Bezpečnostní riziko v iOS Twitter klientu 3.3.0

Zdroják » Zprávičky » Bezpečnostní riziko v iOS Twitter klientu 3.3.0

Nálepky:

Různé

Ve verzi Twitter Client 3.3.0 pro iOS (iPad, iPhone) a předchozích existuje bezpečnostní díra, která umožňuje spustit Javaskriptový kód, vložený do tweetů. Pomocí tohoto kódu je možné vyvolat akci OS. Ukázku možného průniku nabízí James Whelton. Chyba je v nejnovější aktualizaci 3.3.1 opravena. Jedná se ale o hezkou ukázku toho, že není potřeba „lézt na infikované stránky“ a že napadnutelný klient už není jen webový prohlížeč; útok může vést i z tohoto směru a může být veden za použití běžných prostředků.

Martin Malý

Začal programovat v roce 1984 s programovatelnou kalkulačkou. Pokračoval k BASICu, assembleru Z80, Forthu, Pascalu, Céčku, dalším assemblerům, před časem v PHP a teď by rád neprogramoval a radši se věnoval starým počítačům.

Komentáře

Odebírat

0 Komentářů

Nejstarší

Nejnovější Most Voted

Inline Feedbacks

Zobrazit všechny komentáře

Konec npm tokenů: publikujte balíčky bez secrets přes GitHub Actions

Publikování npm balíčků pomocí dlouhodobých tokenů uložených v GitHub Secrets je pohodlné, ale riskantní. Od léta 2025 nabízí npm elegantnější řešení: Trusted Publishers s OIDC autentizací, které tokeny zcela nahrazují. Žádné secrets, žádná rotace, žádný únik přihlašovacích údajů z logů. Ukážeme si, jak vše nastavit za pár minut.

Spec-driven development není documentation-first. Je to contract-first.

Spec-driven development se stal jednou z nejviditelnějších odpovědí na vibe coding. Kiro od AWS, GitHub Spec Kit a Tessl ale pod stejným názvem dělají odlišné věci. Článek rozebírá, co SDD skutečně je, kde má smysl a kde jen přesouvá práci z kódu do Markdownu.

Jak zabezpečit WordPress: Praktický průvodce

WordPress pohání přes 40 % všech webů na světě. To z něj dělá nejrozšířenější CMS a zároveň nejčastější terč automatizovaných útoků. Boti nepotřebují cílit přímo na vás: systematicky procházejí miliony domén a hledají otevřené dveře. Stačí zapomenutý plugin bez aktualizace, výchozí prefix databáze nebo heslo z uniklé databáze. Tento článek není seznam pluginů. Je to průvodce od základů přes hardening konfigurace až po serverové zabezpečení s konkrétními kroky, které můžete udělat ještě dnes.

Bezpečnostní riziko v iOS Twitter klientu 3.3.0

Nálepky:

Martin Malý

Komentáře

Konec npm tokenů: publikujte balíčky bez secrets přes GitHub Actions

Spec-driven development není documentation-first. Je to contract-first.

Jak zabezpečit WordPress: Praktický průvodce

Sledujte Zdroják:

Hádej co? Cookies!