Bezpečnostní přehled: Flash musel být látán několikrát

Pavel Houser , 20. červenec 2015 08:00 0 komentářů
Bezpečnostní přehled: Flash musel být látán několikrát

Dozvuky útoku na společnost Hacking Team. Zřejmě poslední záplaty pro Windows Server 2003. Zneužívaná zero day zranitelnost v Javě. Možnost manipulace s výsledky vyhledávání u Googlu. Jak se Seznam.cz staví k přechodu na protokol https. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Červencové opravy Microsoftu

Microsoft vydal své červencové záplaty. Některé z opravených zranitelností byly obsaženy i v seznamech zero day exploitů uniklých při útoku na společnost Hacking Team. Celkem 14 bulletinů zabezpečení řeší 59 chyb. Co se týče kritických oprav: MS15-065 je kritickou kumulativní opravou pro Internet Explorer, některé ze zranitelností umožňují vzdálené spuštění kódu. MS15-066 je kritická záplata pro starší verze Internet Exploreru, chyba opět umožňuje spuštění kódu (při zpracování VBScriptu). MS15-067 látá kritickou chybu v protokolu RDP, dotčenými systémy jsou Windows 7, Windows 8 a Server 2012. MS15-068 opravuje systémy, na nichž se provozuje virtualizační technologie MS HyperV – kvůli chybě může aplikace na hostovaném systému obejít hypervisor a spustit kód na hostitelské vrstvě. Opravy se statutem důležitých jsou kromě Windows a Internet Exploreru určeny také pro MS SQL Server a MS Office.

Končí Windows Server 2003

Skončila podpora pro Windows Server 2003, což mj. znamená, že dále už pro tento OS nebudou vydávány bezpečnostní aktualizace. Červencové opravy byly poslední (pravděpodobně – u Windows XP Microsoft loni udělal ještě jednu výjimku i „po termínu“). Viz také: Windows Server 2003 - časovaná bomba, MS Windows Server 2003: Proč se upgrade odkládá

Rovněž tak skončila aktualizace/podpora bezpečnostních nástrojů Microsoftu (Security Essentials a další) pro Windows XP. Tento OS je tak nyní ještě více vystaven útočníkům, podle některých statistik se přitom dosud používá na cca 12 % počítačích přistupujících k webu. V loňském roce byly bezpečnostní problémy objeveny až u 10 % počítačů s Windows XP (možná názornější relativní čísla: míra infekce minimálně 2x vyšší než u novějších OS Microsoftu).

Flash a další záplaty Adobe

Ještě ke kauze Hacking Team a mezitím plošně medializovaným chybám v přehrávači Adobe Flash. Zneužívané zranitelnosti vedly i k tomu, že ve Firefoxu byl plug-in pro Flash dočasně plošně zablokován. Podle informací byly útoky pomocí těchto chyb provedeny (v první fázi) především na cíle v Jižní Koreji. Situace byla poměrně nepřehledná, když byly vydány opravy, ale vzápětí se objevily nové chyby. Verze po posledních záplatách by měla mít číslo 18.0.0.209. V Internet Exploreru i Chrome by se již měl plug-in aktualizovat automaticky, Firefox nutí uživatele přejít na novou verzi. Viz také předcházející bezpečnostní přehled: Kolik nabízí FBI za autora malwaru Zeus

Adobe vydala rovněž opravy pro Acrobat, Reader a Shockwave. I tyto balíčky mají statut kritických, obvykle na všech podporovaných platformách. U Adobe Readeru si lze nastavit automatickou instalaci aplikací. Čísla aktuálních verzí: Shockwave 12.1.9.159, Reader 11.0.12.

Eskalace oprávnění ve VMware

Reportovány byly zranitelnosti v desktopových produktech VMware: klientech Workstation, Player a Horizon View. Chyba se týká seznamu řízení přístupu a může se projevit eskalací uživatelských oprávnění. Vzdálené zneužití by možné být nemělo, i tak se ale doporučuje rychle nasadit opravu, prostupná virtualizační vrstva ohrožuje infrastrukturu jako celek a při útocích lze kombinovat s dalšími chybami.

Java i databáze Oracle

Objevila se rovněž nová zero day chyba v implementaci Javy (CVE-2015-2590) a již je aktivně zneužívána – tam, kde je Java v prohlížečích povolena. Na probíhající kampaň (operace PawnStorm) upozornila společnost Trend Micro. Oracle rychle vydal opravu – v rámci kompletní čtvrtletní sady aktualizací, která látá celkem 193 zranitelností.

Eric Maurice z Oraclu uvedl, že aktualizace zahrnují i celou řadu dalších kritických oprav pro Javu (klient i server), nicméně kromě výše uvedené nejsou zatím zatím známy případy pokusů o zneužívání. Další záplaty pokrývají prakticky celé portfolio produktů Oracle, navíc ještě software třetích stran, který Oracle zahrnuje do svých distribucí. Maurce speciálně doporučuje urychleně nasadit opravu pro databázi Oracle CVE-2015-2629.

CSIRT.CZ varuje

Společnost Sophos objevila nový trik manipulující s výsledky vyhledávání Google. Mechanismus využívá PDF soubory, jejichž obsahu zřejmě algoritmus společnosti Google důvěřuje více než obsahu klasických HTML stránek.

Ze světa firem

Eset File Security bude k dispozici i jako rozšíření pro virtuální zařízení na cloudové platformě Microsoft Azure. Zdroj: tisková zpráva společnosti Eset

Na trh přichází Symantec Endpoint Protection 12.1.6. Nová verze nabízí mj. funkce dostupné v současné verzi produktu Symantec Endpoint Protection for Windows XP Embedded 5.1. Na vestavěných platformách nebude tedy nyní nutné užívat separátní bezpečnostní řešení. Optimalizace pro embedded systémy zahrnuje omezenou velikosti klienta i definic malwaru, takže řešení by dle Symantecu nemělo znatelně ovlivňovat výkon ani v případech speciálních nasazení typu pokladních systémů. Zdroj: tisková zpráva společnosti Symantec

Představena byla nejnovější verze Kaspersky Small Office Security pro podniky s méně než 50 zaměstnanci. Řešení je dostupné i klientům v ČR. Podle dodavatele obsahuje aktuální verze např. vylepšený modul SafeMoney pro ochranu finančních transakcí a nový systém pro správu hesel. Zdroj: tisková zpráva společnosti Kaspersky Lab

Check Point představil bezpečnostní bránu 1200R, řešení pro průmyslové řídicí systémy (ICS/SCADA). Brána je určená pro nepřístupná a drsná prostředí a vzdálené nasazení, jako například v odlehlých elektrických rozvodnách nebo v závodech pro výrobu elektrické energie. Zařízení je bez ventilátorů a pohyblivých částí, rozsah provozních teplot se pohybuje od -40 °C do 75 °C. Zdroj: tisková zpráva společnosti Check Point Software Technologies

Seznam doporučuje prozatím odložit přechod na protokol https. „Zjistili jsme, že stejná stránka je po přechodu z protokolu http na https crawlovaná o něco pomaleji a rankovaná o trochu hůře,“ uvádí Seznam.cz. Výsledkem může být, že https stránka se bude ve výsledku vyhledávání řadit hůře. Seznam přepracovává indexaci a rankování https stránek, jejich znevýhodnění ve výsledcích vyhledávání by mělo zmizet na konci prázdnin. Zdroj: tisková zpráva/blog společnosti Seznam.cz

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Starší zprávičky

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů