Siapa bilang Anda harus memulai dari yang kecil? Seorang peneliti keamanan di India telah menjaring $ 31.500 dalam kemenangan hadiah bug setelah menemukan beberapa kelemahan keamanan di Facebook dan portal intelijen bisnis pihak ketiga. Dalam sebuah posting Medium yang diterbitkan kemarin ( 31 Mei ), Bipin Jitiya melakukan penyelaman mendalam dalam pembayaran hadiah bug pertamanya untuk menunjukkan bagaimana para peneliti dapat menggabungkan "tinjauan kode yang aman, enumerasi, dan pengetahuan penulisan skrip untuk menemukan kerentanan kritis".
Get link
Facebook
Twitter
Pinterest
Email
Other Apps
Zoom Kelemahan Kritis pada Zoom Bisa Membiarkan Penyerang Meretas Sistem melalui Obrolan
Get link
Facebook
Twitter
Pinterest
Email
Other Apps
Jika Anda menggunakan Zoom — terutama selama waktu yang penuh tantangan untuk mengatasi
sekolah, bisnis, atau keterlibatan sosial Anda — pastikan Anda menjalankan
versi terbaru dari perangkat lunak konferensi video yang sangat populer di
komputer Windows, MacOS, atau Linux Anda.
Tidak, ini bukan tentang kedatangan fitur enkripsi end-to-end "nyata"
yang paling ditunggu, yang tampaknya, menurut berita terbaru, sekarang
hanya akan tersedia untuk pengguna berbayar . Sebaliknya, peringatan
terbaru ini adalah tentang dua kerentanan
kritis yang baru ditemukan.
Peneliti cybersecurity
dari Cisco
Talos
hari ini mengumumkan bahwa mereka menemukan dua kerentanan kritis dalam
perangkat lunak Zoomyang
bisa memungkinkan penyerang untuk meretas ke dalam sistem peserta obrolan
grup atau penerima individu dari jarakjauh.
Kedua kelemahan yang dimaksud adalah kerentanan jalur traversal
yang dapat dieksploitasi untuk menulis atau menanam file
sewenang-wenang pada sistem yang menjalankan versi rentan dari
perangkat lunak konferensi video untuk mengeksekusi kode
berbahaya.
Menurut para peneliti, eksploitasi yang berhasil dari kedua kelemahan
tidak memerlukan atau sangat sedikit interaksi dari peserta obrolan yang
ditargetkan dan dapat dieksekusi hanya dengan mengirim pesan yang dibuat
khusus melalui fitur obrolan kepada individu atau grup.
Kerentanan keamanan pertama ( CVE-2020-6109 ) berada dalam cara Zoom memanfaatkan layanan GIPHY, yang
baru-baru ini dibeli oleh Facebook, untuk memungkinkan para
penggunanya mencari dan bertukar GIF animasi saat mengobrol.
Para peneliti menemukan bahwa aplikasi Zoom tidak memeriksa apakah
GIF yang dibagikan memuat dari layanan Giphy atau tidak, memungkinkan
penyerang untuk menanamkan GIF dari server yang dikendalikan penyerang
pihak ketiga, yang memperbesar dengan cache desain / menyimpan pada
sistem penerima di folder spesifik yang terkait dengan aplikasi.
Selain itu, karena aplikasi itu juga tidak membersihkan nama file,
itu bisa memungkinkan penyerang untuk mencapai direktori traversal,
menipu aplikasi untuk menyimpan file berbahaya yang disamarkan sebagai
GIF ke lokasi mana pun pada sistem korban, misalnya, folder
startup.
Kerentanan eksekusi kode jarak jauh kedua ( CVE-2020-6110 ) berada dalam cara yang rentan dari cuplikan kode proses
aplikasi Zoom yang dibagikan melalui obrolan.
"Fungsionalitas obrolan zoom dibangun di atas standar XMPP dengan
ekstensi tambahan untuk mendukung pengalaman pengguna yang kaya.
Salah satu ekstensi tersebut mendukung fitur termasuk cuplikan
kode sumber yang memiliki dukungan sintaksis penuh. Fitur untuk
mengirim cuplikan kode memerlukan instalasi dari plugin tambahan
tetapi menerimanya tidak. Fitur ini diimplementasikan sebagai
perpanjangan dari dukungan berbagi file, " kata para
peneliti
.
Fitur ini membuat arsip zip potongan kode bersama sebelum
mengirim dan kemudian secara otomatis membuka ritsletingnya pada
sistem penerima.
Menurut para peneliti, fitur ekstraksi file zip Zoom tidak
memvalidasi konten file zip sebelum mengekstraksi, memungkinkan
penyerang untuk menanam biner sewenang-wenang pada komputer yang
ditargetkan.
"Selain itu, masalah lintasan jalur parsial memungkinkan file
zip yang dibuat khusus untuk menulis file di luar direktori yang
dibuat secara acak," kata para peneliti.
Peneliti Cisco Talos menguji kedua kelemahan pada versi 4.6.10
dari aplikasi klien Zoom dan secara bertanggung jawab
melaporkannya kepada perusahaan.
Dirilis bulan lalu, Zoom menambal kedua kerentanan kritis
dengan merilis versi 4.6.12 perangkat lunak konferensi video
untuk Windows, macOS, atau komputer Linux.
Peneliti keamanan siber Israel telah mengungkapkan rincian tentang protokol DNS berdampak baru yang cacat yang dapat dieksploitasi untuk meluncurkan serangan denial-of-service (DDoS) terdistribusi skala besar yang disebarluaskan ke situs-situs web yang menjadi sasaran pencopotan. Kami menunjukkan bahwa jumlah pesan DNS yang dipertukarkan dalam proses resolusi yang khas mungkin jauh lebih tinggi dalam praktik daripada apa yang diharapkan dalam teori, terutama karena resolusi proaktif dari alamat IP server-nama," kata para para peneliti di koran. Kami menunjukkan bagaimana inefisiensi ini menjadi hambatan dan dapat digunakan untuk melakukan serangan yang menghancurkan terhadap salah satu atau keduanya, resolver rekursif dan server otoritatif. Menyusul pengungkapan NXNSAttack yang bertanggung jawab, beberapa perusahaan yang bertanggung jawab atas infrastruktur internet, termasuk PowerDNS ( CVE ), (CVE-
Layanan perpesanan ponsel cerdas paling populer WhatsApp sekarang dapat berkomunikasi dengan teman-teman dari PC mereka. Tidak ada Rumor sama sekali !! Nikmati WhatsApp dari desktop Anda mulai sekarang. Bulan lalu, bocor bahwa Whatsapp bekerja di klien web dan akhirnya mulai hari ini mereka memperkenalkannya ke publik. Fitur ini disebut " WhatsApp Web ," yang memberikan para penggunanya kemampuan untuk membaca dan mengirim pesan langsung dari browser web mereka. BAGAIMANA CARA MENGGUNAKAN WHATSAPP PADA PC / DESKTOP Pengguna WhatsApp yang tertarik hanya perlu membuka Chrome dan menavigasi ke https://web.whatsapp.com Kode QR akan muncul di halaman web, yang harus dipindai menggunakan aplikasi seluler WhatsApp untuk mengaktifkan layanan. Dengan memindai kode QR yang muncul, pengguna secara otomatis akan memasangkan WhatsApp seluler mereka dengan klien web WhatsApp, seperti yang ditunjukkan. WhatsApp Web mengharuskan Anda menginstal dan menjalanka
Comments
Post a Comment