![](/sites/default/files/tmp/carousel-63/images/bigstock-comfortable-soft-bed-in-room-68499358_0.jpg%3Fitok=cmZ831EX&c=ecfb3e300d955937b519f72f173c6c47 "Satén versus "satén" aneb jak nenaletět při nákupu povlečení šmejdům")
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
AMD +1
Intel -1
Blby pro Intel a jeho zakazniky, hlavne nejruznejsi virtualni sluzby postavene na Intelu to maji blby. Pro domaci uzivatele by to snad az takovy problem byt nemel, ti uz maji PC zavirovane pres unacev2.dll.
Vite o tom, ze se to netyka jen WinRaru, ale i treba Bandizipu (nejnovejsi verze opravena) nebo Total Commanderu nebo treba popularniho prohlizece XnView? Vsude tam mate kompromitovanou knihovnu unacev2.dll.
Přesně, ty zranitelnosti jsou pro domácí uživatele bezpředmětné. Škodlivý kód musí běžet na tom počítači, takže když si tam jeho majitel zanese škodnou, tak vůbec nepotřebuje používat nějakou zranitelnost a může s tím počítačem udělat v podstatě cokoli daleko snadněji, když si to člověk dobrovolně pouští... dostatečně informovaný uživatel si škodlivý kód pouště v počítači nebude a je opět jedno jestli využívá zranitelnosti nebo ne.
Kde tahle věc má reálně šanci na zneužití jsou různé cloudy apod. Tam provozovatel dává zákazníkům možnost pouštět jejich kód, je to koneckonců z povahy věci samozřejmé a není v jeho silách zjistit zda každá věc co se tam pustí náhodou nějakou tu zranitelnost nevyužívá...
To nie je pravda vo svete Windows
Pretože takmer každý používateľ Windows pracuje s administrátorským účtom. V Linuxových distribúciách s výnimkou Ubuntu sa realtívne ťažko prepnete dočasne alebo trvalo do admina.
Removing User Admin Rights Mitigates 94% of All Critical Microsoft Vulnerabilities
February 24, 2017
Just by preventing access to admin accounts, a system administrator could safeguard all the computers under his watch and prevent attackers from exploiting 94% of all the critical vulnerabilities Microsoft patched during the past year.
Even more interesting is that the Avecto 2016 report highlights that if sysadmins had forced users to utilize a low-privileged account instead of an admin-level profile, they would have mitigated 100% of all critical Internet Explorer and Microsoft Edge browser vulnerabilities patched during the past year.
The same 100% threshold also stands for Office 2016, showing the large number of security threats a system admin could mitigate just by a proper user management policy.
https://www.bleepingcomputer.com/news/microsoft/removing-user-admin-righ...
https://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-a...
Zrovna to pisu, UAC kamo, takze teoreticka zneuzitelnost stejne jako na linuxu. Pokud to ma nekdo vypnuty, tak jeho blbost.
UAC má problém s nekorektne napísaným a starým SW ktorý s ním nepočíta a ktorý je obľúbený vo firmách aj doma. UAC je taký Policykit pre Windows. ale sudo <Edit
s obemdzeným /etc/sudoers
lebo UAC funguje skoro ako ALL ALL=(ALL) NOPASSWD: ALL v sudoers a nie ani ako
ucet ALL = NOPASSWD: /sbin/lspci
\edit> je lepšie, aj keď na ústupe.
UAC vyžaduje, aby byl uživatel schopný rozlišit mezi legitimní žádostí a podezřelým chováním. Složení uživatelů linuxu a windows je jiné. Vynucení UAC by jen znamenalo, že by většina uživatelů odklikávala jednu žádost za druhou bez sebemenšího efektu na bezpečnost.
Zrovna jsem chtěl napsat, že je to v podstatě jen o jedno kliknutí navíc...
UAC je pro 99% užovek jen jedno otravné okno navíc, vedoucí k cíli, ať tímto cílem cokoliv.
uac je 3,14covina jak voda v kosi, je to to prve co hned vypinam. Uac ta pred nicim neochrani, len buzeruje ked chces nieco nainstalovat. MS musi umoznit ludom normalne pracovat pod user uctom a nieze si nemozem zbytocnu ikonku vyhodit z plochy alebo zmenit ipcku.. preto kazdy pouziva admin ucet, lebo vo win sa inak pracovat neda..
Da se teoreticky stahnout a spustit pres JavaScript, ale furt to vyzaduje nejaky problem na strane uzivatele, minimalne uzivatel administrator a vypnute uac na strane uzivatele. Ale proste uplne jina uroven zneuzitelnosti nez v cloudovych sluzbach.
Omyl. Ne, nevyžaduje to vůbec nic z toho co píšeš, ani práva, ani admina, ani vypnuté UAC. Vyžaduje to jen spuštění, a stačí v rámci sandboxu prohlížeče (což je defacto noční můra)
https://securityboulevard.com/2019/03/researchers-discover-spectre-like-...
Tohle není "malej problém." Tohle je průser jako vrata.
Tak ti nekdo precte data v prohlizeci, no a co. Napis nejaky prakticky postup, ktery by ohrozil domaciho uzivatele.
Ne že přečte oblasti přidělané prohlížeči. Může klidně operovat i ze sandboxovaného prohlížeče a číst cokoliv co běží na stejném jádře CPU. Může i mezi virtuálním počítačem a hostitelem, prostě nezná hranice.
Jasne, to jsem psal nahore, v cloudovych sluzbach, kde mas prostor uzivatelu delen do jednotlivych virtualnich PC, je to nehoraznej problem, v podstate bezpecnost cloudu = 0.
U domaciho uzivatele asi reknu nasim, aby pred pristupem k internet bankingu vzdycky zavreli a znovu spustili prohlizec. Ikdyz ono u tech sitovych sluzeb zase takove ohrozeni nebude, akorat se lidi musi naucit pouzivat dvoufaktorovou autentizaci pocitac - mobil. A hlavne by tuhle autentizaci meli sluzby nabizet, coz bohuzel mnohdy nedelaji. :-/
Ty to fakt nechápeš. Nedošlo ti, že běžný útok je stupňovitý? Spoiler bude užit jako beranidlo, kterým si útočník do PC udělá cestu, získá práva a následně nainstaluje třeba rootkit, keylogger, odstraní/přemostí senzory antiviru.
Dále, co se týká autentizačních tokenů pro dvoufaktorovou autentikaci, tj. např. mobilů, spoléhat jen na ně, to je taky cesta do pekel. Už jsem zažil vyluxovaný účet člověka, který se nechal napálit sociálním inženýrstvím (a ověřovací kódy napsal kam neměl), dalšímu se do mobilu (shodou okolností to bylo děravé Lehovno) dostali pomocí malware.
Tak nevěř, že ti to někdo instantně vysype v diskuzi, ale zkus trochu zapojit fantazii a podumat k čemu VŠEMU se dneska používá webovej prohlížeč... v jednom dokonalým systému navíc integrovanej...
Umis cist? Jses na diskuzi, tak bych rekl, ze ano. Precti si prosim o cem diskutujes.
Prakticky postup popsan je. Tedy konci tim, ze utocnik ziska plny pristup. A pak uz je to jen o utocnikove fantazii a umyslech.
Problém u Spoileru je ten, že skodlivý kód NEMUSÍ mít admin práva, dá se naopak použít k eskalaci privilegií.
https://www.techpowerup.com/253285/spoiler-alert-new-security-vulnerabil...
Prostě si v sandboxu spustíš pod nejnižšími možnými právy payload a jsi přesvědčen, jak že to jsi zabezpečenej, ale ouha, ona to není pravda.
"Přesně, ty zranitelnosti jsou pro domácí uživatele bezpředmětné"
Tak ale minimálne kazový tovar by sa mal predávať lacnejšie.
Total Commander 9.22 final available!
This version mainly patches a security hole in unacev2.dll used for unpacking ACE archives.
Potom prečo sa v Stadii nehovorí o výrobcovi CPU?
Stadia Is Google's Cloud Gaming Service Using Linux, Vulkan & A Custom AMD GPU
Written by Michael Larabel in Google on 19 March 2019 at 02:00 PM EDT.
Google used the annual Game Developers Conference (GDC 2019) to officially unveil "Stadia" as their cloud-based game streaming service formerly known as Project Stream.
To little surprise these days, the Google Stadia streaming service is built on Linux servers. Also to not a lot of surprise, Vulkan is their graphics API of choice for streaming right now up to 4K at 60FPS while they plan to expand to 8K at 120FPS in the future.
https://www.phoronix.com/scan.php?page=news_item&px=Google-Stadia-Vulkan...
CPU je take AMD, napr zde https://www.pcgamesn.com/amd/google-stadia-specs-custom-amd-gpu-x86-cpu.
ta zázračná vylepšení Core se ukazují nahnaná na úkor bezpečnosti, teď se akorát budou instalovat záplaty snižující výkon. Intel inženýři o tom museli vědět, jenže peníze... Takhle se jim to hodí i do budoucna, přijdou s novou architekturou která nebude používat rizikové postupy tak budou moct hlásat "kupujte nové čipy, jsou bezpečnější než ty staré" byť by výkon nahoru moc nešel jen ve specifických situacích s AVX apod.
> Intel inženýři o tom museli vědět, jenže peníze
Chtels rict manazeri. Inzenyr o necem muze vedet, a muze o tom informovat manazment, a to je asi tak vsechno co muze. O tom bude a co nebude v produktu nerozhoduje.
Ono to je spíš tak, že už není kde ten výkon brát. Manažéři furt tlačej, že chtěl vyšší výkon - a protože už není moc co zlepšovat, došlo na ořezání bezpečnosti. Dieselgate v bleděmodrém.
Omlouvam se za muj komentar ohledne UAC, je to v souvislosti se Spoilerem nesmysl. Zmatl me Peter Fodrek, jak psal, ze linux ma sudo, kdezto na Windows je uzivatel casto Admin. Oboji je kravina, Spoiler cte cokoli z pameti a na opravneni nezalezi. Dekuju Tynytovi, ze me opravil.
A je to tady, Redmarxe už hackli :-D
V textu je chyba.
Píše se tam o "(7nm) Ice Lake."
Ve všech těch jezerech jsem se sice začal ztrácet, ale myslím že by tam mělo být 10nm.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.