Bezpečnostní přehled: Všichni opravují chybu Freak

Pavel Houser , 16. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Všichni opravují chybu Freak

Kritické záplaty pro Windows i Internet Explorer, zranitelnost Stuxnet prý přetrvávala 5 let. Phishing s oblibou imituje zprávy zaslané z iPhonu. Adobe nechce platit za objevené bezpečnostní záplaty. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Březnové záplaty Microsoftu

Microsoft vydal minulé úterý 14 bulletinů zabezpečení, které opravují celkem 44 zranitelností. 5 bulletinů spadá do kategorie kritických. Opravy řeší chybu Freak, kritické záplaty jsou určeny pro Internet Explorer, Windows a MS Office.

MS15-018 je kritickou kumulativní opravou pro všechny podporované verze MSIE, některé z chyb mohou vést ke vzdálenému spuštění kódu; dosud podle všeho nedochází k útokům. MS15-019 je rovněž kritická oprava, týká se však jen MSIE 6 a 7 (konkrétně práce s VBScriptem). Bulletin zabezpečení MS15-020 je kritický pro všechny podporované verze Windows, ke vzdálenému spuštění kódu stačí navštívit podvodný web nebo kliknout na speciálně upravený soubor DLL. Obdobnou povahu má kritická chyba ve Windows opravená záplatou MS15-021; problém je v tomto případě ve fungování komponenty Adobe Font Driver.

Poslední z kritických záplat MS15-021 je určena pro MS Office a MS SharePoint Server (zde chyba nemá statut kritické ve všech případech, někde může vést ke vzdálenému spuštění kódu, jinde jen ke zvýšení uživatelských oprávnění).

Problém Freak řeší záplata MS15-031 určená pro všechny podporované verze Windows včetně serverových, tento bulletin zabezpečení však není označen jako kritický. Viz také: Freak hrozí i na Windows Původně se mělo zato, že zranitelností implementací SSL, která je důsledkem použití příliš krátkých šifrovacích klíčů, je na straně klienta ohrožen pouze Android, iOS a Mac OS X.

Stuxnet po 5 letech

Poslední dávka aktualizací Microsoftu prý také opravují chybu v záplatě z roku 2010, která byla vydána proti červu Stuxnet. Brian Gorenc z TippingPoint (HP) uvedl, že původní oprava totiž ponechávala problém při zpracování souborů LNK. Problém se týká všech podporovaných verzí Windows a oprava MS15-020, která ho mj. řeší (viz výše), je pro všechny OS označena za kritickou. Není známo, zda během 5 let si chyby povšimli útočníci a došlo ke zneužití, je to ale prý celkem pravděpodobné. B. Gorenc uvedl, že zneužití nevyžadovalo ani obcházet ochranné funkce Windows typu znáhodnění paměti.

Adobe raději peníze neslibuje

Adobe spustila svůj vlastní program pro hledání bezpečnostních zranitelností s názvem HackerOne. Reportovat se mají chyby ve webových službách/on-line funkcích a pouze zranitelnosti závažného typu. Nebude se platit, spolupracovníci pouze získají veřejné poděkování, prestiž a kredit. (The Register ironicky poznamenává, že k tomu má vzhledem k množství chyb v přehrávači Flash Player nebo Acrobat Readeru Adobe dobré důvody.) Od spolupracovníků se navíc vyžaduje ponechat před zveřejněním problému firmě čas na vývoj opravy, i když doba se přesně nespecifikuje.

Torrent těží LiteCoin

Klient μTorrent od Epic Software obsahuje nástroj na těžbu měny LiteCoin. K instalaci sice musel dát souhlas uživatel, ovšem nastaveno bylo vše tak, že k tomu stačilo proces odklepat. Epic Software se brání, že v podmínkách je napsáno, že takto získané peníze mají být použity na výzkumné účely především v oblasti medicíny, ale i tak počínání vzbudilo značnou nevoli. (Těžba na pozadí běží jen při práci s Torrentem a nástroj lze odinstalovat separátně; pokud ovšem uživatel zaznamená jeho existenci.)

Apple také opravuje Freak

Apple vydal opravy pro iOS a Mac OS X: OS X Security Update 2015-002 a iOS 8.2. Obě aktualizace látají kritické zranitelnosti, mezi jiným i chybu Freak, tj. riziko odposlechu protokolu SSL/TLS (analogické opravy Microsoftu viz výše). Opraveny byly ale i přímo zranitelnosti umožňující vzdálené spuštění kódu, chyby CVE-2015-1061 a CVE-2015-1066 zase umožňovaly, aby se malware spouštěl s nejvyššími oprávněními. Další problémy umožňovaly škodlivým aplikacím obcházet mechanismus znáhodnění paměti.

Seagate nepokládá chybu v úložištích NAS za reálné riziko

Seagate připustil, že v jeho úložných systémech NAS se nachází zero day chyba, oprava je nicméně přislíbena až na květen. Firma tvrdí, že riziko zneužití je ve skutečnosti nízké a scénář ovládnutí zařízení přes internet nepravděpodobný. Doporučuje se zakázat internetový přístup ke správcovskému webovému rozhraní, službám FTP a umístit úložiště za firewall (respektive toto vše zkontrolovat, protože odpovídající nastavení je vhodné bez ohledu na aktuální problém). Viz také: Zero day chyby na každém kroku

PayPal nakupuje v Izraeli

PayPal koupil za 60 milionů dolarů izraelský start-up ProActive. Firma vyvíjí bezpečnostní nástroje, které mají předvídat, jak bude vypadat budoucí malware/způsoby útoků. Dle vyjádření ProActive přitom používá algoritmy inspirované živou přírodou a odvozenými technikami typu genetického programování.

Antivirus detekoval sám sebe

Falešné poplachy spojené s označením běžně používaných aplikací za malware se tu a tam stanou asi každému dodavateli. Španělská firma Panda nyní měla problém poněkud vážnější: aktualizovaná aplikace označila jako malware své vlastní komponenty. Pokud je uživatel odstranil, po restartu počítač navíc nešlo připojit k Internetu (tj. problém cca odpovídá tomu, když antiviry odstraní nějakou součást Windows, byť o to v tomto případě nešlo). Následně se tutíž nedala stáhnout ani oprava aktualizace, jakmile ji Panda dala k dispozici.

Ze světa firem

Avast utržil za rok 217 milionů dolarů, což představuje meziroční nárůst o 51 %; zisk EBITDA dosáhl 154 mil. dolarů. 99 % tržeb bylo vygenerováno mimo ČR. Počet uživatelů vzrostl o 30 milionů na celkových 230 milionů. Avast v loňském roce přijal více než 150 nových zaměstnanců, letos chce přijmout více než 200 dalších odborníků. Převážná většina těchto nových pozic se bude otevírat v Praze, kde v tuto chvíli pracuje více než 90 % zaměstnanců společnosti. Zdroj: tisková zpráva společnosti Avast Software

Viz také: Avast se stal nejhodnotnější IT firmou v ČR

Uvedena byla služba AVG Business Secure Sign-On (SSO). Řešení AVG Business SSO se opírá o technologii společnosti Centrify. Partnerům AVG a firmám způsob, jak spravovat firemní data na mobilních zařízeních zaměstnanců a v cloudových aplikacích. Řešení nabízí jednotné přihlašování s vícefaktorovou autentizací. Z aplikací podporuje např. MS Office 365, Salesforce, Webex, Facebook a LinkedIn. Zdroj: tisková zpráva společnosti AVG

Nová verze Eset Secure Authentication obsahuje rozhraní pro programování aplikací API, které umožní spravovat celé autentizační řešení s využitím vlastní aplikace, a navíc nově podporuje i hardwarové tokeny. Při migraci z tradičních hardwarových autentizačních řešení mohou stávající uživatelé nadále používat hardwarové tokeny, zatímco noví uživatelé mohou využít aplikaci, která generuje jednorázová hesla v jejich smartphonech. Zdroj: tisková zpráva společnosti Eset

Představeno bylo řešení Kaspersky Total Security – multidevice. Řešení je určeno pro domácí uživatele, chrání zařízení Windows, OS X, Android, iOS a Windows Phone a je lokalizováno do češtiny. Integrace s portálem My Kaspersky zajišťuje jednotnou správu všech zařízení. Zdroj: tisková zpráva společnosti Kaspersky Lab

Počet finančních útoků na uživatele systému Android vzrostl v roce 2014 3,25krát. Tato čísla zahrnují i jeden nejnebezpečnějších typů malwaru, bankovní trojské koně. Z nich nejrozšířenější (alespoň z hlediska detekce produkty Kaspersky Lab) označuje studie jako Faketoken, Svpeng a Marcher. Zdroj: tisková zpráva společnosti Kaspersky Lab

Podíl spamu v e-mailové komunikaci v loňském roce dosáhl 66,8 %, což je o 2,8 % méně než v roce 2013. Největším zdrojem spamu byly USA (16,7 %), následované Ruskem (5,9 %) a Čínou (5,5 %). Další výsledky studie: Phishing začal s oblibou imitovat e-mail poslaný z mobilního zařízení. Tyto zprávy obsahují velice krátký nebo neexistující text a podpis ve formě „Posláno z mého iPhonu (či jiného zařízení)“. Kromě toho obsahují odkazy na škodlivé přílohy/weby.

Masově rozesílané spamy často imitují oznámení z různých mobilních aplikací, jako jsou WhatsApp nebo Viber. Uživatelé jsou zvyklí na synchronizaci aplikací na různých platformách, synchronizaci kontaktních dat mezi aplikacemi a různá oznámení mezi nimi, takže klikají na příslušné odkazy. Zdroj: tisková zpráva společnosti Kaspersky Lab

Canon rozšiřuje svou produktovou řadu síťových bezpečnostních kamer o devět nových modelů. Novinky pokrývají všechny třídy těchto zařízení včetně modelů pro venkovní a vnitřní použití, kamer typu PTZ (Pan, Tilt and Zoom – otáčení, naklánění i zoom), pevných kopulových a pevných box kamer. Zdroj: tisková zpráva společnosti Canon Europe

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů