Bezpečnostní přehled: Všichni opravují chybu Freak

Pavel Houser , 16. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Všichni opravují chybu Freak

Kritické záplaty pro Windows i Internet Explorer, zranitelnost Stuxnet prý přetrvávala 5 let. Phishing s oblibou imituje zprávy zaslané z iPhonu. Adobe nechce platit za objevené bezpečnostní záplaty. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Březnové záplaty Microsoftu

Microsoft vydal minulé úterý 14 bulletinů zabezpečení, které opravují celkem 44 zranitelností. 5 bulletinů spadá do kategorie kritických. Opravy řeší chybu Freak, kritické záplaty jsou určeny pro Internet Explorer, Windows a MS Office.

MS15-018 je kritickou kumulativní opravou pro všechny podporované verze MSIE, některé z chyb mohou vést ke vzdálenému spuštění kódu; dosud podle všeho nedochází k útokům. MS15-019 je rovněž kritická oprava, týká se však jen MSIE 6 a 7 (konkrétně práce s VBScriptem). Bulletin zabezpečení MS15-020 je kritický pro všechny podporované verze Windows, ke vzdálenému spuštění kódu stačí navštívit podvodný web nebo kliknout na speciálně upravený soubor DLL. Obdobnou povahu má kritická chyba ve Windows opravená záplatou MS15-021; problém je v tomto případě ve fungování komponenty Adobe Font Driver.

Poslední z kritických záplat MS15-021 je určena pro MS Office a MS SharePoint Server (zde chyba nemá statut kritické ve všech případech, někde může vést ke vzdálenému spuštění kódu, jinde jen ke zvýšení uživatelských oprávnění).

Problém Freak řeší záplata MS15-031 určená pro všechny podporované verze Windows včetně serverových, tento bulletin zabezpečení však není označen jako kritický. Viz také: Freak hrozí i na Windows Původně se mělo zato, že zranitelností implementací SSL, která je důsledkem použití příliš krátkých šifrovacích klíčů, je na straně klienta ohrožen pouze Android, iOS a Mac OS X.

Stuxnet po 5 letech

Poslední dávka aktualizací Microsoftu prý také opravují chybu v záplatě z roku 2010, která byla vydána proti červu Stuxnet. Brian Gorenc z TippingPoint (HP) uvedl, že původní oprava totiž ponechávala problém při zpracování souborů LNK. Problém se týká všech podporovaných verzí Windows a oprava MS15-020, která ho mj. řeší (viz výše), je pro všechny OS označena za kritickou. Není známo, zda během 5 let si chyby povšimli útočníci a došlo ke zneužití, je to ale prý celkem pravděpodobné. B. Gorenc uvedl, že zneužití nevyžadovalo ani obcházet ochranné funkce Windows typu znáhodnění paměti.

Adobe raději peníze neslibuje

Adobe spustila svůj vlastní program pro hledání bezpečnostních zranitelností s názvem HackerOne. Reportovat se mají chyby ve webových službách/on-line funkcích a pouze zranitelnosti závažného typu. Nebude se platit, spolupracovníci pouze získají veřejné poděkování, prestiž a kredit. (The Register ironicky poznamenává, že k tomu má vzhledem k množství chyb v přehrávači Flash Player nebo Acrobat Readeru Adobe dobré důvody.) Od spolupracovníků se navíc vyžaduje ponechat před zveřejněním problému firmě čas na vývoj opravy, i když doba se přesně nespecifikuje.

Torrent těží LiteCoin

Klient μTorrent od Epic Software obsahuje nástroj na těžbu měny LiteCoin. K instalaci sice musel dát souhlas uživatel, ovšem nastaveno bylo vše tak, že k tomu stačilo proces odklepat. Epic Software se brání, že v podmínkách je napsáno, že takto získané peníze mají být použity na výzkumné účely především v oblasti medicíny, ale i tak počínání vzbudilo značnou nevoli. (Těžba na pozadí běží jen při práci s Torrentem a nástroj lze odinstalovat separátně; pokud ovšem uživatel zaznamená jeho existenci.)

Apple také opravuje Freak

Apple vydal opravy pro iOS a Mac OS X: OS X Security Update 2015-002 a iOS 8.2. Obě aktualizace látají kritické zranitelnosti, mezi jiným i chybu Freak, tj. riziko odposlechu protokolu SSL/TLS (analogické opravy Microsoftu viz výše). Opraveny byly ale i přímo zranitelnosti umožňující vzdálené spuštění kódu, chyby CVE-2015-1061 a CVE-2015-1066 zase umožňovaly, aby se malware spouštěl s nejvyššími oprávněními. Další problémy umožňovaly škodlivým aplikacím obcházet mechanismus znáhodnění paměti.

Seagate nepokládá chybu v úložištích NAS za reálné riziko

Seagate připustil, že v jeho úložných systémech NAS se nachází zero day chyba, oprava je nicméně přislíbena až na květen. Firma tvrdí, že riziko zneužití je ve skutečnosti nízké a scénář ovládnutí zařízení přes internet nepravděpodobný. Doporučuje se zakázat internetový přístup ke správcovskému webovému rozhraní, službám FTP a umístit úložiště za firewall (respektive toto vše zkontrolovat, protože odpovídající nastavení je vhodné bez ohledu na aktuální problém). Viz také: Zero day chyby na každém kroku

PayPal nakupuje v Izraeli

PayPal koupil za 60 milionů dolarů izraelský start-up ProActive. Firma vyvíjí bezpečnostní nástroje, které mají předvídat, jak bude vypadat budoucí malware/způsoby útoků. Dle vyjádření ProActive přitom používá algoritmy inspirované živou přírodou a odvozenými technikami typu genetického programování.

Antivirus detekoval sám sebe

Falešné poplachy spojené s označením běžně používaných aplikací za malware se tu a tam stanou asi každému dodavateli. Španělská firma Panda nyní měla problém poněkud vážnější: aktualizovaná aplikace označila jako malware své vlastní komponenty. Pokud je uživatel odstranil, po restartu počítač navíc nešlo připojit k Internetu (tj. problém cca odpovídá tomu, když antiviry odstraní nějakou součást Windows, byť o to v tomto případě nešlo). Následně se tutíž nedala stáhnout ani oprava aktualizace, jakmile ji Panda dala k dispozici.

Ze světa firem

Avast utržil za rok 217 milionů dolarů, což představuje meziroční nárůst o 51 %; zisk EBITDA dosáhl 154 mil. dolarů. 99 % tržeb bylo vygenerováno mimo ČR. Počet uživatelů vzrostl o 30 milionů na celkových 230 milionů. Avast v loňském roce přijal více než 150 nových zaměstnanců, letos chce přijmout více než 200 dalších odborníků. Převážná většina těchto nových pozic se bude otevírat v Praze, kde v tuto chvíli pracuje více než 90 % zaměstnanců společnosti. Zdroj: tisková zpráva společnosti Avast Software

Viz také: Avast se stal nejhodnotnější IT firmou v ČR

Uvedena byla služba AVG Business Secure Sign-On (SSO). Řešení AVG Business SSO se opírá o technologii společnosti Centrify. Partnerům AVG a firmám způsob, jak spravovat firemní data na mobilních zařízeních zaměstnanců a v cloudových aplikacích. Řešení nabízí jednotné přihlašování s vícefaktorovou autentizací. Z aplikací podporuje např. MS Office 365, Salesforce, Webex, Facebook a LinkedIn. Zdroj: tisková zpráva společnosti AVG

Nová verze Eset Secure Authentication obsahuje rozhraní pro programování aplikací API, které umožní spravovat celé autentizační řešení s využitím vlastní aplikace, a navíc nově podporuje i hardwarové tokeny. Při migraci z tradičních hardwarových autentizačních řešení mohou stávající uživatelé nadále používat hardwarové tokeny, zatímco noví uživatelé mohou využít aplikaci, která generuje jednorázová hesla v jejich smartphonech. Zdroj: tisková zpráva společnosti Eset

Představeno bylo řešení Kaspersky Total Security – multidevice. Řešení je určeno pro domácí uživatele, chrání zařízení Windows, OS X, Android, iOS a Windows Phone a je lokalizováno do češtiny. Integrace s portálem My Kaspersky zajišťuje jednotnou správu všech zařízení. Zdroj: tisková zpráva společnosti Kaspersky Lab

Počet finančních útoků na uživatele systému Android vzrostl v roce 2014 3,25krát. Tato čísla zahrnují i jeden nejnebezpečnějších typů malwaru, bankovní trojské koně. Z nich nejrozšířenější (alespoň z hlediska detekce produkty Kaspersky Lab) označuje studie jako Faketoken, Svpeng a Marcher. Zdroj: tisková zpráva společnosti Kaspersky Lab

Podíl spamu v e-mailové komunikaci v loňském roce dosáhl 66,8 %, což je o 2,8 % méně než v roce 2013. Největším zdrojem spamu byly USA (16,7 %), následované Ruskem (5,9 %) a Čínou (5,5 %). Další výsledky studie: Phishing začal s oblibou imitovat e-mail poslaný z mobilního zařízení. Tyto zprávy obsahují velice krátký nebo neexistující text a podpis ve formě „Posláno z mého iPhonu (či jiného zařízení)“. Kromě toho obsahují odkazy na škodlivé přílohy/weby.

Masově rozesílané spamy často imitují oznámení z různých mobilních aplikací, jako jsou WhatsApp nebo Viber. Uživatelé jsou zvyklí na synchronizaci aplikací na různých platformách, synchronizaci kontaktních dat mezi aplikacemi a různá oznámení mezi nimi, takže klikají na příslušné odkazy. Zdroj: tisková zpráva společnosti Kaspersky Lab

Canon rozšiřuje svou produktovou řadu síťových bezpečnostních kamer o devět nových modelů. Novinky pokrývají všechny třídy těchto zařízení včetně modelů pro venkovní a vnitřní použití, kamer typu PTZ (Pan, Tilt and Zoom – otáčení, naklánění i zoom), pevných kopulových a pevných box kamer. Zdroj: tisková zpráva společnosti Canon Europe

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Infor Visual 9 dostupný na českém a slovenském trhu

Pavel Houser , 25. duben 2018 12:13

Nová verze je odpovědí na současný nárůst zakázek a potřebu zvýšit výkonnost v malých a středně velk...

Více 0 komentářů

Apple začne splácet irské vládě miliardový daňový nedoplatek

ČTK , 25. duben 2018 10:00

Apple se proti předloňskému rozhodnutí Evropské komise o zaplacení 13 miliard eur odvolal, stejně ja...

Více 0 komentářů

Streamování je poprvé největším zdrojem příjmů hudebního průmyslu

ČTK , 25. duben 2018 09:00

Příjmy hudebního průmyslu se díky streamování začaly zvyšovat po dlouhém období poklesu. ...

Více 0 komentářů

Kalendář

24. 04.

25. 04.
IQRF Summit 2018
25. 04. IT mezi paragrafy 2018
30. 04.

03. 05.
Dell EMC World 2018

Starší zprávičky

V ČR a na Slovensku se prodá přes milion a půl flash disků

Pavel Houser , 25. duben 2018 08:00

Přitom jen naprosté minimum jich je zabezpečených, uvádí Kingston s ohledem na blížící se platnost G...

Více 0 komentářů

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů