margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: záplaty Microsoftu a bezpečnostní kiksy Apple

Pavel Houser , 10. květen 2012 08:00 0 komentářů
Bezpečnostní přehled: záplaty Microsoftu a bezpečnostní kiksy Apple

Microsoft vydal květnový balíček záplat. Jak je na tom s bezpečností Apple? Flash Player více podporuje technologie sandboxu. Následuje pravidelný čtvrteční bezpečnostní přehled. Kromě oprav Microsoftu se ale, jak se zdá, nic závažného na poli IT bezpečnosti nepřihodilo (samozřejmě s výhradou, že klíčové události obvykle vyjdou najevo až po určité době).

Druhé úterý v měsíci znamená další dávku pravidelných záplat Microsoftu. Tentokrát bylo vydáno 7 aktualizací pro 23 bezpečnostních zranitelností. Kritické opravy se týkají Windows, MS Office, Silverlight a rozhraní .NET.

Záplata MS12-034 je pak speciálně navržena pro způsoby, jimž se šíří červ Duqu (respektive: vztahuje se zřejmě k problémům s předešlou záplatou, kterou Microsoft vydal proti tomuto červu), ale zahrnuje v sobě i další opravy. Microsoft pokládá za krajně pravděpodobné, že zneužití příslušných chyb se do měsíce objeví ve volném oběhu. Příslušný bulletin zabezpečení přitom pokrývá prakticky celé portfolio klientských produktů Microsoftu. Zneužití je možné např. při zpracování určitých fontů vložených do dokumentu (web i jiné), kdy útočník může získat kontrolu nad napadeným systémem. Stačí jen například přimět uživatele klepnout na hypertextový odkaz.

Další kritická záplata pro MS Office (MS12-029) opravuje chybu, která umožňuje vzdálené spuštění kódu kvůli zranitelnosti ve Wordu. Útočník by nicméně neměl získat administrátorský přístup k systému a zranitelnost se údajně netýká MS Office 2010. MS Office, konkrétně aplikaci Visio, řeší i bulletin zabezpečení MS12-031.

Zdroj: The Register. ZDNet

Teroristická skupina Lashkar-e-Taiba (cíl: odtržení Kašmíru od Indie, spolupachatelé útoků v Bombaji v roce 2008) si údajně dokázala vybudovat vlastní VoIP síť, která propojuje členy v rámci infrastruktury GPRS. Metoda prý celkem spolehlivě chrání před odposlechem komunikace ze strany indické policie.

Zdroj: The Register

Vyjádření z Kapsersky Lab srovnává současné zabezpečení systémů Apple se situací, jaká u Microsoftu panovala zhruba před 10 lety. Po malwaru Flashbakc/Flashfake teď bude nějakou dobu trvat, než Apple na situaci dokáže adekvátně zareagovat. Nejde jen o samotnou opravu, ale vůbec o nastartování procesu pravidelného uvolňování záplat a všech souvisejících procedur i při vývoji nových verzí softwaru (bezpečnostní audit apod.).

Útočníci teď vidí, že Mac OS zasáhnout lze, a vzhledem k rozšiřování platformy Apple je takový postup i celkem nadějný z hlediska efektivity. Takže se prý nyní můžeme těšit na záplavu macovského malwaru, a to alespoň do té doby, než Apple zavede účinnější protiopatření.

Zdroj: The Register Dále na ITBiz: Kaspersky: co se týče bezpečnosti, je Apple 10 let za Microsoftem

Ed Bot na serveru ZDNet srovnává poslední aktualizace Applu a Microsoftu i způsob, jak obě firmy komunikují se zákazníky. Bulletiny zabezpečení Microsoftu jsou pro uživatele transparentní, přesně popisují dotčené produkty i závažnost chyby, Microsoft k tomu navíc i přidává exploitability index s odhadem rizika zneužití.

Publikována je řada technických informací; samozřejmě je lze ignorovat a záplaty prostě nainstalovat, současně se ale tyto údaje mohou velmi pro specialisty ve firmách, když musí řešit třeba pořadí instalace oprav.

Naopak poslední útok proti MacOS X v první fázi zneužíval zranitelnosti v Javě. Oracle vydal opravu již v únoru, Apple (který kontroluje implementaci Javy pro Mas OS) ji začal distribuovat až skoro o dva měsíce později. Ani poté Apple nepublikoval rozsáhlejší informace a většinu práce za něj musely odvést nezávislé bezpečnostní firmy.

Apple přitom pro zabezpečení svého ekosystému v poslední době najal řadu renomovaných lidí, ale to asi nestačí. Zabezpečení bylo příliš dlouho v pozadí zájmu, firemní procesy nejsou orientovány tímto způsobem. Společnost bude nyní svádět boj, aby si udržela (nebo obnovila?) důvěru zákazníků. Je třeba lépe komunikovat, spolupracovat s nezávislými bezpečnostními firmami i jednotlivci. Peněz má Apple dost, ale zatím prý volí spíše taktiku strkání hlavy do písku.

Zdroj: ZDNet

poznámka: Nakolik ale hrozí tyto incidenty ovlivnit samotné podnikání Applu? Mohou mít dopad i na oblast smartphonů a tabletů? Je dnes pro Apple jako „trendy“ společnost orientovanou na koncové uživatele vůbec zvlášť podstatné, když se o ní kriticky píše na webech specializovaných na IT?

Chyba v protokolu Skype umožňuje zachytiti IP adresu účastníků komunikace. Za normálních okolností není IP adresa nic tajného, ale přece jen to lze chápat jako bezpečnostní zranitelnost; pokud chce někdo na Skypu zůstat v anonymitě, prostě to nefunguje. Metoda sledování přitom nemá být závislá na konkrétním klientovi pro služby Skype. Zájemce navíc může získat IP adresu i pomocí formulářové služby, aniž by sám měl účet na Skype. Microsoft problém zkoumá.

Zdroj: HelpNet Security

V sandboxu, respektive chráněném režimu, by měl brzy běžet i přehrávač Adobe Flash Player v podobě plug-inu pro Firefox (pro FF 4.0 a Windows Vista, respektive vyšší verze obého). Tento režim zatím fungoval pouze v rámci Google Chrome. Stupeň zabezpečení/oddělení od zbytku systému má být zhruba na stejné úrovni, jako u Adobe Readeru (X), jehož nejnovější verze již také podporují sandbox. Od jeho uvedení koncem roku 2010 se proti novým verzím Readeru již podle Adobe plošně nerozšířil žádný úspěšný pokus o exploit.

Zdroj: HelpNet Security

Nová hackerská skupinka Unknown zveřejnila data, která mají dokazovat, že se útočníkům podařilo proniknout do systémů NASA, ESA, US Air Force a dalších institucí. Uniklé údaje mají mít hlavně podobu jmen a hesel uživatelů interních systémů těchto institucí. Zdroj: SecurityNewsDaily

Kompromitováno bylo tisíce účtu Twitteru, zveřejněna byla hesla k účtům a odpovídající e-mailové adresy uživatelů. Celkem má jít asi o 55 000 položek, nicméně je zde hodně duplicit, mezitím pozastavených spammerských účtů a celá záležitost je vůbec poněkud podivná (např. mnoho hesel je silných, formát zveřejněných dat neodpovídá Twitteru, hesla jsou mnohdy asi spárována s jinými uživatelskými jmény apod.). Není jasné, jak vlastně k incidentu došlo, asi se něco stalo někde jinde než u provozovatele. Nicméně Twitter by měl začít řešit existenci množství „robotických“ účtů a způsobů, jak se s nimi pracuje...

Zdroj: CNet, ZDNet

Více než polovina evropských firem, které zavedly nebo plánují v brzké době zavést virtualizační technologii, zatím neplánuje implementaci relevantních bezpečnostních prvků pro svá virtuální prostředí. Vyplývá to z březnového průzkumu Kaspersky Lab. Průzkum probíhal mezi IT manažery středních a velkých firem, které již virtuální infrastrukturou disponují, nebo plánují její implementaci v dohledné době.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Eset zpřístupnil svůj bezpečnostní produkt Eset Mobile Security pro mobilní zařízení na platformě Android na online tržišti Google Play Zdroj: tisková zpráva společnosti Eset

Uživatelé elektrických zabezpečovacích systémů produktové řady SPC značky Siemens mohou nyní sledovat a ovládat své systémy téměř odkudkoliv. Umožňuje to nová aplikace pro mobilní zařízení značky Apple SPCanywhere, která je dostupná zdarma na portálu AppStore.

Zdroj: tisková zpráva společnosti Siemens


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 5 komentářů

Starší zprávičky

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů