Bezpečnostní přehled: Flash musel být látán několikrát

Pavel Houser , 20. červenec 2015 08:00 0 komentářů
Bezpečnostní přehled: Flash musel být látán několikrát

Dozvuky útoku na společnost Hacking Team. Zřejmě poslední záplaty pro Windows Server 2003. Zneužívaná zero day zranitelnost v Javě. Možnost manipulace s výsledky vyhledávání u Googlu. Jak se Seznam.cz staví k přechodu na protokol https. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Červencové opravy Microsoftu

Microsoft vydal své červencové záplaty. Některé z opravených zranitelností byly obsaženy i v seznamech zero day exploitů uniklých při útoku na společnost Hacking Team. Celkem 14 bulletinů zabezpečení řeší 59 chyb. Co se týče kritických oprav: MS15-065 je kritickou kumulativní opravou pro Internet Explorer, některé ze zranitelností umožňují vzdálené spuštění kódu. MS15-066 je kritická záplata pro starší verze Internet Exploreru, chyba opět umožňuje spuštění kódu (při zpracování VBScriptu). MS15-067 látá kritickou chybu v protokolu RDP, dotčenými systémy jsou Windows 7, Windows 8 a Server 2012. MS15-068 opravuje systémy, na nichž se provozuje virtualizační technologie MS HyperV – kvůli chybě může aplikace na hostovaném systému obejít hypervisor a spustit kód na hostitelské vrstvě. Opravy se statutem důležitých jsou kromě Windows a Internet Exploreru určeny také pro MS SQL Server a MS Office.

Končí Windows Server 2003

Skončila podpora pro Windows Server 2003, což mj. znamená, že dále už pro tento OS nebudou vydávány bezpečnostní aktualizace. Červencové opravy byly poslední (pravděpodobně – u Windows XP Microsoft loni udělal ještě jednu výjimku i „po termínu“). Viz také: Windows Server 2003 - časovaná bomba, MS Windows Server 2003: Proč se upgrade odkládá

Rovněž tak skončila aktualizace/podpora bezpečnostních nástrojů Microsoftu (Security Essentials a další) pro Windows XP. Tento OS je tak nyní ještě více vystaven útočníkům, podle některých statistik se přitom dosud používá na cca 12 % počítačích přistupujících k webu. V loňském roce byly bezpečnostní problémy objeveny až u 10 % počítačů s Windows XP (možná názornější relativní čísla: míra infekce minimálně 2x vyšší než u novějších OS Microsoftu).

Flash a další záplaty Adobe

Ještě ke kauze Hacking Team a mezitím plošně medializovaným chybám v přehrávači Adobe Flash. Zneužívané zranitelnosti vedly i k tomu, že ve Firefoxu byl plug-in pro Flash dočasně plošně zablokován. Podle informací byly útoky pomocí těchto chyb provedeny (v první fázi) především na cíle v Jižní Koreji. Situace byla poměrně nepřehledná, když byly vydány opravy, ale vzápětí se objevily nové chyby. Verze po posledních záplatách by měla mít číslo 18.0.0.209. V Internet Exploreru i Chrome by se již měl plug-in aktualizovat automaticky, Firefox nutí uživatele přejít na novou verzi. Viz také předcházející bezpečnostní přehled: Kolik nabízí FBI za autora malwaru Zeus

Adobe vydala rovněž opravy pro Acrobat, Reader a Shockwave. I tyto balíčky mají statut kritických, obvykle na všech podporovaných platformách. U Adobe Readeru si lze nastavit automatickou instalaci aplikací. Čísla aktuálních verzí: Shockwave 12.1.9.159, Reader 11.0.12.

Eskalace oprávnění ve VMware

Reportovány byly zranitelnosti v desktopových produktech VMware: klientech Workstation, Player a Horizon View. Chyba se týká seznamu řízení přístupu a může se projevit eskalací uživatelských oprávnění. Vzdálené zneužití by možné být nemělo, i tak se ale doporučuje rychle nasadit opravu, prostupná virtualizační vrstva ohrožuje infrastrukturu jako celek a při útocích lze kombinovat s dalšími chybami.

Java i databáze Oracle

Objevila se rovněž nová zero day chyba v implementaci Javy (CVE-2015-2590) a již je aktivně zneužívána – tam, kde je Java v prohlížečích povolena. Na probíhající kampaň (operace PawnStorm) upozornila společnost Trend Micro. Oracle rychle vydal opravu – v rámci kompletní čtvrtletní sady aktualizací, která látá celkem 193 zranitelností.

Eric Maurice z Oraclu uvedl, že aktualizace zahrnují i celou řadu dalších kritických oprav pro Javu (klient i server), nicméně kromě výše uvedené nejsou zatím zatím známy případy pokusů o zneužívání. Další záplaty pokrývají prakticky celé portfolio produktů Oracle, navíc ještě software třetích stran, který Oracle zahrnuje do svých distribucí. Maurce speciálně doporučuje urychleně nasadit opravu pro databázi Oracle CVE-2015-2629.

CSIRT.CZ varuje

Společnost Sophos objevila nový trik manipulující s výsledky vyhledávání Google. Mechanismus využívá PDF soubory, jejichž obsahu zřejmě algoritmus společnosti Google důvěřuje více než obsahu klasických HTML stránek.

Ze světa firem

Eset File Security bude k dispozici i jako rozšíření pro virtuální zařízení na cloudové platformě Microsoft Azure. Zdroj: tisková zpráva společnosti Eset

Na trh přichází Symantec Endpoint Protection 12.1.6. Nová verze nabízí mj. funkce dostupné v současné verzi produktu Symantec Endpoint Protection for Windows XP Embedded 5.1. Na vestavěných platformách nebude tedy nyní nutné užívat separátní bezpečnostní řešení. Optimalizace pro embedded systémy zahrnuje omezenou velikosti klienta i definic malwaru, takže řešení by dle Symantecu nemělo znatelně ovlivňovat výkon ani v případech speciálních nasazení typu pokladních systémů. Zdroj: tisková zpráva společnosti Symantec

Představena byla nejnovější verze Kaspersky Small Office Security pro podniky s méně než 50 zaměstnanci. Řešení je dostupné i klientům v ČR. Podle dodavatele obsahuje aktuální verze např. vylepšený modul SafeMoney pro ochranu finančních transakcí a nový systém pro správu hesel. Zdroj: tisková zpráva společnosti Kaspersky Lab

Check Point představil bezpečnostní bránu 1200R, řešení pro průmyslové řídicí systémy (ICS/SCADA). Brána je určená pro nepřístupná a drsná prostředí a vzdálené nasazení, jako například v odlehlých elektrických rozvodnách nebo v závodech pro výrobu elektrické energie. Zařízení je bez ventilátorů a pohyblivých částí, rozsah provozních teplot se pohybuje od -40 °C do 75 °C. Zdroj: tisková zpráva společnosti Check Point Software Technologies

Seznam doporučuje prozatím odložit přechod na protokol https. „Zjistili jsme, že stejná stránka je po přechodu z protokolu http na https crawlovaná o něco pomaleji a rankovaná o trochu hůře,“ uvádí Seznam.cz. Výsledkem může být, že https stránka se bude ve výsledku vyhledávání řadit hůře. Seznam přepracovává indexaci a rankování https stránek, jejich znevýhodnění ve výsledcích vyhledávání by mělo zmizet na konci prázdnin. Zdroj: tisková zpráva/blog společnosti Seznam.cz

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
30. 01. Ecommerce Expo Prague 2017
RSS 

Zprávičky

Spotify a Tencent se propojují

ČTK , 10. prosinec 2017 08:00

Přední světová služba pro streamování hudby Spotify a čínská konkurenční firma Tencent Music Enterta...

Více 0 komentářů

Bezpečnostní politika firem brání plně využít potenciál IoT

Pavel Houser , 09. prosinec 2017 08:00

Tři čtvrtiny účastníků průzkumu EY Global Information Security Survey 2017 pokládají za nejpravděpod...

Více 4 komentářů

Globální výdaje na bezpečnost IT porostou v příštím roce o 8 % na 96 miliard dolarů

Pavel Houser , 08. prosinec 2017 10:57

Nejrychleji porostou řešení SIEM, testování IT bezpečnosti a její outsourcing. ...

Více 1 komentářů

Starší zprávičky

Soud EU: Luxusní značky mohou zakázat internetový prodej zboží

ČTK , 08. prosinec 2017 10:00

Oponenti poukazují na to, že omezení prodejů jde proti hospodářské soutěži....

Více 1 komentářů

Agentura pro satelitní systém Galileo přinesla ČR miliardu korun

ČTK , 08. prosinec 2017 08:00

V současné době je na oběžné dráze 18 satelitů, vypuštění dalších čtyř je naplánováno na 12. prosine...

Více 0 komentářů

Cena bitcoinu se vyhoupla přes 15 000 dolarů (aktualizace)

ČTK , 07. prosinec 2017 13:55

Ceně pomáhá očekávané spuštění obchodování s bitcoinovými termínovými kontrakty....

Více 1 komentářů

Český start-up Kiwi.com je na prodej za nejméně 10 mld Kč

ČTK , 07. prosinec 2017 12:15

Akcionáři on-line prodejce letenek si odhlasovali, že vyberou poradenskou firmu, která jim pomůže s ...

Více 0 komentářů