Bezpečnostní přehled: Aktualizovat RubyGems a Drupal

Pavel Houser , 29. červen 2015 08:30 0 komentářů
Bezpečnostní přehled: Aktualizovat RubyGems a Drupal

Microsoft a Samsung se dohadují kvůli kolizi svých aktualizačních služeb. Jaké triky používá Duqu 2.0? Adobe Reader, prohlížeče i Windows ohrožují chyby ve zpracování fontů. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zalátaný Flash

Adobe vydala mimořádnou opravu pro přehrávač Flash Player, respektive příslušný plug-in. Chyba CVE-2015-3113 je již aktivně zneužívána, útočníci cílí na uživatele MSIE i Firefoxu (v různých kombinacích s verzemi Windows). Záplata je pokládána za kritickou pro Windows a Mac OS X, u Linuxu je riziko zneužití menší. V Chrome a nových verzích MSIE by plug-in měl být aktualizován automaticky. Chybu objevila společnost FireEye.

Bing začne v létě nabízet vyhledávání přes https již ve výchozím nastavení. Dosud si zde tento režim museli uživatelé ručně zapnout (tato možnost byla zavedena loni – i to bylo proti konkurenci relativně pozdě, Google začal https nabízet v roce 2011 a ve výchozím nastavení od roku 2013).

Jak funguje Duqu 2.0

Malware Duqu 2.0 pronikl do sítě bezpečnostního dodavatele Kaspersky Lab zřejmě pomocí ukradených certifikátů čínské společnosti Foxconn. Windows považují takto podepsaný software automaticky za důvěryhodný, protože certifikát vydal Verisign. Podle Kaspersky Lab únik certifikátů Foxconnu podkopává používání certifikátů pro ověřování softwaru jako takové.

Duqu 2 si neukládá žádné informace na disk, běží plně v operační paměti. Jde o jeden z nejsofistikovanějších malwarů současnosti, považuje se za dílo tajných služeb (spekuluje se o Izraeli), respektive srovnatelně bohatých organizací. Na téma Duqu 2 viz také jeden z předcházejících bezpečnostních přehledů Biometrie podle mozkových vln

Alexander Polyakov ze společnosti ERPScan uvedl, že velké množství platforem SAP Hana je v produkčním prostředí provozováno s výchozími kořenovými klíči nebo administrátorskými hesly. Rovněž další bezpečnostní nastavení (vzdálený přístup apod.) bývá často ponecháno v defaultním stavu bez ohledu na konkrétní situaci.

Všudypřítomné chyby při zpracování fontů

Mateusz Jurczyk z Google Project Zero uvádí, že objevil asi 15 různě závažných chyb spojených se zpracováním písem ve Windows, Adobe Readeru i moderních prohlížečích. Prakticky všechno se prý odvozuje od původních implementací Adobe fontů Type 1/OpenType. Jurczyk tvrdí, že zrovna práce s fonty ukazuje na původně nekvalitně napsaný kód, který pak všichni přebírají a pořádně neopravují. Výsledkem Jurczykovy práce jsou konkrétní zranitelnosti (CVE-2015-0060, 0093 a 3052), byť tyto již byly reportovány i nezávisle a jsou opraveny. Ve Windows 10 by se rizika ze zpracování fontů měla snížit, uvedené chyby podle všeho ohrožují jen 32bitové verze systémů.

Kolize aktualizací

Samsung dodává některé počítače se softwarem SWUpdate, který slouží k aktualizaci ovladačů. Problém je v tom, že jedna součást programu (Diable_Windowsupdate.exe) je v kolizi se službou Windows Update. Kauza se přirovnává k problému Lenovo Superfish (viz také: Lenovo již nebude na své laptopy instalovat nebezpečný software). Ne snad, že by SWUpdate jinak zákazníka ohrožoval, ale podle všeho brání v instalaci bezpečnostních aktualizací Microsoftu včetně kritických. Těžko říct, jak tahle koncepce někoho v Samsungu napadla, pochopitelně málokdo z komentátorů to považuje za dobrý nápad. Samsung popírá, že by uživatelům přístup k Windows Update vysloveně zakazoval, volba je prý jen na nich; při plošném povolení aktualizací Microsoftu prý hrozí, že některé ovladače/zařízení Samsungu přestanou fungovat. Jak přesně Diable_Windowsupdate.exe funguje, to zatím není jasné. O záležitosti budou nyní samozřejmě jednat i obě firmy.

Kritická chyba (CVE-2015-3900)) byla objevena v nástroji RubyGems, což je správce balíčku pro platformu Ruby. Útočníci by s pomocí zranitelnosti mohli klienty, kteří přistupují na servery pro distribuci, přesměrovávat na vlastní servery a zde jim podstrčit falešné knihovny nebo aplikace Ruby. Útoky s použitím uvedené zranitelnosti dosud nebyly zaznamenány. Na problém upozornila společnost Trustwave. Oprava již byla mezitím vydána, doporučuje se aktualizovat na verzi RubyGems 2.4.8.

ASLR lze v MSIE obcházet

HP zveřejnilo informace o zero day chybě v Microsoft Internet Exploreru. Samotná zranitelnost se týká ochranné technologie ASLR (znáhodnění adresního prostoru) a Microsoft ji odmítl opravit, protože údajně nemá vliv na výchozí nastavení prohlížeče. Metoda zneužití formou proof-of-concept by měla fungovat ve Windows 7 i Windows 8.1 (pouze 32bitové systémy). HP zdůrazňuje, že podobné zveřejňování informací pokládá v rámci svého programu Zero Day Initiative za výjimečný krok.

CSIRT.CZ varuje

Byly vydány záplaty pro redakční systém Drupal. Nejzávažnější opravená zranitelnost byla v modulu pro OpenID; může vzdálenému útočníkovi umožnit získat přístup k jakémukoliv účtu, včetně administrátorského.

Společnost Eset vydala aktualizaci, která ošetřuje vážnou zranitelnost. Chyba emulátoru umožňovala spustit libovolný kód v průběhu skenování. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

Více než třetina (37 %) internetových uživatelů v ČR věří, že tradiční bankovnictví „u přepážky“ je bezpečnější než to internetové. Vyplývá to z průzkumu Kaspersky Lab a B2B International, který oslovil přes 11 000 uživatelů ve 23 zemích včetně Česka. 87 % dotázaných z ČR používá pro on-line platby své desktopy nebo notebooky, 9 % tablet, 19 % platí pomocí svých chytrých telefonů. Zdroj: tisková zpráva společnosti Kaspersky Lab

Cisco představilo rozšíření své nabídky bezpečnostních prvků integrovaných do sítě. Integrovaná platforma Cisco FirePower 9300 umožní poskytovatelům služeb zabezpečit síťový provoz i při rostoucím objemu přenášených dat. Celkově představitelé Cisca hovoří o koncepci „sítě jako senzoru“. Pro ochranu fyzických i virtuálních serverů je nově k dispozici NetFlow pro Cisco UCS přinášející koncept sítě jako senzoru i do tohoto prostředí. Zdroj: tisková zpráva společnosti Cisco

Patrick Müller byl jmenován na pozici Channel Account Executive Czech Republic & Slovakia společnosti Sophos. Müller posledních 11 let pracoval na různých obchodních pozicích v Symantecu. Zdroj: tisková zpráva společnosti Sophos

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Procesor Exynos 9 Series má zvýšit výkon mobilních zařízení

Pavel Houser , 27. únor 2017 14:43

Procesor je vyrobený 10nm FinFET technologií.

...

Více 0 komentářů

Navrhované daňové změny mohou způsobit odliv IT specialistů

ITBiz.cz , 27. únor 2017 12:00

Návrh ČSSD na zavedení daňové progrese by mohl výrazným způsobem ohrozit oblast podnikových služeb, ...

Více 7 komentářů

V USA zemřel hráč PC her během 24hodinového herního maratonu

ČTK , 27. únor 2017 10:00

Ve Spojených státech zemřel hráč počítačových her během 24hodinového herního maratonu, jehož cílem b...

Více 0 komentářů

Starší zprávičky

Samsung představil nové Gear VR s ovladačem

ITBiz.cz , 26. únor 2017 20:23

Samsung představil zcela nové brýle Gear VR s ovladačem, kterými rozšiřuje vlastní portfolio zařízen...

Více 0 komentářů

3 nové smartphony Nokia s Androidem

ITBiz.cz , 26. únor 2017 20:12

Znovuzrození se dočkala Nokia 3310....

Více 1 komentářů

Acer uvádí smartphony Liquid Z6E

ITBiz.cz , 26. únor 2017 19:38

Technologie BlueLightShield snižuje míru vystavení modrému světlu....

Více 0 komentářů

V Barceloně začíná Mobile World Congress 2017

ITBiz.cz , 26. únor 2017 16:14

LG G6 je jednou z prvním novinek představených v Barceloně. Smarpthone pro sledování videa a fotogra...

Více 0 komentářů