Bezpečnostní přehled: Všechny browsery padly

Pavel Houser , 20. březen 2014 09:11 2 komentářů
Bezpečnostní přehled: Všechny browsery padly

Na Pwn2Own se podařilo kompromitovat veškeré testované webové prohlížeče. Rizika přehrávačů multimédií. Generování náhodných čísel v iOS 7. Co chystá Red Hat? V případě ztraceného malajského letadla pozor na přílišnou zvědavost. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Na proběhlých soutěžích Pwn2Own a Pwnium si účastníci přišli na více než milion dolarů (nepočítaje v to notebooky, které se autorům úspěšného útoku dávají rovněž). Demonstrováno bylo 34 vážných zero day zranitelností. Všechny testované prohlížeče – Chrome, Firefox, Internet Explorer i Safari – se podařilo kompromitovat, stejně jako Flash. V případě Chrome, který historicky na těchto kláních vydržel nejvíc, tentokrát uspěl tým francouzské bezpečnostní společnosti Vupen, když byla prezentována chyba v jádru WebKit a současně se podařilo obejít ochrannou vrstvu sandboxu.

Kupodivu vydržela Java (přitom v posledních dvou letech uváděná jako hlavní vektor útoku, to ovšem do značné míry kvůli chaosu v aktualizacích). V rámci soutěže Pwnium sponzorované Googlem se podařilo kompromitovat Chrome OS. V kanadském Vancouveru byla navíc předvedena i zranitelnost v jádru systému iOS.

Podrobnosti o zranitelnostech dostávají k dispozici pouze dodavatelé příslušného softwaru.

Publikační systém Joomla obsahuje kritickou zranitelnost, umožňující útok pomocí SQL injection. Opravená verze má číslo 3.2.3, aktualizace navíc řeší i chyby zneužitelné k útokům XSS nebo k neoprávněnému přihlášení (ve spojení s účtem na GMailu).

Ve větší míře byly zaznamenány scamy (pshishing), které příjemce e-mailu informují o tom, že mu byla diagnostikována rakovina. Je potřeba stáhnout soubor s výsledky krevního testu, samozřejmě se instaluje malware (mj. i bankovní trojan Zeus). Stávající vlna útoků probíhá v tuto chvíli především ve Velké Británii.

Když podvodníci zneužívají všech aktuálních událostí, výjimkou nemůže být ani záhadně zmizelé letadlo malajských aerolinek.

Konspirační teorie, Bermundský trojúhelník (byť je na druhém konci světa), vše je pochopitelně pouze naznačeno, podrobnosti lze získat po provedení nějaké akce (instalace něčeho, kliknutí na reklamu...). Metody jsou různé, zaznamenány byly zatím e-mailové kampaně, weby, aktivity tohoto typu na Facebooku.

A nakonec, pozornosti podvodníků neunikl ani krach bitcoinové burzy MtGox. V oběhu je soubor, který má obsahovat podrobnosti o kauze, ve skutečnosti ovšem kromě veřejně známých informací obsahuje především malware, který sám krade bitcoiny (možná existují i jiné verze). Na útoky upozorňuje Kaspersky Lab.

Upgrade generátoru náhodných čísel mezi iOS 6 a 7 míru zabezpečení mohl ve skutečnosti snížit, alespoň to tvrdí výzkumník Tarjei Mandt. Způsob generování náhodných (pseudonáhodných) čísel lze prý předvídat a mechanismus je náchylný k prolomení hrubou silou.

Red Hat chce v linuxové distribuci Fedora 21 změnit bezpečnostní politiku. Operační systém by měl poskytovat konzistentní zabezpečení napříč všemi aplikacemi, které v něm běží, administrátoři dostanou předdefinované profily (které však bude možné dále editovat). Změny politik půjde aktualizovat napříč celým systémem (i automaticky prostřednictvím démona).

Analýza společnosti Trusteer upozorňuje, že cílem útoků jsou stále častěji přehrávače multimédií. Ve firemním prostředí nebývají tyto aplikace obvykle zakazovány, současně je ale IT oddělení nezahrnují do svých aktualizačních politik a kontrol. Pořadí jednotlivých přehrávačů podle počtu (nikoliv závažnosti) reportovaných bezpečnostních zranitelností má být: Apple Quicktime, iTunes, RealPlayer a Adobe Shockwave. Windows Media Player se alsepoň aktualizazuje spolu s jiným softwarem Microsoftu.

Zneužití lze provádět tak, že se uživateli podvrhne speciálně upravený soubor pro příslušný přehrávač, přehrávače mohou být také součástí scénářů při útocích drive-by download.

FireEye vydává studii Advanced Threat Report, která mapuje svět pokročilých hrozeb (APT a další) v roce 2013. Studie je založena na sledování více než než 22 milionů malwarových komunikací mezi klienty a řídicími servery (command and control). Řídicí servery jsou dnes hostovány až ve 206 zemích světa (184 v roce 2012). Většinu řídicích serverů hostovaly USA, Německo, Jižní Korea, Čína, Nizozemsko, Velká Británie a Rusko. Co se týče cílů útoků APT, pořadí zemí bylo následující: USA, Jižní Korea, Kanada, Japonsko, Velká Británie, Německo.

Zdroj: tisková zpráva společnosti FireEye

Cisco rozšiřuje své bezpečnostní portfolio o řešení Cognitive Threat Analytics vzniklé na základě vývoje české společnosti Cognitive Security. Tu Cisco koupilo v lednu loňského roku. Má jít o samoučící se řešení, které analyzuje chování sítě. Jako novou součást portfolia představilo Cisco také řešení Advanced Malware Protection (AMP), které bylo původně vyvinuto společností Sourcefire, kterou Cisco koupilo loni.

Zdroj: tisková zpráva společnosti Cisco

Podle IDC významně roste vliv obchodních manažerů na rozhodování o investicích do IT. Začíná se projevovat trend, kdy řada nových technologických řešení je ve firmě zajišťována, aniž by o tom byli CIO informováni. „Stínové IT“ může sice fungovat jako významný zdroj pro přísun inovativních a efektivních řešení, nicméně na druhou stranu je tím oslabena rozhodující pravomoc IT ředitelů a současně může docházet k porušování bezpečnostních požadavků (regulační rámce, ochrana osobních údajů...). Ředitelé IT zde stojí před trochu podobným problémem jako v případě BYOD. Nový trend na jedné straně má své výhody, současně by se ale IT oddělení měla snažit ho dostat pod kontrolu.

Zdroj: tisková zpráva společnosti IDC

Oracle představil sadu Oracle Mobile Security Suite. Jedná se o reakci na trend BYOD. Platforma umožňuje rozdělit mobilní zařízení na soukromou a firemní část, na rozdíl od konkurence ovšem podle Oraclu primárně nezabezpečuje samotné mobilní zařízení, ale firemní data/aplikace. Řešení nabízí např. omezení přístupu k datům a aplikacím na základě zeměpisné polohy zařízení, umožňuje zakázat kopírování nebo tištění dat, implementovat lze rovněž automatické vzdálené odstraňování citlivých dat či aplikací po dokončení práce s nimi. Podporovány jsou MS Active Directory, jednotné přihlašování (SSO), systémy veřejných klíčů (PKI) a protokol Kerberos.

Zdroj: tisková zpráva Oracle.sk

GFI inovovala svoji službu GFI Cloud, což je administrační nástroj pro správu a zabezpečení klientských zařízení. Řešení nyní nabízí automatizované řízené záplat (patch managementu), které dokáže aktualizovat software Microsoftu a více než 20 výrobců třetích stran včetně Adobe. GFI Cloud podporuje aktualizace 12 loni nejzranitelnějších aplikací, nyní navíc dává správcům k dispozici nové reportovací nástroje.

Zdroj: tisková zpráva společnosti GFI Software

V následujících třech letech očekávají odborníci masivní nástup používání technologie biometrických podpisů, a to nejen v komerčním sektoru, ale i ve státní správě a samosprávě. Unicorn využívá ve svých systémech technologii SignoSoft, kterou vyvinula společnost Pražská softwarová. Toto řešení biometrických podpisů na českém trhu používá např. operátor O2. Řešení SignoSoft má v jádru softwarové komponenty od německé společnosti Softpro a hardware (podepisovací tablety) od japonského Wacomu.

Zdroj: tisková zpráva Unicorn System, Pražská softwarová

Na téma zabezpečení na ITBiz viz také: IBM: americké vládě jsme nepředávali žádná data


Komentáře

Bohumil Kříž #1
Bohumil Kříž 20. březen 2014 14:10

"Red Hat chce v linuxové distribuci Fedora 14 změnit bezpečnostní politiku."
Fedora 14 ???
Vždyť to už je asi 4 roky stará verze, nyní máme Fedoru 20!

pavelhouser #2
pavelhouser 20. březen 2014 22:57

pardon, "fedora 21 planovana jeste ted na rok 2014..."


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Výdaje Čechů za telekomunikační služby klesly na 429 Kč měsíčně

ČTK , 11. prosinec 2016 10:55

Výdaje Čechů za telekomunikační a poštovní služby klesly za posledních šest let o čtyři procenta na ...

Více 0 komentářů

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Starší zprávičky

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů