Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Pavel Houser , 23. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Každoroční soutěž Pwn2Own, jak bezpečně rekonstruovat dokument, účinnější komprese pro streamy z dohledových kamer, end-to-end šifrování webových e-mailů, podvodné čtečky karet ve dveřích před bankomaty, mobilní aplikace a chyba Freak. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Začala Pwn2Own

Hned první den na hackerském klání Pwn2Own ve Vancouveru prolomili účastníci prakticky všechny testované platformy: Adobe Flash i Acrobat/Reader, Internet Explorer i Firefox. Pořadateli soutěže v rámci akce CanSecWest jsou HP (respektive TippingPoint/Zero Day Initiative) a Google (Projet Zero). Pro úspěšné účastníky jsou připraveny slušné odměny, např. bezpečnostní výzkumník Nicolas Joly si již přišel na 90 000 dolarů. Podrobnosti o demonstrovaných chybách smějí účastníci zveřejnit až poté, co bude k dispozici oprava. Ve většině případů úspěšný útok vyžadoval kombinaci více chyb, např. chyba v aplikaci a současně překonání sandboxu nebo mechanismu znáhodnění paměti v OS, v jiných případech bylo přetečení zásobníku/haldy ještě potřeba doplnit o povýšení uživatelských práv na úrovni Windows apod.

Nová verze MS EMET

Microsoft aktualizoval svůj nástroj Enhanced Experience Toolkit (EMET). Verze 5.2 by měla mj. vylepšit ochranu proti útokům pomocí VBScriptu v Internet Exploreru (především tzv. útoky VBScript God Mode). Je-li v Internet Exploreru zapnut Enhanced Protected Mode (sandbox), nový EMET podporuje zobrazování varování, čímž by se mělo omezit množství útoků drive-by download, které lze provést bez další akce uživatele. EMET má smysl zejména při používání starších aplikací, kde nejsou k dispozici záplaty, řadu bezpečnostních problémů totiž umožňuje obejít nebo alespoň zmírnit jejich závažnost.

Mobilní aplikace zranitelné

Řada aplikací pro iOS i Android je stále zranitelná chybou Freak. FireEye uvádí, že 10 985 populárních aplikací na Google Play je zranitelných 1 228 (11 %). Tyto aplikace byly staženy více než 6,3 miliardy krát. Z 14 079 populárních aplikací na Apple App Store je zranitelných 771 (5,5 %). Viz také: Všichni opravují chybu Freak Poslední analýzy a rozbory ovšem zmiňují, že závažnost zranitelnosti Freak se nejspíš přeceňuje.

Opravy se vlečou

Pravidelná studie IBM X-Force Threat Intelligence Quarterly uvádí výrazný meziroční nárůst počtu kompromitovaných osobních údajů stejně jako reportovaných bezpečnostních zranitelností (o 25 a 10 %). Hlavní příčinou bezpečnostních incidentů má být apatie vývojářů – zájem o objevování zranitelností roste, rychlost oprav nikoliv. V říjnu loňského roku byly známy zranitelnosti v 17 bankovních aplikacích, 10 je stále neopravených.

Šifrování e-mailů podle Googlu a Yahoo

Yahoo nabízí nově šifrování e-mailů jediným tlačítkem. End-to-end šifrování mezi Yahoo a Googlem/GMailem by mělo být kompatibilní, tj. fungovat při posílání e-mailů mezi oběma službami. Zdrojové kódy obou rozšíření jsou k dispozici, Yahoo hodlá za nalézání zranitelností i platit v rámci svého programu odměn pro bezpečnostní výzkumníky. Plug-in Yahoo přímo vychází z loni uvedeného rozšíření Googlu po Chrome s použitím OpenPGP. Šifruje se pouze obsah e-mailu, adresa příjemce či předmět nikoliv. Použití Yahoo Mail End-to-End vs. GPGTools

Yahoo navíc láká uživatele na on-demand hesla namísto těch klasických, kdy se při přihlášení bude jednorázové heslo vždy posílat pomocí SMS. Tato služba je zatím k dispozici jen v USA.

CSIRT.CZ varuje

Útočníci využívají k šíření bankovního trojského koně Dridex makra, která jsou ukryta uvnitř XML souborů. Útočnou přílohu je dokument MS Wordu, uložený jako XML soubor.

Přibývá skimmovacích zařízení (zařízení pro kopírování platebních karet), která jsou místo na samotném bankomatu instalována na dveřích umožňujících přístup do bankovní pobočky s bankomatem.

Bezpečná rekonstrukce dokumentů

Představena byla technologie Check Point Threat Extraction, která dle dodavatele proaktivně a v reálném čase vyčistí dokumenty od škodlivého kódu a má zaručit jejich bezpečnost. Fungování má být následující: z dokumentu se extrahuje aktivní obsah, vložené objekty a další zneužitelné prvky. Dokument je následně zrekonstruován bez potenciálních hrozeb, jen se známými bezpečnými prvky. Druhou verzí je převod původního dokumentu do formátu PDF. Technologie má být k dispozici jako součást nového balíčku Next Generation Threat Prevention a bude dostupná od druhého čtvrtletí 2015. Zdroj: tisková zpráva společnosti Check Point Poznámka: Rekonstruovaný dokument nemusí být plně funkční, riziko mohou představovat i obyčejné odkazy, které jsou z bezpečnostních důvodů neaktivní. Originální dokument může uživatel získat od administrátora systému.

Ze světa firem

Organizace ICANN jmenovala tým, který připraví plán na změnu kořenového klíče používaného pro zabezpečení internetových domén pomocí technologie DNSSEC. Jedním z členů týmu je i Ondřej Surý, vedoucí výzkumného a vývojového oddělení sdružení CZ.NIC. Hlavní odpovědností expertní skupiny je nalézt optimální způsob změny hlavního klíče, aniž by došlo k narušení bezproblémového chodu Internetu. Zdroj: tisková zpráva sdružení CZ.NIC

Uvedena byla beta verze DiskStation Manager (DSM) 5.2. K bezpečnostním novinkám patří dle dodavatele např. rychlejší a lépe nastavitelná cloudová synchronizace s možností šifrování. Komponenta AppArmor, bránící škodlivému softwaru v přístupu k systémovým zdrojům, rozšiřuje svůj dosah na profily jednotlivých balíčků. Přidána byla podpora šifrování SMB 3. Zdroj: tisková zpráva společnosti Synology

Téměř tři čtvrtiny respondentů (73 %) z řad tuzemských firem, které se aktuálně rozhodují pro cloud, uvedly, že vnímají jako riziko ukládání svých dat mimo území ČR. Z dotázaných 130 firem jich zatím cloudová řešení využívá 41 %. Zhruba 50 % respondentů uvedlo, že by jejich důvěru v cloud zvýšila možnost šifrování či osobní prohlídka technického zázemí datového centra poskytovatele. Zdroj: průzkum agentury Perfect Crowd pro České radiokomunikace

Kaspersky Lab představila novou bezplatnou aplikaci pro Android s názvem „Phound!“. Umožňuje majitelům ovládat svá mobilní zařízení a data na nich vzdáleně – pomocí portálu My Kaspersky. Dle průzkumu mezi uživateli internetu během roku ztratil svůj chytrý telefon nebo tablet každý 20. český respondent. Zdroj: tisková zpráva společnosti Kaspersky Lab

Dell představil novou sadu softwarového zabezpečení pro koncová zařízení. Dell Data Protection / Endpoint Security Suite (DDP/ESS) nabízí podnikům ochranu před hrozbami, ověřování a šifrování dat spravované jedinou konzolí. DDP/ESS je kompatibilní i se zařízeními jiných výrobců. Součástí řešení je např. reporting dodržování bezpečnostních zásad, přednastavená politika zabezpečení a předpřipravené šablony reportů pro IT týmy s omezenými zdroji, podporováno je šifrování na hardwarovém i softwarovém základě. Zdroj: tisková zpráva společnosti Dell

Bezpečnost aplikace je jedním z nejdůležitějších faktorů jejich úspěšnosti: 22 % zákazníků opouští aplikaci v momentě, kdy se projeví její slabiny v zabezpečení. Více než polovina spotřebitelů uvádí, že by používala aplikace také k dalším činnostem, jako je placení daní, zajišťování zdravotní péče či účasti u voleb. Průzkum byl proveden v Evropě mezi dodavateli softwaru i jejich zákazníky/koncovými uživateli. Zdroj: tisková zpráva společnosti CA Technologies

Axis uvádí kompresní technologii Zipstream, která snižuje nároky na úložnou kapacitu dat aplikací videodohledu dle dodavatele v průměru o 50 % i více. Jedná se o účinnější implementací protokolu H.264. Technologie provádí analýzu a optimalizuje obrazový stream dat ze síťové kamery v reálném čase. Např. detaily důležité pro forenzní účely, jako tváře nebo registrační značky automobilů, jsou separovány a zachovány, přičemž irelevantní oblasti záběru jsou naopak „obětovány“ za účelem zvýšení komprese. Zdroj: tisková zpráva společnosti Axis Communications

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Starší zprávičky

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů

Apple poskytne investici 390 milionů USD firmě Finisar

ČTK , 14. prosinec 2017 08:00

Výrobce optických komponentů Finisar získá investici 390 milionů dolarů od firmy Apple....

Více 0 komentářů