Jump to content

Search the Community

Showing results for tags 'vulnerabilidade'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 25 results

  1. A Adobe está alertando seus clientes sobre um bug crítico 0-Day explorado ativamente e que afeta seu o Adobe Acrobat PDF Reader. Um patch está disponível junto a outras 43 correções para 12 de seus produtos. A vulnerabilidade sob ataque ativo afeta os sistemas Windows e macOS e podem levar à execução arbitrária de códigos. Segundo o ThreatPost, a vulnerabilidade foi explorada em ataques limitados direcionados a usuários do Adobe Reader no Windows. Os usuários do Windows talvez sejam os únicos atualmente visados, mas o bug afeta outras versões do software. São elas: Windows Acrobat D
  2. Pesquisadores da SentinelOne descobriram que, desde 2009, vulnerabilidades nos drivers da Dell afetam potencialmente centenas de milhões de máquinas. Os atacantes podem usar os bugs para iniciar uma série de ataques. As cinco falhas de alta gravidade no driver de atualização de firmware da Dell afetam desktops, laptops, notebooks e tablets da fabricante. As descobertas do SentinelLabs foram relatadas à Dell em 1º de dezembro de 2020 e são rastreadas como CVE-2021-21551. A Dell, por sua vez, lançou uma atualização de segurança para seus clientes para resolver a vulnerabilidade. Em pub
  3. Atacantes estavam explorando um bug grave no sistema operacional da Apple, o macOS, conseguindo contornar a maioria dos mecanismos de segurança do sistema. Segundo a Vice, o bug era, até então, desconhecido e foi utilizado para invadir um número não identificado de computadores Mac. O problema foi relatado à Apple em 25 de março, e a empresa já lançou um patch na versão mais recente do MacOS Big Sur, corrigindo a falha. Pesquisadores de segurança que encontraram a vulnerabilidade e a analisaram dizem que a falha permitia que os atacantes criassem um malware que poderia assumir o controle
  4. O AirDrop, recurso que permite que usuários de Mac e iPhone transfiram arquivos sem fio entre dispositivos da Apple, está com uma falha que permite o vazamento de e-mails e números de telefone dos usuários. Segundo o Ars Technica, o AirDrop, que usa Wi-Fi e Bluetooth para estabelecer conexões diretas com dispositivos próximos e transferir fotos, documentos, etc., entre um dispositivo iOS ou macOS para outro, funciona em três modos: um que permite que apenas contatos se conectem, um segundo que permite que qualquer pessoa se conecte, e o terceiro, que não permite nenhuma conexão. Par
  5. O Cisco Talos, grupo global de inteligência de ameaças de cibersegurança da Cisco, descobriu uma vulnerabilidade de divulgação de informações no kernel do Linux. A vulnerabilidade, rastreada como CVE-2020-28588, pode permitir que um invasor visualize a pilha de memória do kernel, o que significa que dados ou informações que não deveriam ser vistas possam ser acessadas. O problema foi visto pela primeira vez pelo Cisco Talos em um dispositivo Azure Sphere (versão 20.10), um dispositivo ARM de 32 bits que executa um kernel do Linux corrigido. O kernel do Linux é o núcleo livre e de cód
  6. Hoje iremos acompanhar um writeup de um desafio do pwn2win 2020, criado pelo Caio Lüders, que nos permite aprender 3 vulnerabilidades conhecidas (XSS, SQL INJECTION e XXE) e categorizadas no OWASP Top 10 como Injection (top 1) e XXE (top 4). Para isso, vamos entender as vulnerabilidades envolvidas separadamente e depois explorar no desafio. O que é Reflected XSS Cross Site Script Refletido (Reflected XSS) é uma vulnerabilidade que explora a injeção de códigos na resposta HTTP que podem estar refletidos em diferentes contextos HTML e permitem execução de código JavaScript. Códi
  7. Um pesquisador de segurança encontrou um bug "crítico" no mecanismo de jogo da desenvolvedora de jogos Valve, que alimenta, entre outros jogos, o Counter Strike. Segundo reportagem da Vice, a partir dessa falha, atacantes poderiam assumir o controle dos computadores das vítimas apenas enganando-as para que cliquem em um convite do software de gestão Steam. O pesquisador diz ter alertado a Valve sobre a falha em junho de 2019. Embora o bug tenha sido corrigido em alguns jogos que usam o motor Source, ele ainda está presente no Counter Strike: Global Offensive. Outro pesquisador também enc
  8. Um pesquisador encontrou uma falha no Editor de Texto, aplicativo de edição de texto pré-instalado em Macs, que poderia revelar o endereço IP do usuário a um hacker. Segundo a Vice, o bug, que já foi corrigido pela Apple, potencialmente permitia que um atacante enganasse o Mac de uma vítima para revelar seu endereço IP apenas baixando um arquivo .txt e abrindo-o com o Editor de Texto. A falha fazia com que o aplicativo analisasse e interpretasse automaticamente o código HTML. Para acionar essa vulnerabilidade, o atacante teria que inserir algum código HTML malicioso no arquivo de texto p
  9. Uma vulnerabilidade que afeta VPNs da Fortinet está sendo explorada por uma nova cepa de ransomware operada por humanos, o Cring, que viola e criptografa redes de empresas do setor industrial. De acordo com o BleepingComputer, o ransomware Cring, também conhecido como Crypt3r, Vjiszy1lo, Ghost e Phantom, foi descoberto em janeiro e detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom. Relatório da Kaspersky revelou que os invasores têm explorado servidores Fortigate SSL VPN expostos à Internet e não corrigidos contra a vulnerabilidade CVE-2018-13379, permitindo a vio
  10. Uma falha no recurso de compartilhamento de tela do Zoom pode mostrar partes das telas que os apresentadores não pretendiam compartilhar. A falha de segurança CVE-2021-28133 foi encontrada na versão 5.5.4 da plataforma, segundo o ThreatPost, e pode vazar inadvertidamente os dados dos usuários para outros participantes da reunião. Segundo a publicação, por ser uma execução rápida, um ataque potencial é mais difícil de ser executado. O compartilhamento de tela da plataforma de videoconferência Zoom permite que os usuários compartilhem o conteúdo de suas telas com outros participantes em um
  11. O Google detectou uma vulnerabilidade 0-day sob ataque ativo no navegador Chrome. Se explorada, a falha pode permitir a execução remota de código e ataques de negação de serviço nos sistemas afetados, segundo o ThreatPost. A vulnerabilidade existe no motor de navegador para Chrome desenvolvido como parte do projeto Chromium, o Blink. Os mecanismos do navegador convertem documentos HTML e outros recursos de página da Internet em representações visuais que podem ser visualizadas pelos usuários finais. Segundo o ThreatPost, a falha CVE-2021-21193 é classificada como de alta gravidade e
  12. Três vulnerabilidades foram encontradas no subsistema iSCSI do kernel do Linux, permitindo que invasores locais com privilégios básicos de usuário obtenham privilégios de root em sistemas Linux sem patch. Segundo o BleepingComputer, os bugs de segurança só podem ser explorados localmente, o que significa que invasores em potencial terão que obter acesso a dispositivos vulneráveis explorando outra vulnerabilidade ou usando um vetor de ataque alternativo. O mais impressionante é que essas vulnerabilidades já existem há 15 anos. A descoberta foi feita por pesquisadores do GRIMM. "Ao contrári
  13. Pesquisadores da Universidade Técnica de Darmstadt, na Alemanha, publicaram artigo sobre duas vulnerabilidades encontradas em um sistema de rastreamento de localização que ajuda os usuários a localizarem dispositivos Apple mesmo quando eles estão offline. A análise dos pesquisadores avalia a segurança e a privacidade do Offline Finding (OF), um sistema de rastreamento de localização por crowdsourcing para dispositivos offline lançado pela Apple em 2019. A ideia básica por trás do OF é que os chamados dispositivos localizadores possam detectar a presença de outros dispositivos offline per
  14. O Brave Browser está corrigindo uma falha de privacidade que permite o vazamento de endereços de URL do Tor para o seu servidor DNS configurado localmente. Isso pode expor os sites que são visitados em anonimato. O BleepingComputer explica que o Brave foi modificado para dar mais privacidade, incluindo um modo de navegador Tor embutido para que o usuário possa acessar sites anonimamente. Os sites localizados no Tor usam endereços URL que os usuários só podem acessar através da rede Tor. Para acessar os URLs do Tor, o Brave adicionou um modo 'Janela privada com Tor' que atua como um
  15. Pesquisadores da Trend Micro descobriram que o aplicativo SHAREit para Android está repleto de falhas que podem permitir o vazamento de dados confidenciais de um usuário e executar código arbitrário usando um código ou aplicativo malicioso. As vulnerabilidades também podem levar à execução remota de código (RCE). Segundo a Trend Micro, o SHAREit foi baixado mais de 1 bilhão de vezes, sendo um aplicativo que permite aos usuários Android compartilharem arquivos entre amigos ou dispositivos. As falhas foram identificadas e relatadas ao fabricante do app há três meses, diz a empresa de segur
  16. A Intel corrigiu 57 vulnerabilidades de segurança, incluindo as de alta gravidade que afetavam Drivers de Gráficos. Segundo o BleepingComputer, 40 delas foram encontradas internamente pela empresa, enquanto outras 17 foram relatadas externamente, quase todas por meio do programa de bug bounty da Intel. Os bugs de segurança são detalhados em avisos de segurança publicados pela Intel com atualizações de segurança e funcionais entregues aos usuários por meio do processo Intel Platform Update (IPU). A Intel inclui uma lista de todos os produtos afetados e recomendações para produtos vuln
  17. A equipe de desenvolvimento do NextGEN Gallery corrigiu duas vulnerabilidades graves para proteger os sites de possíveis ataques de controle. O plugin do WordPress é usado para criar galerias de imagens e, segundo o BleepingComputer, tem atualmente mais de 800 mil instalações ativas. As falhas encontradas no plugin são de cross-site request forgery (CSRF), que permite que comandos não autorizados sejam transmitidos a partir de um usuário em quem a aplicação confia. Assim, a atualização de segurança deve ser uma prioridade para todos os proprietários de sites que têm o NextGEN Gallery inst
  18. Uma série de vulnerabilidades no Kindle da Amazon poderia ter permitido que atacantes assumissem o controle dos dispositivos das vítimas. Segundo a Vice, um pesquisador da empresa de segurança Realmode Labs analisou no ano passado a segurança de Kindles, em particular o recurso Send to Kindle da Amazon, que permite que usuários enviem e-books ou artigos para o dispositivo. O pesquisador descobriu três vulnerabilidades diferentes que, se combinadas, poderiam levar um criminoso a assumir o controle do Kindle de uma vítima e gastar dinheiro com seu cartão de crédito na Kindle Store, bem com
  19. A Check Point Research descobriu uma vulnerabilidade no recurso localizador de amigos do TikTok que, se explorada, teria permitido que um invasor acessasse os detalhes do perfil dos usuários, incluindo os números de telefone associados às suas contas. Assim, um criminoso poderia construir um banco de dados de usuários e seus números de telefone relacionados, utilizando-o para atividades mal-intencionadas. "Uma solução já foi implantada de forma responsável pelo TikTok para garantir que seus usuários possam continuar usando o aplicativo com segurança", diz a Check Point em comunicado. A C
  20. O Project Zero do Google divulgou nesta terça-feira, 12 de janeiro, a série In-the-Wild com 6 publicações detalhando um conjunto de vulnerabilidades encontradas e exploradas. A série de publicações se refere a um ataque de watering hole, ocorrido no primeiro trimestre de 2020, e realizado por um ator altamente sofisticado. O projeto descobrou dois servidores de exploração que fornecem cadeias de exploração diferentes por meio de ataques watering hole, sendo um servidor direcionado aos usuários do Windows e outro direcionado ao Android. Os servidores Windows e Android usaram exploits do C
  21. Os navegadores Chrome, Firefox e Edge estão com falhas que, se exploradas, permitem que invasores sequestrem os sistemas que executam o software. Segundo o ThreatPost, a vulnerabilidade do Mozilla Firefox, rastreada como CVE-2020-16044, é separada do bug relatado no mecanismo de navegador do Google Chromium (CVE-2020-15995), que é usado no navegador Google Chrome e na versão mais recente do navegador Edge da Microsoft. A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta aos usuários do Firefox para que corrijam o bug classificado como crítico. A vulnerabilidade é li
  22. Alguns modelos do thin client Dell Wyse são vulneráveis a problemas críticos. Segundo o BleepingComputer, se exploradas as falhas, um um invasor remoto pode executar um código malicioso e obter acesso a arquivos arbitrários. Os thin clients são pequenos computadores usados para conexões remotas de desktop a um sistema mais poderoso, normalmente usados por organizações que não precisam de computadores com alto processamento, armazenamento e memória na rede. A estimativa é que mais de 6 mil empresas, a maioria delas do setor de saúde, implantaram esses thin clients em suas redes. As vu
  23. Pesquisa da empresa de segurança Forescout destaca 33 falhas em pacotes de protocolo de Internet de código aberto que potencialmente expõem milhões de dispositivos incorporados a ataques. Segundo a Wired, os dispositivos afetados variam de sensores e luzes residenciais inteligentes, leitores de código de barras, equipamentos de rede corporativa, sistemas de automação predial e até mesmo equipamentos de controle industrial. Aparentemente, essas falhas são difíceis, senão impossíveis de corrigir, e apresentam risco de exploração pelos invasores. Os pesquisadores estimam que milhões de disp
  24. O pesquisador Ian Beer, do Project Zero do Google, descobriu uma vulnerabilidade de segurança da Apple que permite que invasores em potencial obtenham acesso completo ao iPhone de uma pessoa, desde fotos até atividades de monitoramento em tempo real, sem que a vítima precise clicar em links suspeitos ou baixar malware. Para que haja a exploração, basta a vítima estar dentro do alcance do Wi-Fi. Beer mostra como uma configuração do Raspberry Pi com adaptadores Wi-Fi comprados em lojas pode roubar fotos de um iPhone em cinco minutos. Ele demonstra ainda como a mesma vulnerabilidade poderia
  25. Cibercriminosos estão varrendo a Internet em busca de vulnerabilidades conhecidas para construção de temas no WordPress. Segundo informações de pesquisadores do Wordfence Threat Intelligence obtidas pelo ThreatPost, sites WordPress usando temas Epsilon Framework com bugs estão sendo caçados por esses criminosos. Mais de 7,5 milhões de sondagens direcionadas a essas vulnerabilidades foram observadas. Basicamente, os cibercriminosos estão procurando por sites que se esqueceram de instalar as atualizações mais recentes do tema. Os problemas em questão são bugs de injeção de função, afetando
×
×
  • Create New...