Bezpečnostní přehled: Aktualizovat RubyGems a Drupal

Pavel Houser , 29. červen 2015 08:30 0 komentářů
Bezpečnostní přehled: Aktualizovat RubyGems a Drupal

Microsoft a Samsung se dohadují kvůli kolizi svých aktualizačních služeb. Jaké triky používá Duqu 2.0? Adobe Reader, prohlížeče i Windows ohrožují chyby ve zpracování fontů. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zalátaný Flash

Adobe vydala mimořádnou opravu pro přehrávač Flash Player, respektive příslušný plug-in. Chyba CVE-2015-3113 je již aktivně zneužívána, útočníci cílí na uživatele MSIE i Firefoxu (v různých kombinacích s verzemi Windows). Záplata je pokládána za kritickou pro Windows a Mac OS X, u Linuxu je riziko zneužití menší. V Chrome a nových verzích MSIE by plug-in měl být aktualizován automaticky. Chybu objevila společnost FireEye.

Bing začne v létě nabízet vyhledávání přes https již ve výchozím nastavení. Dosud si zde tento režim museli uživatelé ručně zapnout (tato možnost byla zavedena loni – i to bylo proti konkurenci relativně pozdě, Google začal https nabízet v roce 2011 a ve výchozím nastavení od roku 2013).

Jak funguje Duqu 2.0

Malware Duqu 2.0 pronikl do sítě bezpečnostního dodavatele Kaspersky Lab zřejmě pomocí ukradených certifikátů čínské společnosti Foxconn. Windows považují takto podepsaný software automaticky za důvěryhodný, protože certifikát vydal Verisign. Podle Kaspersky Lab únik certifikátů Foxconnu podkopává používání certifikátů pro ověřování softwaru jako takové.

Duqu 2 si neukládá žádné informace na disk, běží plně v operační paměti. Jde o jeden z nejsofistikovanějších malwarů současnosti, považuje se za dílo tajných služeb (spekuluje se o Izraeli), respektive srovnatelně bohatých organizací. Na téma Duqu 2 viz také jeden z předcházejících bezpečnostních přehledů Biometrie podle mozkových vln

Alexander Polyakov ze společnosti ERPScan uvedl, že velké množství platforem SAP Hana je v produkčním prostředí provozováno s výchozími kořenovými klíči nebo administrátorskými hesly. Rovněž další bezpečnostní nastavení (vzdálený přístup apod.) bývá často ponecháno v defaultním stavu bez ohledu na konkrétní situaci.

Všudypřítomné chyby při zpracování fontů

Mateusz Jurczyk z Google Project Zero uvádí, že objevil asi 15 různě závažných chyb spojených se zpracováním písem ve Windows, Adobe Readeru i moderních prohlížečích. Prakticky všechno se prý odvozuje od původních implementací Adobe fontů Type 1/OpenType. Jurczyk tvrdí, že zrovna práce s fonty ukazuje na původně nekvalitně napsaný kód, který pak všichni přebírají a pořádně neopravují. Výsledkem Jurczykovy práce jsou konkrétní zranitelnosti (CVE-2015-0060, 0093 a 3052), byť tyto již byly reportovány i nezávisle a jsou opraveny. Ve Windows 10 by se rizika ze zpracování fontů měla snížit, uvedené chyby podle všeho ohrožují jen 32bitové verze systémů.

Kolize aktualizací

Samsung dodává některé počítače se softwarem SWUpdate, který slouží k aktualizaci ovladačů. Problém je v tom, že jedna součást programu (Diable_Windowsupdate.exe) je v kolizi se službou Windows Update. Kauza se přirovnává k problému Lenovo Superfish (viz také: Lenovo již nebude na své laptopy instalovat nebezpečný software). Ne snad, že by SWUpdate jinak zákazníka ohrožoval, ale podle všeho brání v instalaci bezpečnostních aktualizací Microsoftu včetně kritických. Těžko říct, jak tahle koncepce někoho v Samsungu napadla, pochopitelně málokdo z komentátorů to považuje za dobrý nápad. Samsung popírá, že by uživatelům přístup k Windows Update vysloveně zakazoval, volba je prý jen na nich; při plošném povolení aktualizací Microsoftu prý hrozí, že některé ovladače/zařízení Samsungu přestanou fungovat. Jak přesně Diable_Windowsupdate.exe funguje, to zatím není jasné. O záležitosti budou nyní samozřejmě jednat i obě firmy.

Kritická chyba (CVE-2015-3900)) byla objevena v nástroji RubyGems, což je správce balíčku pro platformu Ruby. Útočníci by s pomocí zranitelnosti mohli klienty, kteří přistupují na servery pro distribuci, přesměrovávat na vlastní servery a zde jim podstrčit falešné knihovny nebo aplikace Ruby. Útoky s použitím uvedené zranitelnosti dosud nebyly zaznamenány. Na problém upozornila společnost Trustwave. Oprava již byla mezitím vydána, doporučuje se aktualizovat na verzi RubyGems 2.4.8.

ASLR lze v MSIE obcházet

HP zveřejnilo informace o zero day chybě v Microsoft Internet Exploreru. Samotná zranitelnost se týká ochranné technologie ASLR (znáhodnění adresního prostoru) a Microsoft ji odmítl opravit, protože údajně nemá vliv na výchozí nastavení prohlížeče. Metoda zneužití formou proof-of-concept by měla fungovat ve Windows 7 i Windows 8.1 (pouze 32bitové systémy). HP zdůrazňuje, že podobné zveřejňování informací pokládá v rámci svého programu Zero Day Initiative za výjimečný krok.

CSIRT.CZ varuje

Byly vydány záplaty pro redakční systém Drupal. Nejzávažnější opravená zranitelnost byla v modulu pro OpenID; může vzdálenému útočníkovi umožnit získat přístup k jakémukoliv účtu, včetně administrátorského.

Společnost Eset vydala aktualizaci, která ošetřuje vážnou zranitelnost. Chyba emulátoru umožňovala spustit libovolný kód v průběhu skenování. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

Více než třetina (37 %) internetových uživatelů v ČR věří, že tradiční bankovnictví „u přepážky“ je bezpečnější než to internetové. Vyplývá to z průzkumu Kaspersky Lab a B2B International, který oslovil přes 11 000 uživatelů ve 23 zemích včetně Česka. 87 % dotázaných z ČR používá pro on-line platby své desktopy nebo notebooky, 9 % tablet, 19 % platí pomocí svých chytrých telefonů. Zdroj: tisková zpráva společnosti Kaspersky Lab

Cisco představilo rozšíření své nabídky bezpečnostních prvků integrovaných do sítě. Integrovaná platforma Cisco FirePower 9300 umožní poskytovatelům služeb zabezpečit síťový provoz i při rostoucím objemu přenášených dat. Celkově představitelé Cisca hovoří o koncepci „sítě jako senzoru“. Pro ochranu fyzických i virtuálních serverů je nově k dispozici NetFlow pro Cisco UCS přinášející koncept sítě jako senzoru i do tohoto prostředí. Zdroj: tisková zpráva společnosti Cisco

Patrick Müller byl jmenován na pozici Channel Account Executive Czech Republic & Slovakia společnosti Sophos. Müller posledních 11 let pracoval na různých obchodních pozicích v Symantecu. Zdroj: tisková zpráva společnosti Sophos

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů