NIST ruší některá pravidla pro hesla, která jsou kontraproduktivní
Americký institut standardů a technologie (NIST) vydal návrh nových pravidel pro digitální identitu. V návrhu byla odstraněna některá pravidla pro zacházení s hesly, která se ukázala jako kontraproduktivní. Jde například o povinnost heslo měnit v pravidelném intervalu (například každé tři měsíce), což ve výsledku uživatele vede k používání jednodušších hesel. Naopak heslo se bude muset měnit po jeho úniku. Pravidla budou závazná pro americké federální úřady a spolupracující firmy. Většinou však doporučení NIST přebírají i další subjekty.
Zdroj: root.cz
8 zranitelností v Microsoft Office pro Apple macOS
Zranitelnosti umožňují obejít Apple Transparency, Consent and Control framework (TCC) a získat tak přístup ke všem prostředkům a datům, ke kterým mají oprávnění tyto aplikace. Útočník by například mohl odesílat, nahrávat zvuk, pořizovat snímky, nebo nahrávat videa bez jakékoliv interakce uživatele.
Zdroj: thehackernews.com
Únik 440 GB dat z Fortinet Azure MS Sharepointu
Útočník s přezdívkou „Fortibitch” získal neoprávněný přístup k omezenému počtu souborů uložených v instanci cloudové sdílené jednotky souborů třetí strany společnosti Fortinet, která obsahovala omezená data týkající se malého počtu zákazníků společnosti Fortinet, snažil se vydírat Fortinet a chtěl zaplatit výkupné. Fortinet nezaplatil, a tak útočník data zveřejnil. Údajně se jedná o zákaznická data. Podle informací zveřejněných společností Fortinet tento incident postihl méně než 0,3 procenta zákazníků a nevedl k žádné škodlivé aktivitě zaměřené na zákazníky.
Zdroj: bleepingcomputer.com
Google rozšiřuje Passkey napříč zařízeními
Dosud bylo možné ukládat přístupové klíče pouze do Správce hesel Google v systému Android. Mohli jste je používat i na jiných zařízeních, ale museli jste naskenovat QR kód pomocí zařízení se systémem Android. Po aktualizaci je možné ukládat klíče ze systémů Windows, macOS, Linux a Android. Systém ChromeOS je k dispozici v beta verzi k testování. Po uložení se automaticky synchronizují napříč vašimi zařízeními, takže přihlašování je stejně snadné, jako naskenování otisku prstu.
Zdroj: blog.google
Zranitelnost v CUPS umožňuje vzdálené spuštění kódu
Odborník na počítačovou bezpečnost Simone Margaritelli objevil a nahlásil zranitelnost v tiskovém subsystému CUPS, který dovoluje vzdáleně spustit útočníkův kód. Jde o celkem čtyři zranitelnosti, jejichž spojením může útočník potenciálně dosáhnout vzdáleného spustění kódu. Aby byl útok úspešný, musí mít oběť spuštěnou službu cups-browsed, která vyhledává dostupné tiskárny. To útočníkovi umožňuje přidat vlastní definici tiskárny pomocí podvrženého serveru s IPP. Podle služby Shodan je takto z internetu dostupných minimálně 75 000 instancí tiskového démona CUPS.
Zdroj: evilsocket.net
