεδομένα & συσκευές

Ευπάθεια στον iOS email client θέτει σε κίνδυνο δεδομένα & συσκευές

Μια ευπάθεια, που ακόμα δεν έχει διορθωθεί, στον iOS email client θα μπορούσε να εκμεταλλευτεί ένας κακόβουλος χρήστης, προκειμένου να στείλει μηνύματα και να ξεγελάσει τους παραλήπτες, ώστε οι τελευταίοι να αποκαλύψουν credentials των λογαριασμών τους της Apple ή να επισκεφθούν ιστοσελίδες με κακόβουλο περιεχόμενο. Η Apple ενημερώθηκε για τη συγκεκριμένη ευπάθεια στα μέσα του περασμένου Ιανουαρίου, όμως, σύμφωνα με …

Read More »

Logjam attack: σοβαρή ευπάθεια αφήνει εκτεθειμένες χιλιάδες ιστοσελίδες

logjam

Σημαντική ευπάθεια που θέτει σε κίνδυνο τα μεταφερόμενα δεδομένα μεταξύ server και client εντόπισαν ερευνητές ασφαλείας. Πιο συγκεκριμένα, κατά τη διάρκεια μιας επίθεσης Logjam, ένας hacker είναι σε θέση να παρακάμψει την κρυπτογραφημένη επικοινωνία ανάμεσα στο χρήστη και τον server μιας ιστοσελίδας ή έναν mail server και έτσι να διαβάσει – ή ακόμα και να τροποποιήσει – δεδομένα που ανταλλάσσουν οι δύο …

Read More »

NetUSB: κρίσιμη ευπάθεια – κίνδυνος για εκατομμύρια router

netusb

Σημαντική ευπάθεια εντοπίστηκε στην τεχνολογία NetUSB, εγείροντας ζητήματα για την ασφάλεια των συσκευών που τη χρησιμοποιούν – κυρίως των router – και των δεδομένων που διακινούν οι χρήστες μέσω αυτών. Η ευπάθεια έλαβε τον κωδικό CVE-2015-3036. Πρόκειται για stack buffer overflow στον πυρήνα των NetUSB της KCodes και το οποίο μπορεί κάποιος να εκμεταλλευτεί απομακρυσμένα. Το NetUSB είναι ένα module …

Read More »

Σοβαρή ευπάθεια ασφαλείας στον Safari της Apple

Μια σοβαρή ευπάθεια ασφαλείας έχει εντοπιστεί στον περιηγητή της Apple Safari, η οποία θα μπορούσε να «ξεγελάσει» τον χρήστη να επισκεφτεί ένα κακόβουλο ιστότοπο, ενώ στη γραμμή διεύθυνσης του περιηγητή εμφανίζεται μια πραγματική διεύθυνση. Ποιοι εντόπισαν την ευπάθεια και πως μπορεί να χρησιμοποιηθεί; Μια ομάδα ερευνητών ασφαλείας, γνωστοί ως Deusen,  απέδειξαν ότι κάποιος κακόβουλος χρήστης μπορεί, εκμεταλλευόμενος την ευπάθεια που …

Read More »

Cisco UCS Central Software: ανάγκη για ενημέρωση λόγω ευπάθειας

cisco ucs

Με ανακοίνωσή της στην ιστοσελίδα της, η Cisco ενημερώνει τους πελάτες της για μια κρίσιμη ευπάθεια στο λογισμικό Cisco UCS Central Software, και συγκεκριμένα στο web framework, και καλεί τους χρήστες σε άμεση εφαρμογή της δωρεάν ενημέρωσης (update) που διορθώνει το πρόβλημα. Βασιζόμενος στην ευπάθεια αυτή, ένας απομακρυσμένος κακόβουλος χρήστης θα μπορούσε να στείλει «κατάλληλα» HTTP requests σε μια προβληματική …

Read More »