• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Flash musel být látán několikrát

Pavel Houser
20. 7. 2015
| Články

Dozvuky útoku na společnost Hacking Team. Zřejmě poslední záplaty pro Windows Server 2003. Zneužívaná zero day zranitelnost v Javě. Možnost manipulace s výsledky vyhledávání u Googlu. Jak se Seznam.cz staví k přechodu na protokol https. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Červencové opravy Microsoftu

Microsoft vydal své červencové záplaty. Některé z opravených zranitelností byly obsaženy i v seznamech zero day exploitů uniklých při útoku na společnost Hacking Team. Celkem 14 bulletinů zabezpečení řeší 59 chyb. Co se týče kritických oprav: MS15-065 je kritickou kumulativní opravou pro Internet Explorer, některé ze zranitelností umožňují vzdálené spuštění kódu. MS15-066 je kritická záplata pro starší verze Internet Exploreru, chyba opět umožňuje spuštění kódu (při zpracování VBScriptu). MS15-067 látá kritickou chybu v protokolu RDP, dotčenými systémy jsou Windows 7, Windows 8 a Server 2012. MS15-068 opravuje systémy, na nichž se provozuje virtualizační technologie MS HyperV – kvůli chybě může aplikace na hostovaném systému obejít hypervisor a spustit kód na hostitelské vrstvě.
Opravy se statutem důležitých jsou kromě Windows a Internet Exploreru určeny také pro MS SQL Server a MS Office.

Končí Windows Server 2003

Skončila podpora pro Windows Server 2003, což mj. znamená, že dále už pro tento OS nebudou vydávány bezpečnostní aktualizace. Červencové opravy byly poslední (pravděpodobně – u Windows XP Microsoft loni udělal ještě jednu výjimku i „po termínu“).
Viz také: Windows Server 2003 – časovaná bomba, MS Windows Server 2003: Proč se upgrade odkládá

Rovněž tak skončila aktualizace/podpora bezpečnostních nástrojů Microsoftu (Security Essentials a další) pro Windows XP. Tento OS je tak nyní ještě více vystaven útočníkům, podle některých statistik se přitom dosud používá na cca 12 % počítačích přistupujících k webu. V loňském roce byly bezpečnostní problémy objeveny až u 10 % počítačů s Windows XP (možná názornější relativní čísla: míra infekce minimálně 2x vyšší než u novějších OS Microsoftu).

Flash a další záplaty Adobe

Ještě ke kauze Hacking Team a mezitím plošně medializovaným chybám v přehrávači Adobe Flash. Zneužívané zranitelnosti vedly i k tomu, že ve Firefoxu byl plug-in pro Flash dočasně plošně zablokován. Podle informací byly útoky pomocí těchto chyb provedeny (v první fázi) především na cíle v Jižní Koreji. Situace byla poměrně nepřehledná, když byly vydány opravy, ale vzápětí se objevily nové chyby. Verze po posledních záplatách by měla mít číslo 18.0.0.209. V Internet Exploreru i Chrome by se již měl plug-in aktualizovat automaticky, Firefox nutí uživatele přejít na novou verzi.
Viz také předcházející bezpečnostní přehled: Kolik nabízí FBI za autora malwaru Zeus

Adobe vydala rovněž opravy pro Acrobat, Reader a Shockwave. I tyto balíčky mají statut kritických, obvykle na všech podporovaných platformách. U Adobe Readeru si lze nastavit automatickou instalaci aplikací. Čísla aktuálních verzí: Shockwave 12.1.9.159, Reader 11.0.12.

Eskalace oprávnění ve VMware

Reportovány byly zranitelnosti v desktopových produktech VMware: klientech Workstation, Player a Horizon View. Chyba se týká seznamu řízení přístupu a může se projevit eskalací uživatelských oprávnění. Vzdálené zneužití by možné být nemělo, i tak se ale doporučuje rychle nasadit opravu, prostupná virtualizační vrstva ohrožuje infrastrukturu jako celek a při útocích lze kombinovat s dalšími chybami.

Java i databáze Oracle

Objevila se rovněž nová zero day chyba v implementaci Javy (CVE-2015-2590) a již je aktivně zneužívána – tam, kde je Java v prohlížečích povolena. Na probíhající kampaň (operace PawnStorm) upozornila společnost Trend Micro. Oracle rychle vydal opravu – v rámci kompletní čtvrtletní sady aktualizací, která látá celkem 193 zranitelností.

Eric Maurice z Oraclu uvedl, že aktualizace zahrnují i celou řadu dalších kritických oprav pro Javu (klient i server), nicméně kromě výše uvedené nejsou zatím zatím známy případy pokusů o zneužívání. Další záplaty pokrývají prakticky celé portfolio produktů Oracle, navíc ještě software třetích stran, který Oracle zahrnuje do svých distribucí. Maurce speciálně doporučuje urychleně nasadit opravu pro databázi Oracle CVE-2015-2629.

CSIRT.CZ varuje

Společnost Sophos objevila nový trik manipulující s výsledky vyhledávání Google. Mechanismus využívá PDF soubory, jejichž obsahu zřejmě algoritmus společnosti Google důvěřuje více než obsahu klasických HTML stránek.

Ze světa firem

Eset File Security bude k dispozici i jako rozšíření pro virtuální zařízení na cloudové platformě Microsoft Azure.
Zdroj: tisková zpráva společnosti Eset

Na trh přichází Symantec Endpoint Protection 12.1.6. Nová verze nabízí mj. funkce dostupné v současné verzi produktu Symantec Endpoint Protection for Windows XP Embedded 5.1. Na vestavěných platformách nebude tedy nyní nutné užívat separátní bezpečnostní řešení. Optimalizace pro embedded systémy zahrnuje omezenou velikosti klienta i definic malwaru, takže řešení by dle Symantecu nemělo znatelně ovlivňovat výkon ani v případech speciálních nasazení typu pokladních systémů.
Zdroj: tisková zpráva společnosti Symantec

Představena byla nejnovější verze Kaspersky Small Office Security pro podniky s méně než 50 zaměstnanci. Řešení je dostupné i klientům v ČR. Podle dodavatele obsahuje aktuální verze např. vylepšený modul SafeMoney pro ochranu finančních transakcí a nový systém pro správu hesel.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Check Point představil bezpečnostní bránu 1200R, řešení pro průmyslové řídicí systémy (ICS/SCADA). Brána je určená pro nepřístupná a drsná prostředí a vzdálené nasazení, jako například v odlehlých elektrických rozvodnách nebo v závodech pro výrobu elektrické energie. Zařízení je bez ventilátorů a pohyblivých částí, rozsah provozních teplot se pohybuje od -40 °C do 75 °C.
Zdroj: tisková zpráva společnosti Check Point Software Technologies

Seznam doporučuje prozatím odložit přechod na protokol https. „Zjistili jsme, že stejná stránka je po přechodu z protokolu http na https crawlovaná o něco pomaleji a rankovaná o trochu hůře,“ uvádí Seznam.cz. Výsledkem může být, že https stránka se bude ve výsledku vyhledávání řadit hůře. Seznam přepracovává indexaci a rankování https stránek, jejich znevýhodnění ve výsledcích vyhledávání by mělo zmizet na konci prázdnin.
Zdroj: tisková zpráva/blog společnosti Seznam.cz

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

  • Hackeři při útoku na OPM ukradli citlivé údaje o 21,5 milionech Američanů
    Jedná se o americký vládní úřad Office of Personnel Management a data se týkají lidí, kteří si žádali o bezpečnostní prověrku – tj. především státních zaměstnanců.

  • Deset počítačů Nejvyššího státního zastupitelství napadl virus

Rubriky: Operační systémySecurity

Související příspěvky

Články

Výchozí nastavení a bezpečnost: 6 tipů, co by firmy měly zkontrolovat

25. 1. 2021
Zprávičky

Trojan Triada umí modifikovat verifikační SMS

23. 1. 2021
Cloudové služby nejsou pro útočníky jen cílem, ale i prostředkem
Zprávičky

Kybernetické hrozby v roce 2021: RDP a těžba kryptoměn

20. 1. 2021
Zprávičky

České i světové organizace čelí nejčastěji útokům malwaru Emotet

18. 1. 2021

Zprávičky

Huawei zkouší, zda chytré telefony Mate 30 mohou uspět i bez Googlu

Huawei prý jedná o prodeji značek luxusních smartphonů, firma to však popírá

ČTK
25. 1. 2021

Čínský výrobce telekomunikačních zařízení Huawei Technologies jedná o prodeji svých značek luxusních chytrých telefonů

Europoslanci chtějí zaručit zaměstnancům právo na odpojení

ČTK
25. 1. 2021

Všichni zaměstnanci v zemích Evropské unie by měli mít možnost odpojit se mimo pracovní

Trojan Triada umí modifikovat verifikační SMS

Pavel Houser
23. 1. 2021

Podle expertů lze očekávat, že stalkeware v roce 2021 vymizí z předních příček detekčních statistik. Počty

Alphabet končí s projektem internetových balónů Loon

ČTK
23. 1. 2021

Operátoři potřebují několik balónů najednou, každý z nich stojí desítky tisíc dolarů a má

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Google hrozí Austrálii zablokováním vyhledávače

ČTK
22. 1. 2021

Austrálie se chystá schválit zákon, který by donutil technologické giganty domluvit se s místními

Bitcoin prudce oslabil, investoři se obávají regulace v USA

ČTK
21. 1. 2021

Není ale jasné, jak a zda vůbec americká vláda proti kryptoměnám zakročí. Cena digitální

Mobilní operátoři nabízejí vládě pomoc s provozem informačních systémů státu

Pavel Houser
21. 1. 2021

APMS (Asociace provozovatelů mobilních sítí) nabízí vládě ČR možnost konzultovat technické aspekty provozu informačních

LG chce investovat 303 milionů eur do továrny na baterie v Polsku

ČTK
21. 1. 2021

Po dokončení projektu by celková investice do továrny měla činit více než 3,1 miliardy

Server Ulož.to prohrál spor o stahování šesti českých filmů

ČTK
21. 1. 2021

Odvolání podaly obě strany sporu. Ze serveru Ulož.to nebude možné stáhnout Pelíšky a dalších

Tiskové zprávy

100 let robota: Umělá inteligence pomáhá proti fake news i lidem s Alzheimerem

Vakcína na covid-19 versus hackeři. Na co si dát pozor?

Acronis: loňské kybernetické útoky zvýšily zájem o Disaster Recovery

Acer představuje nový odolný notebook TravelMate Spin B3 určený do učeben

Acer představuje dva odolné konvertibilní chromebooky pro vzdělávací trh

Acer uvádí na trh dva nové 11,6″ chromebooky pro vzdělávání

Zpráva dne

Vánoční slevy pokračují i v novém roce

Vánoční slevy pokračují i v novém roce

Redakce
20. 1. 2021

Vánoční slevy na software produktivity od Microsoftu pokračují na tržišti i v novém roce, opět...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Největší rizika umělé inteligence

Pavel Houser
26. 12. 2020

Tak jako dosud skoro každá technologie, i umělá inteligence se dostane do rukou zločincům. Jak s...

Slovník

HDTV

Transfer

BigBoard

Nejpopulárnější články

Bezpečnostní přehled: Flash musel být látán několikrát

Pavel Houser
20. 7. 2015

Analytici: Cena bitcoinu dál poroste, může ale přijít korekce

ČTK
17. 12. 2020

Operátoři musí nově uvádět přesnou rychlost internetu

ČTK
3. 1. 2021

Server Ulož.to prohrál spor o stahování šesti českých filmů

ČTK
21. 1. 2021

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Německá policie odhalila zřejmě největší obchod na darknetu

ČTK
12. 1. 2021

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Marketing Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zajímavosti Zpráva dne České IT

RSS abclinuxu – čerstvé zprávičky

  • LibreOffice Community
  • Papírové modely počítačů Amiga 500, Amstrad CPC 464, Apple II a dalších
  • OctoPi 0.18.0

RSS Sciencemag.cz

  • Dvojitá protilátka na covid-19 funguje jako lék i prevence
  • Po srážkách galaxií mohou černé díry vyhládnout
  • Systém šesti exoplanet se synchronizovaným pohybem je záhadou

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.