The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • sslOpenSSL heeft een patch uitgebracht voor een kritiek lek dat er mogelijk voor kan zorgen dat een aanvaller op afstand code kan uitvoeren. De kwetsbaarheid werd volgens het OpenSSL-team geïntroduceerd door een recente patch.

    OpenSSL heeft maandag in een security advisory laten weten dat de kwetsbaarheid alleen voorkomt in versie 1.1.0a van de software. Daarom zouden gebruikers die de update nog niet hebben uitgevoerd meteen van versie 1.1.0 naar 1.1.0b moeten updaten. Het lek, met kenmerk cve-2016-6309, treedt op doordat de software een buffer verplaatst als er een bericht van meer dan 16k wordt ontvangen. In de vrijgemaakte ruimte zou vervolgens een aanvaller met een achtergebleven pointer kunnen schrijven. Dit zou kunnen leiden tot het uitvoeren van willekeurige code.

  • ios jailbreakLuca Todesco, ook wel bekend onder de online-naam qwertyoruiop, claimt dat hij een werkende jailbreak heeft ontwikkeld voor de iPhone 7. Het zou de eerste jailbreak zijn die op definitieve versie van iOS 10.0.1 draait. De jailbreak-tool is nog niet voor anderen beschikbaar.

    Todesco, die al eerdere versies van iOS heeft gejailbreakt, heeft via Twitter bekendgemaakt dat hij zijn iPhone 7 binnen een dag heeft kunnen jailbreaken. Hij toonde een foto en een video van een iPhone 7 die Cydia draait, een populaire alternatieve downloadwinkel voor gejailbreakte iOS-toestellen. De iPhone 7 is nu een week op de markt en de definitieve versie van iOS 10 is drie dagen langer publiekelijk beschikbaar.

  • tesla logoOnderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab zijn erin geslaagd een Tesla Model S op afstand via een kwaadaardig wifi-netwerk te hacken. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen.

    Tesla laat in een reactie tegenover de Verge weten dat het probleem alleen wordt veroorzaakt als de browser wordt gebruikt. Daarnaast moet de auto met een kwaadaardig wifi-netwerk in de buurt zijn verbonden. Volgens de autofabrikant was het risico voor klanten dan ook vrij klein.

  • mysqlBeveiligingsonderzoeker Dawid Golunksi heeft een kwetsbaarheid in MySQL, MariaDB en PerconaDB gevonden die het op afstand uitvoeren van code mogelijk maakt als de aanvaller al toegang heeft tot de database. Het lek is onder andere aanwezig in de laatste versie van MySQL.

    Voor de clones MariaDB en PerconaDB zijn eind augustus patches beschikbaar gekomen, zo schrijft de onderzoeker. Het beveiligingsprobleem met kenmerk cve-2016-6662 is onderdeel van meerdere kwetsbaarheden, voegt Golunksi daaraan toe. Het lek heeft gevolgen voor alle MySQL-servers in standaardconfiguratie, van de vroegste tot de huidige versies in verschillende branches, namelijk 5.7.15, 5.6.33 en 5.5.52.

  • androidDe beveiligingsupdates die Google deze week voor Android uitrolde blijken ook een ernstig lek te verhelpen waardoor het mogelijk is om via een kwaadaardig jpeg-plaatje toestellen aan te vallen. Een aanvaller hoeft de afbeelding alleen naar een slachtoffer te versturen, verdere interactie is niet vereist.

    Het probleem wordt veroorzaakt door een softwarebibliotheek die Exif-data van jpeg-afbeeldingen probeert uit te lezen. Exif is de standaard voor het opslaan van metadata in foto's. De kwetsbaarheid werd door onderzoeker Tim Strazzere van beveiligingsbedrijf SentinelOne ontdekt. De onderzoeker testte zijn aanval met Gmail en Gchat, maar ook andere apps die de kwetsbare bibliotheek aanroepen lopen risico.

  • usb ethernetadapter

    Beveiligingsonderzoeker Rob Fuller heeft in een blogpost beschreven hoe hij via een aangepaste usb-ethernetadapter de inloggegevens van een ingelogde gebruiker steelt, terwijl het lockscreen wordt getoond. Dit zou werken op Windows- en OS X-computers.

    Fuller, ook bekend als 'Mubix', legt uit dat hij voor de aanval zowel een USB Armory als een LAN Turtle kon gebruiken. Op deze van een soc voorziene usb-apparaten kan verschillende software geïnstalleerd worden, bijvoorbeeld voor doeleinden als penetration testing.


Copyright © 2017. All Rights Reserved.