margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: záplaty Microsoftu a bezpečnostní kiksy Apple

Pavel Houser , 10. květen 2012 08:00 0 komentářů
Bezpečnostní přehled: záplaty Microsoftu a bezpečnostní kiksy Apple

Microsoft vydal květnový balíček záplat. Jak je na tom s bezpečností Apple? Flash Player více podporuje technologie sandboxu. Následuje pravidelný čtvrteční bezpečnostní přehled. Kromě oprav Microsoftu se ale, jak se zdá, nic závažného na poli IT bezpečnosti nepřihodilo (samozřejmě s výhradou, že klíčové události obvykle vyjdou najevo až po určité době).

Druhé úterý v měsíci znamená další dávku pravidelných záplat Microsoftu. Tentokrát bylo vydáno 7 aktualizací pro 23 bezpečnostních zranitelností. Kritické opravy se týkají Windows, MS Office, Silverlight a rozhraní .NET.

Záplata MS12-034 je pak speciálně navržena pro způsoby, jimž se šíří červ Duqu (respektive: vztahuje se zřejmě k problémům s předešlou záplatou, kterou Microsoft vydal proti tomuto červu), ale zahrnuje v sobě i další opravy. Microsoft pokládá za krajně pravděpodobné, že zneužití příslušných chyb se do měsíce objeví ve volném oběhu. Příslušný bulletin zabezpečení přitom pokrývá prakticky celé portfolio klientských produktů Microsoftu. Zneužití je možné např. při zpracování určitých fontů vložených do dokumentu (web i jiné), kdy útočník může získat kontrolu nad napadeným systémem. Stačí jen například přimět uživatele klepnout na hypertextový odkaz.

Další kritická záplata pro MS Office (MS12-029) opravuje chybu, která umožňuje vzdálené spuštění kódu kvůli zranitelnosti ve Wordu. Útočník by nicméně neměl získat administrátorský přístup k systému a zranitelnost se údajně netýká MS Office 2010. MS Office, konkrétně aplikaci Visio, řeší i bulletin zabezpečení MS12-031.

Zdroj: The Register. ZDNet

Teroristická skupina Lashkar-e-Taiba (cíl: odtržení Kašmíru od Indie, spolupachatelé útoků v Bombaji v roce 2008) si údajně dokázala vybudovat vlastní VoIP síť, která propojuje členy v rámci infrastruktury GPRS. Metoda prý celkem spolehlivě chrání před odposlechem komunikace ze strany indické policie.

Zdroj: The Register

Vyjádření z Kapsersky Lab srovnává současné zabezpečení systémů Apple se situací, jaká u Microsoftu panovala zhruba před 10 lety. Po malwaru Flashbakc/Flashfake teď bude nějakou dobu trvat, než Apple na situaci dokáže adekvátně zareagovat. Nejde jen o samotnou opravu, ale vůbec o nastartování procesu pravidelného uvolňování záplat a všech souvisejících procedur i při vývoji nových verzí softwaru (bezpečnostní audit apod.).

Útočníci teď vidí, že Mac OS zasáhnout lze, a vzhledem k rozšiřování platformy Apple je takový postup i celkem nadějný z hlediska efektivity. Takže se prý nyní můžeme těšit na záplavu macovského malwaru, a to alespoň do té doby, než Apple zavede účinnější protiopatření.

Zdroj: The Register Dále na ITBiz: Kaspersky: co se týče bezpečnosti, je Apple 10 let za Microsoftem

Ed Bot na serveru ZDNet srovnává poslední aktualizace Applu a Microsoftu i způsob, jak obě firmy komunikují se zákazníky. Bulletiny zabezpečení Microsoftu jsou pro uživatele transparentní, přesně popisují dotčené produkty i závažnost chyby, Microsoft k tomu navíc i přidává exploitability index s odhadem rizika zneužití.

Publikována je řada technických informací; samozřejmě je lze ignorovat a záplaty prostě nainstalovat, současně se ale tyto údaje mohou velmi pro specialisty ve firmách, když musí řešit třeba pořadí instalace oprav.

Naopak poslední útok proti MacOS X v první fázi zneužíval zranitelnosti v Javě. Oracle vydal opravu již v únoru, Apple (který kontroluje implementaci Javy pro Mas OS) ji začal distribuovat až skoro o dva měsíce později. Ani poté Apple nepublikoval rozsáhlejší informace a většinu práce za něj musely odvést nezávislé bezpečnostní firmy.

Apple přitom pro zabezpečení svého ekosystému v poslední době najal řadu renomovaných lidí, ale to asi nestačí. Zabezpečení bylo příliš dlouho v pozadí zájmu, firemní procesy nejsou orientovány tímto způsobem. Společnost bude nyní svádět boj, aby si udržela (nebo obnovila?) důvěru zákazníků. Je třeba lépe komunikovat, spolupracovat s nezávislými bezpečnostními firmami i jednotlivci. Peněz má Apple dost, ale zatím prý volí spíše taktiku strkání hlavy do písku.

Zdroj: ZDNet

poznámka: Nakolik ale hrozí tyto incidenty ovlivnit samotné podnikání Applu? Mohou mít dopad i na oblast smartphonů a tabletů? Je dnes pro Apple jako „trendy“ společnost orientovanou na koncové uživatele vůbec zvlášť podstatné, když se o ní kriticky píše na webech specializovaných na IT?

Chyba v protokolu Skype umožňuje zachytiti IP adresu účastníků komunikace. Za normálních okolností není IP adresa nic tajného, ale přece jen to lze chápat jako bezpečnostní zranitelnost; pokud chce někdo na Skypu zůstat v anonymitě, prostě to nefunguje. Metoda sledování přitom nemá být závislá na konkrétním klientovi pro služby Skype. Zájemce navíc může získat IP adresu i pomocí formulářové služby, aniž by sám měl účet na Skype. Microsoft problém zkoumá.

Zdroj: HelpNet Security

V sandboxu, respektive chráněném režimu, by měl brzy běžet i přehrávač Adobe Flash Player v podobě plug-inu pro Firefox (pro FF 4.0 a Windows Vista, respektive vyšší verze obého). Tento režim zatím fungoval pouze v rámci Google Chrome. Stupeň zabezpečení/oddělení od zbytku systému má být zhruba na stejné úrovni, jako u Adobe Readeru (X), jehož nejnovější verze již také podporují sandbox. Od jeho uvedení koncem roku 2010 se proti novým verzím Readeru již podle Adobe plošně nerozšířil žádný úspěšný pokus o exploit.

Zdroj: HelpNet Security

Nová hackerská skupinka Unknown zveřejnila data, která mají dokazovat, že se útočníkům podařilo proniknout do systémů NASA, ESA, US Air Force a dalších institucí. Uniklé údaje mají mít hlavně podobu jmen a hesel uživatelů interních systémů těchto institucí. Zdroj: SecurityNewsDaily

Kompromitováno bylo tisíce účtu Twitteru, zveřejněna byla hesla k účtům a odpovídající e-mailové adresy uživatelů. Celkem má jít asi o 55 000 položek, nicméně je zde hodně duplicit, mezitím pozastavených spammerských účtů a celá záležitost je vůbec poněkud podivná (např. mnoho hesel je silných, formát zveřejněných dat neodpovídá Twitteru, hesla jsou mnohdy asi spárována s jinými uživatelskými jmény apod.). Není jasné, jak vlastně k incidentu došlo, asi se něco stalo někde jinde než u provozovatele. Nicméně Twitter by měl začít řešit existenci množství „robotických“ účtů a způsobů, jak se s nimi pracuje...

Zdroj: CNet, ZDNet

Více než polovina evropských firem, které zavedly nebo plánují v brzké době zavést virtualizační technologii, zatím neplánuje implementaci relevantních bezpečnostních prvků pro svá virtuální prostředí. Vyplývá to z březnového průzkumu Kaspersky Lab. Průzkum probíhal mezi IT manažery středních a velkých firem, které již virtuální infrastrukturou disponují, nebo plánují její implementaci v dohledné době.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Eset zpřístupnil svůj bezpečnostní produkt Eset Mobile Security pro mobilní zařízení na platformě Android na online tržišti Google Play Zdroj: tisková zpráva společnosti Eset

Uživatelé elektrických zabezpečovacích systémů produktové řady SPC značky Siemens mohou nyní sledovat a ovládat své systémy téměř odkudkoliv. Umožňuje to nová aplikace pro mobilní zařízení značky Apple SPCanywhere, která je dostupná zdarma na portálu AppStore.

Zdroj: tisková zpráva společnosti Siemens


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů