Správy - Bezpečnosť
Upozornenia na bezpečnostné chyby.
Hack Ghost touch na dotykové zariadenia
Zariadenie dokáže bezkontaktne na diaľku pomocou elektromagnetického poľa spôsobiť zaregistrovanie dotyku dotykovým displejom bez reálneho uskutočnenia dotyku.
Zdroj: dsl.sk
LastPass opäť hacknutý
LastPass sa stal terčom hackerského útoku. Oznámil to Karim Toubba, CEO LastPass
Zdroj: LastPass
Aplikácie ako Facebook, Instagram, TikTok vkladajú do webových stránok sledovací kód
Rôzne aplikácie pre Android / iOS, ktoré používajú vstavaný prehliadač vkladajú do kódu stránok vlastný sledovací kód. Overiť si, čo je pridané do webu je možné otvorením adresy inappbrowser.com vo vstavanom prehliadači.
Zdroj: krausefx.com/blog
Bezpečnostné chyby v Inteli a opravy mikrokódu 20220809
Spoločnosť Intel vydala opravu mikrokódu 20220809. Oprava by mala riešiť chybu aepic. Zároveň boli zverejnené desiatky bezpečnostných upozornení v produktoch Intel.
AMD SQUIP
Spoločnosť AMD zverejnila detaily k bezpečnostnej chybe Execution Unit Scheduler Contention Side-Channel. Bližšie podrobnosti sú dostupné v samostatnom dokumente.
Zdroj: amd.com
Žiak uploadol Ransomware do PyPI repozitára ako 'Fun' projekt
Žiak z Verony uploadol do Python PyPI repozitára niekoľko balíkov s Ransomware nazvaných, ako známe balíky s malým preklepom. K známemu balíku requests boli uploadnuté napríklad requesys, requesrs a requesr. Balík requesys bol napríklad nainštalovaný 258 krát. Obete si mohli vyžiadať dešifrovací kľúč bez zaplatenia.
Zdroj: darkreading.com
Výpadok služieb egovermentu a slovensko sk - vyjadrenie NASES
Výpadok Ústredného portálu verejnej správy, www.slovensko.sk, dňa 19. júla 2022 bol spôsobený fyzickým prerušením primárneho aj záložného komunikačného okruhu medzi dátovými centrami.
Zdroj: NASES
Chyba v nftables s lokálnou eskaláciou práv
Arthur Mongodin na svojom blogu zverejnil podrobnosti o chybe CVE-2022-34918. Zraniteľnosť umožňuje útočníkovi získať práva roota. Chyba bola medzitým opravená v upstreame.
Retbleed zraniteľnosť
Bola zverejnená nová zraniteľnosť špekulatívneho vykonávania na procesoroch AMD Zen 1/1+/2 a Intel Core 6 - 8 generácie. Ošetrenie chyby v Linuxe si vyžiadalo zmenu 68 súborov a pridanie 1783 riadkov. Oprava má značný dopad na výkon - 14% na AMD 39% na Inteli.
Zdroj: comsec.ethz.ch
xorg-server 21.1.4
Po nájdení bezpečnostných chýb v X.org vedúcich k lokálnej eskalácií práv bola vydaná aktualizovaná verzia xorg-server. Nová verzia obsahuje aj ďalšie menšie opravy ako aj opravu kompilácie na gcc 12.
Slovenský aktualizačný server Ubuntu bol mesiac neaktuálny
Infraštruktúra populárnej linuxovej distribúcie Ubuntu mala na Slovensku v posledných týždňoch vážny problém, kvôli ktorému boli jej užívatelia potenciálne vystavení bezpečnostným rizikám. Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu bol totiž viac ako mesiac neaktualizovaný. Problém sa dotýkal aj serverovej verzie Ubuntu Server, pričom incident samozrejme mohol predstavovať najväčší problém pre internetové servery. Národná jednotka SK-CERT problém evidentne nezachytila.
Zdroj: DSL.sk
Hertzbleed úto k v procesoroch intel a AMD
Zraniteľnosť hertzbleed vyskytujúca sa v procesoroch Intel (generácia 8-11) a AMD (zen2 / zen3) umožňuje útočníkovi v najhoršom prípade získať kryptografické kľúče. Zraniteľnosť využíva fakt, že pri dynamickej zmene frekvencie môžu rovnaké operácie trvať rozdielny čas na základe rôznych operandov. Kryptografické operácie, ktoré by mali trvať konštantný čas tak môžu meniť čas trvania na základe parametrov.
Zdroj: hertzbleed.com
"MMIO Stale Data" v procesoroch Intel
Spoločnosť Intel začlenila do kernelu opravu zraniteľnosti "MMIO Stale Data", pri ktorej po MMIO operácii zostávali potenciálne zneužiteľné dáta v bufferoch.
Hack „PACMAN“ môže prelomiť ochranu Apple M1
Procesory Apple M1 obsahujú hardvérovú chybu v pointer authentication code (PAC), ktorá umožňuje potenciálne prebrať kontrou nad OS za predpokladu, že sa na počítači nachádza zraniteľný softvér (samotná hardvérová chyba nepostačuje na útok). K chybe ako ako už to býva v dnešnej dobe bežné bol vytvorený aj samostatný web.
Zdroj: spectrum.ieee.org
Bezpečnostné riziko v TAILS 5.0 a nižšom
Zatiaľ neopravená vážna zraniteľnosť umožňuje únik informácií z TAILS cez Tor Browser
Zdroj: Tails
Výsledky Pwn2Own Vancouver 2022
Boli zverejnené výsledky hackerskej súťaže Pwn2Own. Prelomená bola ochrana v rôznom softvéri od Windows 11 cez Linux, Microsoft Teams až po také chuťovky ako Tesla Model 3 Infotainment System.
Zdroj: zerodayinitiative.com
Bezpečnostná chyba VirtualBoxu pri SIMD inštrukciách v obluhe prerušenia
Jason Donenfeld, jeden z vedúcich vývojárov WireGuardu upozornil na bezpečnostnú chybu VirtualBoxu, ktorá umožňuje získať prístup k dátam hosťovského operačného systému pri použití SIMD inštrukcií v oblsuhe prerušenia.
Zdroj: twitter.com
Zraniteľnosť funkcie BN_mod_sqrt v OpenSSL/LibreSSL
V OpenSSL/LibreSSL bola objavená zraniteľnosť umožňujúca útočníkovi pomocou škodlivého certifikátu spôsobiť odmietnutie služby (DOS) v dôsledku nekonečnej slučky.
Zdroj: openssl.org
Zraniteľnosť dirty pipe
Max Kellermann objavil zraniteľnosť v kernelu, ktorá umožňuje zapisovať do súborov aj keď sú otvorené s príznakom O_RDONLY. Zraniteľnosť sa objavila v jadre 5.8, commit f6dd975583bd (pipe: merge anon_pipe_buf*_ops). Viac informácií k zraniteľnosti je na samostatnej webovej stránke.
Zdroj: dirtypipe.cm4all.com
Zraniteľnosť v snap-confine
Bola objavená zraniteľnosť v komponente snap-confine správcu balíčkov snap, ktorá umožňuje získať neprivilegovanej aplikácii práva roota.
Zdroj: qualys.com
