Bezpečnostní přehled: Všechny browsery padly

Pavel Houser , 20. březen 2014 09:11 2 komentářů
Bezpečnostní přehled: Všechny browsery padly

Na Pwn2Own se podařilo kompromitovat veškeré testované webové prohlížeče. Rizika přehrávačů multimédií. Generování náhodných čísel v iOS 7. Co chystá Red Hat? V případě ztraceného malajského letadla pozor na přílišnou zvědavost. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Na proběhlých soutěžích Pwn2Own a Pwnium si účastníci přišli na více než milion dolarů (nepočítaje v to notebooky, které se autorům úspěšného útoku dávají rovněž). Demonstrováno bylo 34 vážných zero day zranitelností. Všechny testované prohlížeče – Chrome, Firefox, Internet Explorer i Safari – se podařilo kompromitovat, stejně jako Flash. V případě Chrome, který historicky na těchto kláních vydržel nejvíc, tentokrát uspěl tým francouzské bezpečnostní společnosti Vupen, když byla prezentována chyba v jádru WebKit a současně se podařilo obejít ochrannou vrstvu sandboxu.

Kupodivu vydržela Java (přitom v posledních dvou letech uváděná jako hlavní vektor útoku, to ovšem do značné míry kvůli chaosu v aktualizacích). V rámci soutěže Pwnium sponzorované Googlem se podařilo kompromitovat Chrome OS. V kanadském Vancouveru byla navíc předvedena i zranitelnost v jádru systému iOS.

Podrobnosti o zranitelnostech dostávají k dispozici pouze dodavatelé příslušného softwaru.

Publikační systém Joomla obsahuje kritickou zranitelnost, umožňující útok pomocí SQL injection. Opravená verze má číslo 3.2.3, aktualizace navíc řeší i chyby zneužitelné k útokům XSS nebo k neoprávněnému přihlášení (ve spojení s účtem na GMailu).

Ve větší míře byly zaznamenány scamy (pshishing), které příjemce e-mailu informují o tom, že mu byla diagnostikována rakovina. Je potřeba stáhnout soubor s výsledky krevního testu, samozřejmě se instaluje malware (mj. i bankovní trojan Zeus). Stávající vlna útoků probíhá v tuto chvíli především ve Velké Británii.

Když podvodníci zneužívají všech aktuálních událostí, výjimkou nemůže být ani záhadně zmizelé letadlo malajských aerolinek.

Konspirační teorie, Bermundský trojúhelník (byť je na druhém konci světa), vše je pochopitelně pouze naznačeno, podrobnosti lze získat po provedení nějaké akce (instalace něčeho, kliknutí na reklamu...). Metody jsou různé, zaznamenány byly zatím e-mailové kampaně, weby, aktivity tohoto typu na Facebooku.

A nakonec, pozornosti podvodníků neunikl ani krach bitcoinové burzy MtGox. V oběhu je soubor, který má obsahovat podrobnosti o kauze, ve skutečnosti ovšem kromě veřejně známých informací obsahuje především malware, který sám krade bitcoiny (možná existují i jiné verze). Na útoky upozorňuje Kaspersky Lab.

Upgrade generátoru náhodných čísel mezi iOS 6 a 7 míru zabezpečení mohl ve skutečnosti snížit, alespoň to tvrdí výzkumník Tarjei Mandt. Způsob generování náhodných (pseudonáhodných) čísel lze prý předvídat a mechanismus je náchylný k prolomení hrubou silou.

Red Hat chce v linuxové distribuci Fedora 21 změnit bezpečnostní politiku. Operační systém by měl poskytovat konzistentní zabezpečení napříč všemi aplikacemi, které v něm běží, administrátoři dostanou předdefinované profily (které však bude možné dále editovat). Změny politik půjde aktualizovat napříč celým systémem (i automaticky prostřednictvím démona).

Analýza společnosti Trusteer upozorňuje, že cílem útoků jsou stále častěji přehrávače multimédií. Ve firemním prostředí nebývají tyto aplikace obvykle zakazovány, současně je ale IT oddělení nezahrnují do svých aktualizačních politik a kontrol. Pořadí jednotlivých přehrávačů podle počtu (nikoliv závažnosti) reportovaných bezpečnostních zranitelností má být: Apple Quicktime, iTunes, RealPlayer a Adobe Shockwave. Windows Media Player se alsepoň aktualizazuje spolu s jiným softwarem Microsoftu.

Zneužití lze provádět tak, že se uživateli podvrhne speciálně upravený soubor pro příslušný přehrávač, přehrávače mohou být také součástí scénářů při útocích drive-by download.

FireEye vydává studii Advanced Threat Report, která mapuje svět pokročilých hrozeb (APT a další) v roce 2013. Studie je založena na sledování více než než 22 milionů malwarových komunikací mezi klienty a řídicími servery (command and control). Řídicí servery jsou dnes hostovány až ve 206 zemích světa (184 v roce 2012). Většinu řídicích serverů hostovaly USA, Německo, Jižní Korea, Čína, Nizozemsko, Velká Británie a Rusko. Co se týče cílů útoků APT, pořadí zemí bylo následující: USA, Jižní Korea, Kanada, Japonsko, Velká Británie, Německo.

Zdroj: tisková zpráva společnosti FireEye

Cisco rozšiřuje své bezpečnostní portfolio o řešení Cognitive Threat Analytics vzniklé na základě vývoje české společnosti Cognitive Security. Tu Cisco koupilo v lednu loňského roku. Má jít o samoučící se řešení, které analyzuje chování sítě. Jako novou součást portfolia představilo Cisco také řešení Advanced Malware Protection (AMP), které bylo původně vyvinuto společností Sourcefire, kterou Cisco koupilo loni.

Zdroj: tisková zpráva společnosti Cisco

Podle IDC významně roste vliv obchodních manažerů na rozhodování o investicích do IT. Začíná se projevovat trend, kdy řada nových technologických řešení je ve firmě zajišťována, aniž by o tom byli CIO informováni. „Stínové IT“ může sice fungovat jako významný zdroj pro přísun inovativních a efektivních řešení, nicméně na druhou stranu je tím oslabena rozhodující pravomoc IT ředitelů a současně může docházet k porušování bezpečnostních požadavků (regulační rámce, ochrana osobních údajů...). Ředitelé IT zde stojí před trochu podobným problémem jako v případě BYOD. Nový trend na jedné straně má své výhody, současně by se ale IT oddělení měla snažit ho dostat pod kontrolu.

Zdroj: tisková zpráva společnosti IDC

Oracle představil sadu Oracle Mobile Security Suite. Jedná se o reakci na trend BYOD. Platforma umožňuje rozdělit mobilní zařízení na soukromou a firemní část, na rozdíl od konkurence ovšem podle Oraclu primárně nezabezpečuje samotné mobilní zařízení, ale firemní data/aplikace. Řešení nabízí např. omezení přístupu k datům a aplikacím na základě zeměpisné polohy zařízení, umožňuje zakázat kopírování nebo tištění dat, implementovat lze rovněž automatické vzdálené odstraňování citlivých dat či aplikací po dokončení práce s nimi. Podporovány jsou MS Active Directory, jednotné přihlašování (SSO), systémy veřejných klíčů (PKI) a protokol Kerberos.

Zdroj: tisková zpráva Oracle.sk

GFI inovovala svoji službu GFI Cloud, což je administrační nástroj pro správu a zabezpečení klientských zařízení. Řešení nyní nabízí automatizované řízené záplat (patch managementu), které dokáže aktualizovat software Microsoftu a více než 20 výrobců třetích stran včetně Adobe. GFI Cloud podporuje aktualizace 12 loni nejzranitelnějších aplikací, nyní navíc dává správcům k dispozici nové reportovací nástroje.

Zdroj: tisková zpráva společnosti GFI Software

V následujících třech letech očekávají odborníci masivní nástup používání technologie biometrických podpisů, a to nejen v komerčním sektoru, ale i ve státní správě a samosprávě. Unicorn využívá ve svých systémech technologii SignoSoft, kterou vyvinula společnost Pražská softwarová. Toto řešení biometrických podpisů na českém trhu používá např. operátor O2. Řešení SignoSoft má v jádru softwarové komponenty od německé společnosti Softpro a hardware (podepisovací tablety) od japonského Wacomu.

Zdroj: tisková zpráva Unicorn System, Pražská softwarová

Na téma zabezpečení na ITBiz viz také: IBM: americké vládě jsme nepředávali žádná data


Komentáře

Bohumil Kříž #1
Bohumil Kříž 20. březen 2014 14:10

"Red Hat chce v linuxové distribuci Fedora 14 změnit bezpečnostní politiku."
Fedora 14 ???
Vždyť to už je asi 4 roky stará verze, nyní máme Fedoru 20!

pavelhouser #2
pavelhouser 20. březen 2014 22:57

pardon, "fedora 21 planovana jeste ted na rok 2014..."

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Apple opouští myšlenku výroby samořízeného vozu

ČTK , 23. srpen 2017 10:54

Do projektu Titan, který odstartoval v roce 2014, šel Apple se svým standardním nasazením. Projekt s...

Více 0 komentářů

Podíl sociálních sítí na on-line reklamě vzroste na pětinu

ČTK , 23. srpen 2017 09:00

Největší rozpočty mají každoročně technologické firmy, automobilové společnosti, obchodní řetězce, o...

Více 0 komentářů

Seznam chce za 3 roky prodávat polovinu reklamy na aukcích

ČTK , 23. srpen 2017 08:00

Mobily již nyní zprostředkovávají až 40 % přístupů na služby Seznamu....

Více 0 komentářů

Starší zprávičky

Útočníci si oblíbili sadu exploitů Lost in Translation

Pavel Houser , 22. srpen 2017 10:21

Studie mapuje vývoj malwaru v České republice a ve světě ve druhém čtvrtletí. ...

Více 0 komentářů

České Radiokomunikace nabízejí i privátní cloud

Pavel Houser , 22. srpen 2017 08:00

Řešení je podle CRA vhodné pro provoz citlivých, náročných a exponovaných aplikací a ukládání citliv...

Více 0 komentářů

LG V30 bude mít displej OLED FullVision

Pavel Houser , 21. srpen 2017 11:42

P-OLED vzniká umísťováním pixelů na plastový substrát, který je mnohem pevnější než skleněná základn...

Více 0 komentářů

Jak funguje byznys na tuzemském YouTube

ČTK , 21. srpen 2017 09:47

Zájem Čechů o sledování videí na YouTube vzrostl letos meziročně o 35 procent. Poptávka se přesouvá ...

Více 0 komentářů