Архив метки: Безопасность

Уязвимость NAS Seagate

Вот и NAS от Seagate отличились (Seagate Personal Cloud Home Media Storage).

В отличии от Western Digital не явный бэкдор, а все лишь ошибки в функционале.

NAS предоставляет для управления веб-приложение Media Server.

С помощью запросов к его функциям getLogs и uploadTelemetry можно выполнить произвольный код на устройстве.

Веб-приложение доступно только из локальной сети, но можно заставить пользователя отправить вредоносные запросы, заманив на фишинговый сайт.

Уязвимость исправлена в версии прошивки NAS OS v4.3.18.0.

Эксплойт для уязвимости и ее подробное описание доступны: https://blogs.securiteam.com/index.php/archives/3548.



2018-01-24T11:48:13
Закрытие уязвимостей

DuckDuckGo: Защитить конфиденциальные данные стало намного проще!

DuckDuckGo выходит за рамки конфиденциального поиска! Блокировка рекламных трекеров, автоматическое подключение HTTPS, расшифровка политики конфиденциальности популярных сервисов и оценка уровня доверия открытому сайту уже доступны в новой версии расширения для популярных браузеров и приложении для смартфонов. Сможет ли DuckDuckGo заменить собой популярные расширения для защиты приватности?

Автор: Alex Semёnov-Sherin
Дата публикации: 2018-01-24T16:37:00.001+07:00

Уязвимость в клиенте BitTorrent Transmission

Опубликована информация о неисправленной еще уязвимости в клиенте BitTorrent Transmission.

Transmission имеет клиент-серверную архитектуру, где клиентский интерфейс доступен через веб-браузер и обращается к серверной части с помощью JSON RPC запросов. Сервер доступен на порту 9091 и по умолчанию – только с локального хоста. Читать

Уязвимость iphone, Ipad Mac

Создана магическая ссылка “iabem97.github.io/chaiOS“. При ее получении в приложении “Сообщения” iPhone, iPad и Mac зависают или перезагружаются.

В таком случае придется закрыть приложение и удалить переписку с данной ссылкой, чтобы оно нормально заработало.

Защититься пока можно, добавив сайт github.io в запрещенные с помощью Родительского контроля. Но причины проблемы еще не полностью выяснены, и возможно появление новых ссылок.

 

Уязвимость VirtualBox

Вас тоже задолбало навязчивое предложение VirtualBox обновиться? А вот сейчас самое время.

Вчера Oracle выпустила плановую пачку обновлений Читать

Закрываем уязвимость PhpMyAdmin

PhpMyAdmin – наиболее распространенная тулза для администрирования MySQL и MariaDB через веб-интерфейс. Огромное множество сайтов, особенно на хостингах, имеют ее в своем составе.

И вот внезапно, в столь широко используемой и вроде протестированной вдоль и поперек штуке, обнаруживается CSRF! Читать