Misfortune Cookie aneb další kritická zranitelnost v domácích routerech

Misfortune-CookieÚdajně by touto chybou mělo trpět asi 200 typů routerů, kterých je po celém světě kolem 12 miliónů.

Jedná např. o SOHO routery ASUS, D-Link, Edimax, Huawei, TP-Link, ZTE a ZyXEL, které dle společnosti Check Point obsahují kritickou zranitelnost CVE-2014-9222 nazvanou Misfortune Cookie, která umožňuje útočníkovi zařízení přes internet kompletně ovládnout, a to prostým zasláním speciální HTTP cookie.

Štítky:
celý článek

Je BadUSB reálná hrozba nebo jen FUD?

BadUSB

Že je možné změnit firmware jakéhokoliv zařízení, je známá věc. Není tedy nijak překvapující, že je možné změnit i firmware některých USB flash disků, přesto je této skutečnosti věnována nebývalá pozornost.

Je tomu tak proto, že firmware je údajně možno upravit i tak, aby zcela bez vědomí uživatele prováděl na pozadí i jiné operace.

Štítky:
celý článek

Bash obsahuje kritickou zranitelnost ShellShock

zranitelnostAsi jste už zaznamenali, že byla objevena kritická zranitelnost v nejpoužívanějším unixovém a linuxovém shellu, kterým je Bash (Bourne again shell).

A byť je této zranitelnosti, médii pojmenované ShellShock, možné poměrně snadno zneužít, tak i zde musí být splněny určité podmínky.

Štítky:
celý článek

Heartbleed: 5 není 10 a už vůbec ne 11 anebo snad ano?

Heartbleed jako nejhorší zranitelnost všech dob? Nesmysl. Obyčejná pětka, které se jen dostalo nebývalé mediální pozornosti, anebo je to všechno jinak?

Dle Bruce Schneiera je závažnost zranitelnosti CVE-2014-0160 aka Heartbleed „katastrofická“ a na stupnici 0 až 10, kterou používá CVSS, je to jasná 11. Jak je ale potom možné, že v NVD má tato zranitelnost přiděleno CVSS skóre 5?

Štítky:
celý článek

Aplikace třetích stran obsahují nejvíce zranitelností

Počet zranitelností v aplikacích třetích stran rok od roku nezadržitelně roste, a tyto aplikace tak představují pro uživatele největší riziko.

Za posledních 5 let podíl zranitelností v aplikacích třetích stran na celkovém počtu zranitelností na platformě Windows vzrostl z nějakých 57% na 85%. Samotný OS se pak na celkovém počtu zranitelností podílí necelými 6% a aplikace od Microsoftu pak necelými 9%.

Štítky:
celý článek

Počet zranitelností rok od roku klesá

Síťová infrastruktura, z internetu dostupné servery, webové prezentace a aplikace drtivé většiny velkých organizací jsou prakticky neustále testovány nejrůznějšími bezpečnostními firmami, organizovanými skupinami i jednotlivci z celého světa.

Nalezení slabého místa v zabezpečení jejich systému nebo objevení nové zranitelnosti je v takovém případě nejen velice prestižní záležitost, protože počet zranitelností rok od roku klesá, ale především se na ní dá velice slušně vydělat. Ať už jejím prodejem podsvětí nebo přímo provozovateli dané aplikace.

Štítky:
celý článek

Měly by se informace o zranitelnostech zveřejňovat?

question

Měly by se informace o nově nalezených zranitelnostech zveřejňovat i přesto, že v okamžiku zveřejnění zranitelnosti dochází k prudkému nárůstu nových verzí malwaru a útokům zneužívajících danou zranitelnost a to až stotisíckrát?

Mezi odbornou veřejností převládá názor, že ano. Ovšem nenadešel čas tento názor přehodnotit?

Štítky:
celý článek