Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Pavel Houser , 23. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Každoroční soutěž Pwn2Own, jak bezpečně rekonstruovat dokument, účinnější komprese pro streamy z dohledových kamer, end-to-end šifrování webových e-mailů, podvodné čtečky karet ve dveřích před bankomaty, mobilní aplikace a chyba Freak. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Začala Pwn2Own

Hned první den na hackerském klání Pwn2Own ve Vancouveru prolomili účastníci prakticky všechny testované platformy: Adobe Flash i Acrobat/Reader, Internet Explorer i Firefox. Pořadateli soutěže v rámci akce CanSecWest jsou HP (respektive TippingPoint/Zero Day Initiative) a Google (Projet Zero). Pro úspěšné účastníky jsou připraveny slušné odměny, např. bezpečnostní výzkumník Nicolas Joly si již přišel na 90 000 dolarů. Podrobnosti o demonstrovaných chybách smějí účastníci zveřejnit až poté, co bude k dispozici oprava. Ve většině případů úspěšný útok vyžadoval kombinaci více chyb, např. chyba v aplikaci a současně překonání sandboxu nebo mechanismu znáhodnění paměti v OS, v jiných případech bylo přetečení zásobníku/haldy ještě potřeba doplnit o povýšení uživatelských práv na úrovni Windows apod.

Nová verze MS EMET

Microsoft aktualizoval svůj nástroj Enhanced Experience Toolkit (EMET). Verze 5.2 by měla mj. vylepšit ochranu proti útokům pomocí VBScriptu v Internet Exploreru (především tzv. útoky VBScript God Mode). Je-li v Internet Exploreru zapnut Enhanced Protected Mode (sandbox), nový EMET podporuje zobrazování varování, čímž by se mělo omezit množství útoků drive-by download, které lze provést bez další akce uživatele. EMET má smysl zejména při používání starších aplikací, kde nejsou k dispozici záplaty, řadu bezpečnostních problémů totiž umožňuje obejít nebo alespoň zmírnit jejich závažnost.

Mobilní aplikace zranitelné

Řada aplikací pro iOS i Android je stále zranitelná chybou Freak. FireEye uvádí, že 10 985 populárních aplikací na Google Play je zranitelných 1 228 (11 %). Tyto aplikace byly staženy více než 6,3 miliardy krát. Z 14 079 populárních aplikací na Apple App Store je zranitelných 771 (5,5 %). Viz také: Všichni opravují chybu Freak Poslední analýzy a rozbory ovšem zmiňují, že závažnost zranitelnosti Freak se nejspíš přeceňuje.

Opravy se vlečou

Pravidelná studie IBM X-Force Threat Intelligence Quarterly uvádí výrazný meziroční nárůst počtu kompromitovaných osobních údajů stejně jako reportovaných bezpečnostních zranitelností (o 25 a 10 %). Hlavní příčinou bezpečnostních incidentů má být apatie vývojářů – zájem o objevování zranitelností roste, rychlost oprav nikoliv. V říjnu loňského roku byly známy zranitelnosti v 17 bankovních aplikacích, 10 je stále neopravených.

Šifrování e-mailů podle Googlu a Yahoo

Yahoo nabízí nově šifrování e-mailů jediným tlačítkem. End-to-end šifrování mezi Yahoo a Googlem/GMailem by mělo být kompatibilní, tj. fungovat při posílání e-mailů mezi oběma službami. Zdrojové kódy obou rozšíření jsou k dispozici, Yahoo hodlá za nalézání zranitelností i platit v rámci svého programu odměn pro bezpečnostní výzkumníky. Plug-in Yahoo přímo vychází z loni uvedeného rozšíření Googlu po Chrome s použitím OpenPGP. Šifruje se pouze obsah e-mailu, adresa příjemce či předmět nikoliv. Použití Yahoo Mail End-to-End vs. GPGTools

Yahoo navíc láká uživatele na on-demand hesla namísto těch klasických, kdy se při přihlášení bude jednorázové heslo vždy posílat pomocí SMS. Tato služba je zatím k dispozici jen v USA.

CSIRT.CZ varuje

Útočníci využívají k šíření bankovního trojského koně Dridex makra, která jsou ukryta uvnitř XML souborů. Útočnou přílohu je dokument MS Wordu, uložený jako XML soubor.

Přibývá skimmovacích zařízení (zařízení pro kopírování platebních karet), která jsou místo na samotném bankomatu instalována na dveřích umožňujících přístup do bankovní pobočky s bankomatem.

Bezpečná rekonstrukce dokumentů

Představena byla technologie Check Point Threat Extraction, která dle dodavatele proaktivně a v reálném čase vyčistí dokumenty od škodlivého kódu a má zaručit jejich bezpečnost. Fungování má být následující: z dokumentu se extrahuje aktivní obsah, vložené objekty a další zneužitelné prvky. Dokument je následně zrekonstruován bez potenciálních hrozeb, jen se známými bezpečnými prvky. Druhou verzí je převod původního dokumentu do formátu PDF. Technologie má být k dispozici jako součást nového balíčku Next Generation Threat Prevention a bude dostupná od druhého čtvrtletí 2015. Zdroj: tisková zpráva společnosti Check Point Poznámka: Rekonstruovaný dokument nemusí být plně funkční, riziko mohou představovat i obyčejné odkazy, které jsou z bezpečnostních důvodů neaktivní. Originální dokument může uživatel získat od administrátora systému.

Ze světa firem

Organizace ICANN jmenovala tým, který připraví plán na změnu kořenového klíče používaného pro zabezpečení internetových domén pomocí technologie DNSSEC. Jedním z členů týmu je i Ondřej Surý, vedoucí výzkumného a vývojového oddělení sdružení CZ.NIC. Hlavní odpovědností expertní skupiny je nalézt optimální způsob změny hlavního klíče, aniž by došlo k narušení bezproblémového chodu Internetu. Zdroj: tisková zpráva sdružení CZ.NIC

Uvedena byla beta verze DiskStation Manager (DSM) 5.2. K bezpečnostním novinkám patří dle dodavatele např. rychlejší a lépe nastavitelná cloudová synchronizace s možností šifrování. Komponenta AppArmor, bránící škodlivému softwaru v přístupu k systémovým zdrojům, rozšiřuje svůj dosah na profily jednotlivých balíčků. Přidána byla podpora šifrování SMB 3. Zdroj: tisková zpráva společnosti Synology

Téměř tři čtvrtiny respondentů (73 %) z řad tuzemských firem, které se aktuálně rozhodují pro cloud, uvedly, že vnímají jako riziko ukládání svých dat mimo území ČR. Z dotázaných 130 firem jich zatím cloudová řešení využívá 41 %. Zhruba 50 % respondentů uvedlo, že by jejich důvěru v cloud zvýšila možnost šifrování či osobní prohlídka technického zázemí datového centra poskytovatele. Zdroj: průzkum agentury Perfect Crowd pro České radiokomunikace

Kaspersky Lab představila novou bezplatnou aplikaci pro Android s názvem „Phound!“. Umožňuje majitelům ovládat svá mobilní zařízení a data na nich vzdáleně – pomocí portálu My Kaspersky. Dle průzkumu mezi uživateli internetu během roku ztratil svůj chytrý telefon nebo tablet každý 20. český respondent. Zdroj: tisková zpráva společnosti Kaspersky Lab

Dell představil novou sadu softwarového zabezpečení pro koncová zařízení. Dell Data Protection / Endpoint Security Suite (DDP/ESS) nabízí podnikům ochranu před hrozbami, ověřování a šifrování dat spravované jedinou konzolí. DDP/ESS je kompatibilní i se zařízeními jiných výrobců. Součástí řešení je např. reporting dodržování bezpečnostních zásad, přednastavená politika zabezpečení a předpřipravené šablony reportů pro IT týmy s omezenými zdroji, podporováno je šifrování na hardwarovém i softwarovém základě. Zdroj: tisková zpráva společnosti Dell

Bezpečnost aplikace je jedním z nejdůležitějších faktorů jejich úspěšnosti: 22 % zákazníků opouští aplikaci v momentě, kdy se projeví její slabiny v zabezpečení. Více než polovina spotřebitelů uvádí, že by používala aplikace také k dalším činnostem, jako je placení daní, zajišťování zdravotní péče či účasti u voleb. Průzkum byl proveden v Evropě mezi dodavateli softwaru i jejich zákazníky/koncovými uživateli. Zdroj: tisková zpráva společnosti CA Technologies

Axis uvádí kompresní technologii Zipstream, která snižuje nároky na úložnou kapacitu dat aplikací videodohledu dle dodavatele v průměru o 50 % i více. Jedná se o účinnější implementací protokolu H.264. Technologie provádí analýzu a optimalizuje obrazový stream dat ze síťové kamery v reálném čase. Např. detaily důležité pro forenzní účely, jako tváře nebo registrační značky automobilů, jsou separovány a zachovány, přičemž irelevantní oblasti záběru jsou naopak „obětovány“ za účelem zvýšení komprese. Zdroj: tisková zpráva společnosti Axis Communications

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 1 komentářů

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Starší zprávičky

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů

Rozšířená realita bude za pár let běžnou záležitostí

ČTK , 17. srpen 2017 12:58

Za pět, šest let bude běžné, že si turisté při návštěvě zahraničních metropolí nasadí speciální brýl...

Více 0 komentářů

Podíl internetových kurzových sázek v ČR loni vzrostl na 88 %

ČTK , 17. srpen 2017 10:00

Velký podíl na internetových sázkách tvoří live sázky, které lze uzavírat opakovaně v průběhu zápasu...

Více 0 komentářů