Konec přehledných bulletinů zabezpečení

Pavel Houser , 10. květen 2017 08:00 1 komentářů
Rubriky: Security
Konec přehledných bulletinů zabezpečení

Pravidelné úterní bezpečnostní aktualizace Microsoftu a k tomu jedna mimořádná pro kritickou chybu v Microsoft Malware Protection Engine. V novém systému oprav se téměř nikdo nevyzná. Další záplaty: Adobe, Cisco, Intel, ovládání monitorů...

Nový způsob zveřejňování bezpečnostních aktualizací Microsoftu způsobuje, že se v situaci málokdo vyzná. Změny se netýkají pouze samotných aktualizací (třeba stahovat najednou, kumulativní aktualizace pro jednotlivé OS jako celek), ale i informování o nich. Dříve srozumitelné členění na bulletiny zabezpečení vzalo za své; nakonec i na globálních zpravodajských webech se informace o aktualizacích objevují stále později nebo vůbec.

Snad lze konstatovat, že v tomto se Windows dále přibližují „službě“ nebo „cloudu“, kdy se o stále více věci stará poskytovatel. Se všemi souvisejícími klady a zápory – médiím každopádně Microsoft informování zrovna neusnadňuje, jak tyto změny posuzují správci IT v podnicích? Praxe bulletinů zabezpečení fungovala od roku 2003 a byla celkem přehledná, i když se ji Microsoft tu a tam snažil komplikovat třeba o spíše matoucí rozšiřující funkce typu „exploitability index“.

Ghacks.net konstatuje, že tentokrát, ve druhém květnovém úterý, už nejsou k dispozici opravy pro Windows Vista, záplaty pro Windows 10 RTM jsou uvolněny naposledy a i podpora této verze OS končí. Jinak byly aktualizace vydány pro všechny podporované verze Windows včetně serverových. Dále jsou záplaty určeny pro Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft .NET Framework a Adobe Flash Player (Microsoft již tradičně distribuuje i záplaty Adobe). Reportovány byly problémy s aktualizací KB3008923 pro Internet Explorer (InfoWorld). U oprav, které jsou vedeny jako určené pro operační systém a MS Office, závisí závažnost na konkrétní verzi. Z aktualizací pro Internet Explorer Microsoft jako kritické uvádí 2 z 10, u MS Edge 16 z 28.

Kritická zranitelnost bezpečnostních nástrojů MS

Microsoft ještě před pravidelnými květnovými opravami zalátal vzdáleně zneužitelnou chybu (CVE-2017-0290) ve svých nástrojích pro ochranu před malwarem. Samotná chyba byla ve skenovacím enginu, který je součástí většiny bezpečnostních řešení Microsoftu včetně Windows Defenderu od Windows 7, Microsoft Security Essentials, Microsoft Forefront Endpoint Protection atd.

Problém odhalili Tavis Ormandy a Natalie Silvanovich z Google Project Zero a byl zneužitelný vzdáleně. Stačilo, aby program Microsoft Malware Protection Engine dostal ke skenování speciálně vytvořený soubor, což se dalo docílit např. tím, že soubor byl přilopojen jako příloha e-mailu, oběť ho ani nemusela otevřít. Jinou možností útoku byla kontrola při stahování souboru z webu (lze nastavit automatické stahování už při zobrazení stránky). Vložený kód měl přitom nejvyšší oprávnění, stejně jako samotné bezpečnostní řešení. Ormady uvedl, že jde o nejhorší případ možného vzdáleného spuštění kódu ve Windows z poslední doby. Microsoft proto vydal opravu jako mimořádnou, tentokrát velmi rychle po reportu chyby.

Další chyby a záplaty

Adobe vydala 9. 5. současně s Microsoftem opravy pro přehrávač Flash Player (7 záplat, v porovnání s jinými měsíci relativně málo) a tentokrát rovněž pro nástroj Experience Manager (cca systém CMS, chyba je v součásti Forms). Chyby v přehrávači reportovali především Jihui Lu z Tencent KeenLab a tým Google Project Zero. Opravená verze Flash Playeru má číslo 25.0.0.171, kritické zranitelnosti se vztahovaly ke všem operačním systémům i plug-inům pro webové prohlížeče.

V softwaru pro správu monitorů od firmy Portrait Displays, který užívá většina světových dodavatelů (podle SecurityWeek: Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba), byla objevena bezpečnostní chyba umožňující spuštění kódu. Zranitelnost má nicméně pouze povahu eskalace oprávnění, nepřihlášený vzdálený útočník by tímto způsobem přístup k systému získat neměl. Záplata je již k dispozici. Příslušná aplikace se někdy klasifikuje jako bloatware, tj. dodávána je spíše s levnějšími systémy.

Nalezena byla chyba CVE-2017-5689 v technologii Intelu pro správu počítače AMT (Active Management Technology); dále se uvádí, že podle dodatečných zjištění podobný problém postihuje i Intel Standard Manageability (ISM) a Intel Small Business Technology (SBT) verze 6 až 11.6. Zranitelnost umožňuje útočníkovi získat za určitých podmínek vzdálený přístup k systému (bez ohledu na OS). Vlastní záplatu (aktualizaci firmwaru) vydal Intel, z výrobců zařízení již vydání opravy oznámil např. Dell; situaci lze řešit i zákazem konkrétních služeb apod. změnami nastavení.

Intel uvolnil i nástroj, který otestuje systém a sdělí uživateli, zda jeho konfigurace je zranitelná. Samotná chyba podle všeho pochází už z roku 2010. Problém objevil Maksim Malyutin z firmy Embedi. The Hacker News upozorňuje, že problém lze vzdáleně zneužít i u vypnutého počítače. Podle The Register zase výzkumníci Positive Technology převedli, jak tento problém zneužít dokonce k ovládnutí bankomatu a neoprávněnému výběru peněz, i když postup vyžaduje splnění řady dodatečných podmínek a v praxi ho podle všeho nikdo zatím neprovedl.

Cisco vydalo opravu pro zranitelnosti v mnoha svých přepínačích (CVE-2017-3881). Má se jednat o jednu z chyb v „seznamu CIA“, i když není jasné, zda se někdo už pokoušel o zneužití. To je možné přes protokol Telnet pomocí zaslání příkazu CMP (cluster management protocol). Seznam dotčených zařízení je velmi dlouhý, nicméně kromě instalace opravy stačí na zařízení prostě i zakázat Telnet, správa zařízení přes SSH zranitelná tímto způsobem zřejmě není.


Komentáře

Kazzan #0
Kazzan 10. květen 2017 17:40

IT profesionálové i novináři mají možnost dále využívat službu Security Guide. Zvláště IT profesionálové nově získávají přístup k API, jak bezpečnostní notifikace vyčítat automaticky podobně jako v Office 365.

RSS 

Komentujeme

CCDO: další zkratka na obzoru?

Pavel Houser , 17. květen 2018 09:00

Nová náplň práce CIO a ředitelé přes zákazníky, respektive zákaznická data....

Více







RSS 

Zprávičky

Apple začal irské vládě splácet daňový nedoplatek

ČTK , 21. květen 2018 08:00

Doplacení nařídila Evropská komise, podle níž Irsko řadu let poskytovalo Applu neoprávněné daňové vý...

Více 0 komentářů

ČR má v Evropě 3. nejvyšší platbu za 1 GB mobilních dat

ČTK , 20. květen 2018 16:04

Ve výši průměrného měsíčního tarifu patří ČR s 33 dolary k evropskému průměru....

Více 0 komentářů

Algotech a Sugar Factory se spojují

Pavel Houser , 19. květen 2018 09:00

Společnost Algotech oznámila převzetí společnosti Sugar Factory, českého dodavatele řešení pro řízen...

Více 0 komentářů

Starší zprávičky

Infineon postaví za 1,6 mld. eur novou továrnu na čipy v Rakousku

ČTK , 19. květen 2018 08:00

Infineon je předním světovým producentem polovodičových řešení, v loňském fiskálním roce dosáhl trže...

Více 0 komentářů

Výrobce displejů Japan Display měl loni rekordní ztrátu

ČTK , 18. květen 2018 12:00

Dodavatel Applu doplácí na pozdní zavedení výroby OLED, v iPhone X Apple používá displeje od Samsung...

Více 0 komentářů

Toshiba smí prodat čipovou divizi

ČTK , 18. květen 2018 09:00

Firma se snaží vzpamatovat z účetního skandálu, před 3 lety přiznala rozsáhlé nesrovnalosti v účetni...

Více 0 komentářů

Nová varianta ransomwaru SynAck je schopná obejít zabezpečení

Pavel Houser , 18. květen 2018 08:00

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované funkce...

Více 0 komentářů