Wpisy z tagiem "Java"

Bezpieczeństwo Google App Engine Java rozbite przez Polaka

Zespół Google Project Zero wziął ostatnio na cel omijanie „piaskownic” konkurencji (Internet Explorer, Safari, OS X), tymczasem nasz krajowy pogromca Javy, Adam Gowdiak, przyjrzał się piaskownicy Javy w Google App Engine. Większość dostawców podobnych platform chyba już się przekonała, że gdy ich produkty trafiają w ręce Polaka, to kończy się to nie najlepiej.… Czytaj dalej

Piekło zamarzło – Internet Explorer coraz bezpieczniejszy

Piekło zamarzło – Internet Explorer coraz bezpieczniejszy

Internet Explorer idzie w ślady swoich konkurentów i od 12 sierpnia zaczyna blokować niezaktualizowane wtyczki. Wszystko to w „trosce” o użytkownika, gdyż zgodnie z raportami do większości infekcji dochodzi poprzez nieaktualną wtyczkę Javy.… Czytaj dalej

Korzystacie z BTC na Androidzie? Lepiej przeczytajcie.

Korzystacie z BTC na Androidzie? Lepiej przeczytajcie.

Z powodu poważnych niedomagań generator liczb losowych w Javie nie zapewnia odpowiedniego poziomu losowości. Niestety korzysta z niego sporo aplikacji obsługujących portfele/transakcje BTC, co sprawia, że środki z tych portfeli/transakcji mogą potencjalnie zostać wykradzione (rzekomo miało to już miejsce).

Podatne aplikacje to co najmniej Bitcoin Wallet, blockchain.info wallet, BitcoinSpinner oraz Mycelium Wallet.… Czytaj dalej

Wielka aktualizacja Javy

Już w najbliższy wtorek Oracle ma wypuścić dużą paczkę aktualizacji dla Javy. Jeśli jeszcze macie (lub musicie mieć) na swoim komputerze to oprogramowanie, nie zapomnijcie przeprowadzić jak najszybciej aktualizacji. Warto, ponieważ z 40 poprawianych błędów aż 37 umożliwia zdalne wykonywanie kodu.… Czytaj dalej

I kolejny 0day w Javie krąży po sieci

Piszemy bardziej z obowiązku kronikarskiego niż przekonania, że to interesująca nowina – firma FireEye odkryła kolejny błąd typu 0-day w Javie, wykorzystywany do ataków na użytkowników. Atak działa na najnowsze wersje Javy v1.6 Update 41 oraz Java v1.7 Update 15.… Czytaj dalej

Tym razem prawdziwe włamanie do Facebooka

Tym razem prawdziwe włamanie do Facebooka

Tydzień temu pisaliśmy o testach bezpieczeństwa, przeprowadzanych przez Facebooka, których scenariusz uwzględniał prawdziwe włamanie do infrastruktury firmy. Dzisiaj okazuje się, że kilka tygodni temu miał miejsce rzeczywisty, skuteczny atak na jej pracowników.… Czytaj dalej

Tak, to kolejny 0day na Javę

Brian Krebs, dziennikarz z wiarygodnymi źródłami informacji i dostępem do rosyjskojęzycznych „elitarnych” forów, podał właśnie informację o pojawieniu się oferty sprzedaży exploita na najnowszą wersję Javy 7u11. W dobę po pojawieniu się nowej wersji (dostarczonej przez Oracla w niespotykanym do tej pory tempie) sprzedawca oferuje pełen kod źródłowy oraz gotową wersję za jedyne 5 tysięcy dolarów trzem klientom.… Czytaj dalej

Adam Gowdiak znowu wytyka błędy Oraclowi

Nasz rodak, znany z dogłębnej wiedzy na temat bezpieczeństwa Javy, ponownie wytyka Oraclowi popełnione błędy. Oprócz znalezienia (i odpowiedzialnego zgłoszenia) dziesiątek błędów w Javie oraz wykrycia błędu w poprawce poprawiającej inny błąd, Gowdiak poinformował właśnie, że odkrycie i wykorzystanie najnowszego błędu 0day było możliwe, ponieważ Oracle niezbyt dokładnie załatał poprzedni błąd zgłoszony przez Gowdiaka.… Czytaj dalej

Kolejny dzień, kolejny 0day na Javę

Kafeine, bloger znany z analizowania zagrożeń typu 0day, ogłosił właśnie, że odkrył aktywny, skuteczny atak na najnowszą wersję Javy (1.7u10). Jest także prawdopodobne, że atak jest skuteczny wobec wcześniejszych wersji. Kafeine poinformował także, że atak może dotyczyć setek tysięcy internautów, lecz na razie wstrzymał się z publikacją szczegółów (choć i tak pewnie w najbliższych dniach lub godzinach pojawi się odpowiedni moduł Metasploita).… Czytaj dalej

Kolejne krytyczne błędy w Javie, czyli niekończąca się opowieść

Kolejne krytyczne błędy w Javie, czyli niekończąca się opowieść

Czytelnikom naszego serwisu chyba nie trzeba przedstawiać Adama Gowdiaka. Najczęściej ostatnio cytowany w zagranicznych publikacjach polski badacz kolejny raz pokazał, że bezpieczeństwo Javy jest dalekie od oczekiwań użytkowników.… Czytaj dalej

Dziura w najnowszej aktualizacji Javy – kolejna kompromitacja Oracla

Dziura w najnowszej aktualizacji Javy – kolejna kompromitacja Oracla

Najpierw okazało się, że Oracle wiedział o błędach w Javie od kwietnia. Potem wydał poprawkę, ale dopiero po 4 dniach od ujawnienia krążących po sieci exploitów. Teraz okazuje się, że w wydanej poprawce znalazły się nowe błędy.… Czytaj dalej

To Polak odkrył i zgłosił w kwietniu najnowsze błędy 0day w Javie

To Polak odkrył i zgłosił w kwietniu najnowsze błędy 0day w Javie

Ujawnione kilka dni temu błędy w Javie, umożliwiające uzyskanie kontroli nad komputerem użytkownika, który odwiedził zainfekowaną stronę, znane były Oraclowi co najmniej od kwietnia tego roku. Wtedy bowiem zaraportował je Adam Gowdiak.… Czytaj dalej

Jak włamac się do dekodera n-ki – prezentacje

Jak włamac się do dekodera n-ki – prezentacje

Pisaliśmy już wcześniej o polskim specjaliście ds. bezpieczeństwa, Adamie Gowdiaku, który w spektakularny sposób pokonał wszelkie zabezpieczenia dekoderów telewizji n, uzyskując na nich pełne uprawnienia i niczym nie ograniczony dostęp do treści strumienia wideo odbieranego przez urządzenie. Swoje odkrycia przedstawiał niestety daleko od Polski, bo w Amsterdamie.… Czytaj dalej

Dekoder n-ki pod pełna kontrolą włamywacza

Dekoder n-ki pod pełna kontrolą włamywacza

Kilka dni temu na konferencji HITB 2012 w Amsterdamie Polak, Adam Gowdiak, pokazał przełomowe wyniki badań nad bezpieczeństwem dekoderów telewizji cyfrowej. W bezwzględny sposób rozprawił się z dekoderami n-ki.

Szczegóły jego odkryć opisywaliśmy na początku marca, teraz polecamy właśnie opublikowane prezentacje z HITB: Security threats in the world of digital satellite television oraz Security vulnerabilities of Digital Video Broadcast chipsets.… Czytaj dalej

Jak podrobić podpis kwalifikowany

Jak podrobić podpis kwalifikowany

Od wielu lat mówi się w Polsce o wprowadzeniu elektronicznego dowodu tożsamości, wyposażonego między innymi w funkcję podpisu osobistego. Projekt jest regularnie ogłaszany a następnie jego wdrożenie jest przesuwane w czasie. Podobne systemy wdrożyły już inne kraje – spójrzmy na problem Austriaków.… Czytaj dalej

aruba