Bezpečnostní přehled: Aktualizovat RubyGems a Drupal

Pavel Houser , 29. červen 2015 08:30 0 komentářů
Bezpečnostní přehled: Aktualizovat RubyGems a Drupal

Microsoft a Samsung se dohadují kvůli kolizi svých aktualizačních služeb. Jaké triky používá Duqu 2.0? Adobe Reader, prohlížeče i Windows ohrožují chyby ve zpracování fontů. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zalátaný Flash

Adobe vydala mimořádnou opravu pro přehrávač Flash Player, respektive příslušný plug-in. Chyba CVE-2015-3113 je již aktivně zneužívána, útočníci cílí na uživatele MSIE i Firefoxu (v různých kombinacích s verzemi Windows). Záplata je pokládána za kritickou pro Windows a Mac OS X, u Linuxu je riziko zneužití menší. V Chrome a nových verzích MSIE by plug-in měl být aktualizován automaticky. Chybu objevila společnost FireEye.

Bing začne v létě nabízet vyhledávání přes https již ve výchozím nastavení. Dosud si zde tento režim museli uživatelé ručně zapnout (tato možnost byla zavedena loni – i to bylo proti konkurenci relativně pozdě, Google začal https nabízet v roce 2011 a ve výchozím nastavení od roku 2013).

Jak funguje Duqu 2.0

Malware Duqu 2.0 pronikl do sítě bezpečnostního dodavatele Kaspersky Lab zřejmě pomocí ukradených certifikátů čínské společnosti Foxconn. Windows považují takto podepsaný software automaticky za důvěryhodný, protože certifikát vydal Verisign. Podle Kaspersky Lab únik certifikátů Foxconnu podkopává používání certifikátů pro ověřování softwaru jako takové.

Duqu 2 si neukládá žádné informace na disk, běží plně v operační paměti. Jde o jeden z nejsofistikovanějších malwarů současnosti, považuje se za dílo tajných služeb (spekuluje se o Izraeli), respektive srovnatelně bohatých organizací. Na téma Duqu 2 viz také jeden z předcházejících bezpečnostních přehledů Biometrie podle mozkových vln

Alexander Polyakov ze společnosti ERPScan uvedl, že velké množství platforem SAP Hana je v produkčním prostředí provozováno s výchozími kořenovými klíči nebo administrátorskými hesly. Rovněž další bezpečnostní nastavení (vzdálený přístup apod.) bývá často ponecháno v defaultním stavu bez ohledu na konkrétní situaci.

Všudypřítomné chyby při zpracování fontů

Mateusz Jurczyk z Google Project Zero uvádí, že objevil asi 15 různě závažných chyb spojených se zpracováním písem ve Windows, Adobe Readeru i moderních prohlížečích. Prakticky všechno se prý odvozuje od původních implementací Adobe fontů Type 1/OpenType. Jurczyk tvrdí, že zrovna práce s fonty ukazuje na původně nekvalitně napsaný kód, který pak všichni přebírají a pořádně neopravují. Výsledkem Jurczykovy práce jsou konkrétní zranitelnosti (CVE-2015-0060, 0093 a 3052), byť tyto již byly reportovány i nezávisle a jsou opraveny. Ve Windows 10 by se rizika ze zpracování fontů měla snížit, uvedené chyby podle všeho ohrožují jen 32bitové verze systémů.

Kolize aktualizací

Samsung dodává některé počítače se softwarem SWUpdate, který slouží k aktualizaci ovladačů. Problém je v tom, že jedna součást programu (Diable_Windowsupdate.exe) je v kolizi se službou Windows Update. Kauza se přirovnává k problému Lenovo Superfish (viz také: Lenovo již nebude na své laptopy instalovat nebezpečný software). Ne snad, že by SWUpdate jinak zákazníka ohrožoval, ale podle všeho brání v instalaci bezpečnostních aktualizací Microsoftu včetně kritických. Těžko říct, jak tahle koncepce někoho v Samsungu napadla, pochopitelně málokdo z komentátorů to považuje za dobrý nápad. Samsung popírá, že by uživatelům přístup k Windows Update vysloveně zakazoval, volba je prý jen na nich; při plošném povolení aktualizací Microsoftu prý hrozí, že některé ovladače/zařízení Samsungu přestanou fungovat. Jak přesně Diable_Windowsupdate.exe funguje, to zatím není jasné. O záležitosti budou nyní samozřejmě jednat i obě firmy.

Kritická chyba (CVE-2015-3900)) byla objevena v nástroji RubyGems, což je správce balíčku pro platformu Ruby. Útočníci by s pomocí zranitelnosti mohli klienty, kteří přistupují na servery pro distribuci, přesměrovávat na vlastní servery a zde jim podstrčit falešné knihovny nebo aplikace Ruby. Útoky s použitím uvedené zranitelnosti dosud nebyly zaznamenány. Na problém upozornila společnost Trustwave. Oprava již byla mezitím vydána, doporučuje se aktualizovat na verzi RubyGems 2.4.8.

ASLR lze v MSIE obcházet

HP zveřejnilo informace o zero day chybě v Microsoft Internet Exploreru. Samotná zranitelnost se týká ochranné technologie ASLR (znáhodnění adresního prostoru) a Microsoft ji odmítl opravit, protože údajně nemá vliv na výchozí nastavení prohlížeče. Metoda zneužití formou proof-of-concept by měla fungovat ve Windows 7 i Windows 8.1 (pouze 32bitové systémy). HP zdůrazňuje, že podobné zveřejňování informací pokládá v rámci svého programu Zero Day Initiative za výjimečný krok.

CSIRT.CZ varuje

Byly vydány záplaty pro redakční systém Drupal. Nejzávažnější opravená zranitelnost byla v modulu pro OpenID; může vzdálenému útočníkovi umožnit získat přístup k jakémukoliv účtu, včetně administrátorského.

Společnost Eset vydala aktualizaci, která ošetřuje vážnou zranitelnost. Chyba emulátoru umožňovala spustit libovolný kód v průběhu skenování. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

Více než třetina (37 %) internetových uživatelů v ČR věří, že tradiční bankovnictví „u přepážky“ je bezpečnější než to internetové. Vyplývá to z průzkumu Kaspersky Lab a B2B International, který oslovil přes 11 000 uživatelů ve 23 zemích včetně Česka. 87 % dotázaných z ČR používá pro on-line platby své desktopy nebo notebooky, 9 % tablet, 19 % platí pomocí svých chytrých telefonů. Zdroj: tisková zpráva společnosti Kaspersky Lab

Cisco představilo rozšíření své nabídky bezpečnostních prvků integrovaných do sítě. Integrovaná platforma Cisco FirePower 9300 umožní poskytovatelům služeb zabezpečit síťový provoz i při rostoucím objemu přenášených dat. Celkově představitelé Cisca hovoří o koncepci „sítě jako senzoru“. Pro ochranu fyzických i virtuálních serverů je nově k dispozici NetFlow pro Cisco UCS přinášející koncept sítě jako senzoru i do tohoto prostředí. Zdroj: tisková zpráva společnosti Cisco

Patrick Müller byl jmenován na pozici Channel Account Executive Czech Republic & Slovakia společnosti Sophos. Müller posledních 11 let pracoval na různých obchodních pozicích v Symantecu. Zdroj: tisková zpráva společnosti Sophos

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

Starší zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 2 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů