Leaderboard

Google has patched a bug in its feedback tool incorporated across its services that could be exploited by an attacker to potentially steal screenshots of sensitive Google Docs documents simply by embedding them in a malicious website. The flaw was discovered on July 9 by security researcher Sreeram KL, for which he was awarded $3133.70 as part of Google's Vulnerability Reward Program. Many of Google's products, including Google Docs, come with a "Send feedback" or "Help Docs improve" option that allows users to send feedback along with an option to include a screenshot — something that's automatically loaded to highlight specific issues. But instead of having to duplicate the same functionality across its services, the feedback feature is deployed in Google's main website ("www.google.com") and integrated to other domains via an iframe element that loads the pop-up's content from "feedback.googleusercontent.com." This also means that whenever a screenshot of the Google Docs window is included, rendering the image necessitates the transmission of RGB values of every pixel to the parent domain (www.google.com), which then redirects those RGB values to the feedback's domain, which ultimately constructs the image and sends it back in Base64 encoded format. Sreeram, however, identified a bug in the manner these messages were passed to "feedback.googleusercontent.com," thus allowing an attacker to modify the frame to an arbitrary, external website, and in turn, steal and hijack Google Docs screenshots which were meant to be uploaded to Google's servers. Notably, the flaw stems from a lack of X-Frame-Options header in the Google Docs domain, which made it possible to change the target origin of the message and exploit the cross-origin communication between the page and the frame contained in it. While the attack requires some form of user interaction — i.e. clicking the "Send feedback" button — an exploit could easily leverage this weakness to capture the URL of the uploaded screenshot and exfiltrate it to a malicious site. This can be achieved by embedding a Google Docs file in an iFrame on a rogue website and hijacking the feedback pop-up frame to redirect the contents to a domain of the attacker's choice. Failing to provide a target origin during cross-origin communication raises security concerns in that it discloses the data that's sent to any website. "Always specify an exact target origin, not *, when you use postMessage to send data to other windows," Mozilla documentation states. "A malicious site can change the location of the window without your knowledge, and therefore it can intercept the data sent using postMessage." Source: https://thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html

La ING deja se face confirmarea tranzactiilor prin internet banking. Bagi datele de card pe site si apoi, in loc de 3d secure, te pune sa confirmi pe telefon logandu-te in aplicatie.

@whistler Sa mori tu ? daca citeai mai atent poate vedeai ca am scris venituri nedeclarate ... nu o sa dureze mult pana cei de la ANAF vor avea control si acestor tip de tranzactii gen olx nu fi fraier mergi la ei si intereseaza-te sa vezi ca nu ma dau cocos cum spui tu atat timp tu cat produci un ban in plus nefiind din salarii pensii sau mai stiu eu ce alte tipuri de venituri care sunt oprite taxele din start mergi la ei si spune-le ca ai vandut o masina lu x si vrei sa platesti taxele pentru ca ai obtinut suma de xxx sa vedem oare ai sa mai fii asa tare sa comentezi ? daca am toate datele tale si le fac o notificare ca tu obtii venituri nedeclarate cred ca ai sa fii uimit si aici :))) pana si la pariuri cam pe la sfarsitul anului sau chiar la inceput de an la cele online ma refer iti vine notificare ca trebuie sa palatesti din castiguri la ANAF... si hai sa lecturam putin daca tot spui ca sunt pe langa subiect ia de aici -> https://www.mfinante.gov.ro/static/10/Mfp/legislatie/cod_fiscal/titlul_3.htm P.S. si pentru windows-ul ala care tu il descarci de pe filelist si il folosesti pe pc ANAF pentru simplu fapt ca nu ai licenta la el cumparata iti confisca hdd-ul desteptule ca sa nu mai fii rotund in necunostinta de cauza...

Notebook pentru cei care n`au ce face cu banii ... Nu inteleg pentru ce ai avea nevoie de atata putere iar daca ai nevoie neaparat de atata putere , iti iei un desktop

Man chiar zilele astea i-am facut la un amic un PC pentru gaming (entry-level) cu urmatoarele: HP Z600 v1 - refurbished 2 x Intel Xeon X5570 @ 2.93 GHz (3.33 GHz Max Turbo) 4C/8T 12 GB DDR3 Memory @ 1333 MHz 500 GB HDD AMD Firepro 2260 256 MB (2 x DP) Graphics Card Pret: £101 P&P inclus (ebay) AMD Radeon HD 6850 - 1GB GDDR5 - refurbished Pret: £15 P&P inclus (ebay) XUM HD SSD 256GB - nou Pret: £27 P&P inclus (amazon) Eu zic sa dai o geana pe ebay si sa iti faci din bucati sau uita-te pe https://www.bargainhardware.co.uk/ (putin mai scump) dar gasesti treburi bune la preturi decente.

Sa duca placa la 1660 CE ? Presupunand ca te referi la placa de baza ... totusi 1660 CE ? HDD nu discutam. Ram merge. Nu iti gasesc efectiv modelul de placa de baza ca sa pot sa-mi dau cu parerea. Daca e ASrock AB350m inseamna ca e microATX deci o sa ai 2 sloturi de RAM. Probabil un max 32 de giga pe ea. Placa video iarasi ... 1060 6gb nu prea ne ajuta: Una e sa ai un ASUS ROG Strix 1060 OC Gaming in 6gb si alta e un ZOTAC 1060 tot in 6gb. Vezi placa video daca-ti merge in 192 bitzi ( macar ). Si placa de baza suport si un upgrade catre ryzen 5 3600. Sursa de cat e la asta ? Macar un 600 sa ai pe sistem. @Kev ai vreun prieten cu procesoare AMD sa ne spuna cum ryzen 7 e mai slab decat ryzen 5 ?

Nu stiu daca a fost raportat deja atacul, scriptul pare a fi din perioada 2016-2018, dar, din ce m-am uitat peste el, face request-uri cu user agent de IE 7 pe Windows 7 si asteapta comenzi de la urmatoarele C&C: giftmall.xyz plfongoods.xyz jormedmall.xyz dsnycesale.xyz oedipegoods.xyz Domeniile sunt cu nameservere de Alibaba dar puncteaza catre IP-uri de Linode. Toate domeniile sunt inregistrate cu nume de americani (se vad pe whois). Site-urile, daca le accesezi, afiseaza o pagina de login in chineza. Chestia asta plus faptul ca o parte din script e in chineza ma fac sa ma gandesc ca atacul e din China. Am gasit in cache-ul de Google alte C&C-uri cautand dupa "define("GETDOM",getthisdom());": taxcupdigital.xyz wydingtrans.xyz satpoaweb.xyz recaeldata.xyz crsrefcenter.xyz vipeeshost.xyz webintsoure.xyz lokvaldigital.xyz hnosostrans.xyz hozemoweb.xyz datascenter.pw japandata.pw digitalja.pw datatrans.pw digitalnetwork.pw eatmhgdata.xyz tqmgrpcenter.xyz avordesoure.xyz gulbendigital.xyz tignoltrans.xyz

ONTOPIC. PRIMA evident. Placa de baza - Supports Intel® 14 nm CPU ( din cate am inteles Intel vrea sa scoata de acu inainte pe 10 nm ) - NU-ti fac griji o sa tina procesorul asta mult si bine. - Grija ca maximul e 32 de giga de ram pe placa. Deci sa fii atent daca vrei sa te duci mai sus de 32 de giga cu un upgrade pe viitor. HDD merge pentru jocuri ... eu am de 2 terra pt stocare tot de la Seagate si-s multumit. SSD-ul ala oricand il poti schimbat linistit cu ceva mai performant pe viitor. Dar e bun. Merge. Cat despre GPU mergi aici sa-ti faci o idee despre ce jocuri iti ruleaza fin pe ea si ce merge la limita. OFFTOPIC: Bă @Kev asta cu procesoarele a fost cam asa: LAPTELE E ALB. Sa stii ca sunt vreo 4 generatii de i7 scoase de intel pana acu. Si da: sunt i7 mai slabe ca i5 pentru ca is facute cu un scop anume. Ambele au 4 cores de baza dar nu asta le diferentiaza ci hyper-threadingul. SPRE EXEMPLU un i5–6500 14nm gen e cam cu 50% mai rapid decat un i7–920 45nm. O stii pe aia cu morfina @Kev?