Software / Application

Cacat Keamanan di Aplikasi Desktop Discord Memungkinkan Peretas Mengambil Alih Sistem

October 21, 2020 by Winnie the Pooh

Platform perpesanan instan dan VoIP populer, Discord, memiliki kerentanan di aplikasi desktopnya yang terbuka untuk serangan eksekusi kode jarak jauh (RCE). Pertama kali diungkapkan oleh pemburu bug bounty Masato Kinugawa, RCE dapat dieksploitasi untuk mengambil alih komputer korban.

Kinugawa pertama kali mendeteksi kerentanan beberapa bulan lalu dan melaporkannya melalui program bug bounty Discord. Dalam deskripsi detail di blognya, dia mengatakan kerentanan tersebut merupakan kombinasi dari beberapa bug – tidak ada contextIsolation, XSS di sematan iframe, dan bypass pembatasan navigasi.

Penyebab utama bug adalah Electron, kerangka kerja perangkat lunak sumber terbuka yang membantu dalam membuat aplikasi lintas platform menggunakan CSS, JavaScript, dan HTML. Aplikasi perpesanan desktop Discord bukan open source tetapi memiliki kode JavaScript yang digunakan Electron. Kode disimpan secara lokal.

Dia menambahkan bahwa ketika dia mencoba menemukan cara untuk mengeksekusi JavaScript di aplikasi Electron, dia menemukan cacat cross-site scripting (XSS) di iframe. Ini digunakan untuk menyematkan video yang dapat ditampilkan dalam obrolan atau halaman web.

Ketika peneliti memeriksa domain di iframe, dia menemukan Sketchfab yang memungkinkan tampilan konten 3D di halaman web. Meskipun Sketchfab dapat disematkan di iframe, ia menemukan kerentanan XSS berbasis DOM (Document Object Model) di halaman sematan yang dapat disalahgunakan.

Berikut adalah video dimana Masato Kinugawa, dengan menggabungkan tiga bug yang ia temukan, dapat mencapai RCE.

Celah pada Magento dapat mengeksekusi kode pada Toko Online

October 18, 2020 by Winnie the Pooh

Dua kelemahan kritis di Magento – platform e-commerce Adobe yang biasanya ditargetkan oleh penyerang seperti grup ancaman Magecart – dapat mengaktifkan eksekusi kode arbitrer pada sistem yang terpengaruh. Adobe mengatakan dua kelemahan kritis (CVE-2020-24407 dan CVE-2020-24400) dapat memungkinkan eksekusi kode arbitrer serta akses baca atau tulis ke database.
Ritel akan berkembang pesat dalam beberapa bulan mendatang – antara Amazon Prime Day minggu ini dan Black Friday November – yang memberi tekanan pada Adobe untuk segera menambal setiap lubang di platform sumber terbuka Magento yang populer, yang memberdayakan banyak toko online.

Perusahaan pada hari Kamis mengungkapkan dua kelemahan kritis, enam kesalahan yang dinilai penting dan satu kerentanan dengan tingkat keparahan sedang yang mengganggu Magento Commerce (yang ditujukan untuk perusahaan yang membutuhkan tingkat dukungan premium, dan memiliki biaya lisensi mulai dari $ 24.000 per tahun) dan Magento Open Source (alternatif gratisnya).

Yang paling parah dari ini termasuk kerentanan yang memungkinkan eksekusi kode arbitrer. Masalahnya berasal dari aplikasi yang tidak memvalidasi nama file lengkap saat menggunakan metode “izinkan daftar” untuk memeriksa ekstensi file. Ini dapat memungkinkan penyerang untuk melewati validasi dan mengunggah file berbahaya. Untuk mengeksploitasi kelemahan ini (CVE-2020-24407), penyerang tidak memerlukan pra-otentikasi (yang berarti cacat dapat dieksploitasi tanpa kredensial) – namun, mereka memerlukan hak administratif.

Kerentanan kritikal lainnya adalah kerentanan injeksi SQL. Ini adalah jenis kelemahan keamanan web yang memungkinkan penyerang mengganggu kueri yang dibuat aplikasi ke database-nya. Penyerang tanpa otentikasi – tetapi juga dengan hak administratif – dapat memanfaatkan bug ini untuk mendapatkan akses baca atau tulis sewenang-wenang ke database.

Untuk semua kekurangan di atas, penyerang perlu memiliki hak administratif, tetapi tidak memerlukan pra-autentikasi untuk mengeksploitasi kekurangan tersebut, menurut Adobe.
Terakhir, CVE-2020-24408 juga telah diatasi, yang dapat memungkinkan eksekusi JavaScript di browser. Untuk mengeksploitasinya, penyerang tidak memerlukan hak administratif, tetapi mereka memerlukan kredensial.

Yang terpengaruh secara khusus adalah Magento Commerce, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya; serta Magento Open Source, versi 2.3.5-p1 dan sebelumnya dan 2.4.0 dan sebelumnya. Adobe telah mengeluarkan tambalan (di bawah) di Magento Commerce dan Magento Open Source versi 2.4.1 dan 2.3.6, dan “menyarankan pengguna memperbarui penginstalan mereka ke versi terbaru.”

Pembaruan untuk semua kerentanan adalah prioritas ke 2, yang berarti kerentanan tersebut ada di produk yang secara historis memiliki risiko tinggi – tetapi saat ini tidak ada eksploitasi yang diketahui.

Source : Threatpost

Microsoft merilis emergency security updates untuk Windows and Visual Studio

October 18, 2020 by Winnie the Pooh

Microsoft telah menerbitkan dua pembaruan keamanan out-of-band hari ini untuk mengatasi masalah keamanan di pustaka Windows Codecs dan aplikasi Visual Studio Code.
Kedua pembaruan datang sebagai kedatangan terlambat setelah perusahaan merilis batch pembaruan keamanan bulanan awal pekan ini, pada hari Selasa, menambal 87 kerentanan bulan ini.
Kedua kerentanan baru tersebut adalah kerentanan “eksekusi kode jarak jauh”, yang memungkinkan penyerang untuk mengeksekusi kode pada sistem.

KERENTANAN Libarary KODE WINDOWS
Bug pertama dilacak sebagai CVE-2020-17022. Microsoft mengatakan bahwa penyerang dapat membuat gambar berbahaya yang, ketika diproses oleh aplikasi yang berjalan di atas Windows, dapat memungkinkan penyerang untuk mengeksekusi kode pada OS Windows yang belum ditambal.

Semua versi Windows 10 terpengaruh.
Microsoft mengatakan pembaruan untuk perpustakaan ini akan dipasang secara otomatis pada sistem pengguna melalui Microsoft Store.
Tidak semua pengguna terpengaruh, tetapi hanya mereka yang telah menginstal codec media HEVC opsional atau “HEVC dari Device Manufacturer” dari Microsoft Store.
HEVC tidak tersedia untuk distribusi offline dan hanya tersedia melalui Microsoft Store. Pustaka juga tidak didukung di Windows Server.
Untuk memeriksa dan melihat apakah Anda menggunakan codec HEVC yang rentan, pengguna dapat pergi ke Pengaturan, Aplikasi & Fitur, dan pilih HEVC, Opsi Lanjutan. Versi amannya adalah 1.0.32762.0, 1.0.32763.0, dan yang lebih baru.

KERENTANAN Visual Studio Code
Bug kedua dilacak sebagai CVE-2020-17023. Microsoft mengatakan penyerang dapat membuat file package.json berbahaya yang, saat dimuat dalam Visual Studio Code, dapat mengeksekusi kode berbahaya.

Bergantung pada izin pengguna, kode penyerang dapat dijalankan dengan hak administrator dan memungkinkan mereka mengontrol penuh host yang terinfeksi.
File package.json secara teratur digunakan dengan pustaka dan proyek JavaScript. JavaScript, dan terutama teknologi Node.js sisi servernya, adalah salah satu teknologi paling populer saat ini.
Pengguna Visual Studio Code disarankan untuk memperbarui aplikasi secepat mungkin ke versi terbaru.

Source : ZDnet

Microsoft secara otomatis menginstal PWA Office untuk beberapa pengguna Windows 10

October 16, 2020 by Winnie the Pooh

Microsoft sedang menguji penginstalan otomatis oleh browser Edge barunya dari sejumlah aplikasi Office intinya sebagai Progressive Web Apps (PWA), menurut laporan.

Microsoft tampaknya menguji ini secara selektif di antara beberapa pelanggan Windows 10 Insider pada akhir pekan lalu melalui rilis Stable dari browser Edge berbasis Chromium, seperti yang pertama kali dilaporkan oleh WindowsLatest.com.

PWA adalah situs web dan / atau aplikasi web yang berperilaku seperti aplikasi asli tetapi hidup di dalam jendela browser.

Hingga saat ini, Microsoft telah membuat penginstalan Outlook sebagai PWA sebagai opsi yang dikontrol pengguna untuk pengguna Windows 10. Pengguna juga memiliki opsi untuk menginstal aplikasi Office untuk Windows 10 (penerus aplikasi “My Office”) sebagai PWA jika mereka memilihnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Zoom akan meluncurkan panggilan terenkripsi secara end-to-end (E2EE)

October 15, 2020 by Winnie the Pooh

Platform konferensi video Zoom mengumumkan hari ini rencana untuk meluncurkan kemampuan enkripsi end-to-end (E2EE) mulai minggu depan.

E2EE akan memungkinkan pengguna Zoom untuk menghasilkan kunci enkripsi individu yang akan digunakan untuk mengenkripsi panggilan suara atau video antara mereka dan peserta konferensi lainnya.

Kunci ini akan disimpan secara lokal dan tidak akan dibagikan dengan server Zoom, yang berarti perusahaan perangkat lunak tidak akan dapat mengakses atau intercept rapat E2EE yang sedang berlangsung.

Untuk menggunakan fitur baru, pengguna harus memperbarui klien mereka minggu depan dan mengaktifkan dukungan untuk panggilan E2EE di tingkat akun.

Perisai hijau ini akan berisi kunci jika E2EE aktif. Jika kunci tidak ada, Zoom akan menggunakan skema enkripsi GCM 256-bit AES default, yang digunakan perusahaan untuk mengamankan komunikasi saat ini, tetapi juga dapat intercept oleh perusahaan.

Namun, fitur tersebut tidak akan berfungsi jika tidak juga diaktifkan oleh penyelenggara konferensi, yang juga memiliki opsi untuk membatasi panggilan hanya untuk pengguna yang E2EE nya diaktifkan di tingkat akun mereka.

Berita selengkapnya:
Source: ZDNet

WhatsApp dikalahkan secara telak saat alternatif baru yang menakjubkan muncul

October 13, 2020 by Winnie the Pooh

Dengan 2 miliar penggunanya, WhatsApp tampak tidak dapat dihentikan, tetapi memiliki beberapa kelemahan dalam fungsinya — dalam cara kerjanya. Dan, yang terpenting, ia memiliki satu dealbreaker untuk banyak orang — WhatsApp dimiliki oleh Facebook.

Jadi, apa saja kelemahan fungsionalitas tersebut? Ya, dukungan asli untuk beberapa perangkat masih kurang — opsi untuk menautkan aplikasi di ponsel, tablet, dan PC Anda ke satu akun. Lalu ada kesalahan serius dalam opsi cadangannya, yang diperlukan untuk mentransfer riwayat pesan ke ponsel baru. Cadangan tersebut berada di luar enkripsi end-to-end WhatsApp — dan itu adalah masalah kritis.

Semua itu membuat WhatsApp jauh lebih kecil, tetapi jauh lebih menarik, saingan pemula Signal menjadi pembunuh raksasa potensial. Signal adalah pengganggu perpesanan modern, berusaha mengulangi trik yang dilakukan WhatsApp sendiri bertahun-tahun yang lalu, sebelum akuisisi Facebook.

Signal dirancang untuk mengutamakan keamanan, itulah USP-nya — WhatsApp sebenarnya menggunakan versi modifikasi dari protokol Signal itu sendiri. Dan sekarang Signal sedang dalam misi untuk menjadi arus utama. Dan jika Anda belum mencoba aplikasinya, Anda harus melakukannya.

Mungkin tidak ada cadangan pada Signal, tetapi contoh terenkripsi lainnya ini memberikan ketahanan jika Anda kehilangan telepon Anda. Dan platformnya tampak fleksibel dan gesit berbeda dengan WhatsApp. Anda akan kesulitan menemukan reporter teknologi atau keamanan yang merekomendasikan WhatsApp lebih dari Signal hari ini.

Signal dengan cepat mendekati massa kritis yang dibutuhkan untuk menjadi alternatif yang layak untuk setiap eksodus WhatsApp.

Signal sekarang menawarkan multiple device access, panggilan desktop, transfer riwayat pesan terenkripsi penuh ke perangkat baru, disappearing messages — fitur lain yang masih dikerjakan oleh WhatsApp.

Semuanya mulai meningkat menuju peralihan dari WhatsApp. Tidak mengherankan, meskipun jumlah pengguna Signal diukur dalam puluhan, bukan ratusan juta atau bahkan miliaran, sekarang jumlahnya melonjak.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Forbes

Sebuah aplikasi yang memungkinkan pengguna Cina melewati Great Firewall dan mengakses Google, Facebook telah menghilang

October 12, 2020 by Winnie the Pooh

Aplikasi yang sempat memberi pengguna internet China akses ke situs asing seperti YouTube dan Facebook – layanan yang telah lama diblokir – kini telah menghilang.

Browser web bernama Tuber didukung oleh Qihoo 360, raksasa keamanan siber Cina. Pada 9 Oktober, seorang jurnalis di tabloid yang didukung negara, Global Times membuat tweet mengenai peluncurannya.

Apa yang disebut Great Firewall di China memblokir situs web seperti Facebook dan layanan lain seperti Instagram serta Google dan Twitter.

Virtual Private Network atau VPN diperlukan untuk mengakses situs apa pun yang diblokir di Cina. Tetapi aplikasi Tuber mengizinkan pengguna untuk mengakses layanan ini tanpa VPN.

Namun, ada beberapa peringatan untuk aplikasi Tuber. Pengguna harus mendaftar dengan informasi kartu identitas dan nomor telepon mereka, menurut Reuters dan TechCrunch, yang keduanya menguji aplikasi tersebut.

Hasil pencarian di YouTube untuk frasa sensitif politik seperti “Tiananmen” dan “Xi Jinping” tidak memberikan hasil di aplikasi Tuber, menurut TechCrunch.

Aplikasi Tuber tersedia di toko aplikasi Huawei tetapi sudah tidak ada lagi ketika CNBC mengeceknya pada hari Minggu. Aplikasi itu juga tidak tersedia di Apple’s App Store. Situs web aplikasi juga tidak berfungsi. Tidak jelas apakah pemerintah memerintahkan penghapusan aplikasi.

Ketika dimintai keterangan mengenai hal ini, Qihoo 560 tidak memberikan komentar apapun.

Berita selengkapnya:
Source: CNBC

Chrome mengubah cara kerja sistem cache untuk meningkatkan privasi

October 12, 2020 by Winnie the Pooh

Google telah mengubah cara kerja komponen inti browser Chrome untuk menambahkan perlindungan privasi tambahan bagi penggunanya.

Dikenal sebagai Cache HTTP atau Shared Cache, komponen Chrome ini bekerja dengan menyimpan salinan sumber daya yang dimuat di halaman web, seperti gambar, file CSS, dan file JavaScript.

Idenya adalah ketika pengguna mengunjungi kembali situs yang sama atau mengunjungi situs web lain tempat file yang sama digunakan, Chrome akan memuatnya dari cache internalnya, daripada membuang waktu mengunduh ulang setiap file dari awal lagi.

Di semua browser, sistem cache biasanya bekerja dengan cara yang sama. Setiap file gambar, CSS, atau JS yang disimpan dalam cache menerima kunci penyimpanan yang biasanya merupakan URL sumber daya.

Misalnya, kunci penyimpanan untuk gambar akan menjadi URL gambar itu sendiri: https: //x.example/doge.png.

Saat browser memuat halaman baru, browser akan mencari kunci (URL) di dalam database cache internalnya dan melihat apakah perlu mendownload gambar atau memuatnya dari cache.

Sayangnya, selama bertahun-tahun, perusahaan periklanan dan analitik web menyadari bahwa fitur yang sama ini juga dapat disalahgunakan untuk melacak pengguna.

Tetapi dengan Chrome 86, yang dirilis awal minggu ini, Google telah meluncurkan perubahan penting pada mekanisme ini.

Dikenal sebagai “partisi cache”, fitur ini bekerja dengan mengubah cara sumber daya disimpan dalam cache HTTP berdasarkan dua faktor tambahan. Mulai sekarang, kunci penyimpanan sumber daya akan berisi tiga item, bukan satu:

The top-level site domain (http://a.example)
The resource’s current frame (http://c.example)
The resource’s URL (https://x.example/doge.png)

Dengan menambahkan kunci tambahan ke proses pemeriksaan cache pre-load, Chrome telah secara efektif memblokir semua serangan sebelumnya terhadap mekanisme cache, karena sebagian besar komponen situs web hanya akan memiliki akses ke sumber dayanya sendiri dan tidak akan dapat memeriksa sumber daya yang tidak mereka buat sendiri.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Software / Application

Cookies Settings