Konec přehledných bulletinů zabezpečení

Pavel Houser , 10. květen 2017 08:00 1 komentářů
Rubriky: Security
Konec přehledných bulletinů zabezpečení

Pravidelné úterní bezpečnostní aktualizace Microsoftu a k tomu jedna mimořádná pro kritickou chybu v Microsoft Malware Protection Engine. V novém systému oprav se téměř nikdo nevyzná. Další záplaty: Adobe, Cisco, Intel, ovládání monitorů...

Nový způsob zveřejňování bezpečnostních aktualizací Microsoftu způsobuje, že se v situaci málokdo vyzná. Změny se netýkají pouze samotných aktualizací (třeba stahovat najednou, kumulativní aktualizace pro jednotlivé OS jako celek), ale i informování o nich. Dříve srozumitelné členění na bulletiny zabezpečení vzalo za své; nakonec i na globálních zpravodajských webech se informace o aktualizacích objevují stále později nebo vůbec.

Snad lze konstatovat, že v tomto se Windows dále přibližují „službě“ nebo „cloudu“, kdy se o stále více věci stará poskytovatel. Se všemi souvisejícími klady a zápory – médiím každopádně Microsoft informování zrovna neusnadňuje, jak tyto změny posuzují správci IT v podnicích? Praxe bulletinů zabezpečení fungovala od roku 2003 a byla celkem přehledná, i když se ji Microsoft tu a tam snažil komplikovat třeba o spíše matoucí rozšiřující funkce typu „exploitability index“.

Ghacks.net konstatuje, že tentokrát, ve druhém květnovém úterý, už nejsou k dispozici opravy pro Windows Vista, záplaty pro Windows 10 RTM jsou uvolněny naposledy a i podpora této verze OS končí. Jinak byly aktualizace vydány pro všechny podporované verze Windows včetně serverových. Dále jsou záplaty určeny pro Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft .NET Framework a Adobe Flash Player (Microsoft již tradičně distribuuje i záplaty Adobe). Reportovány byly problémy s aktualizací KB3008923 pro Internet Explorer (InfoWorld). U oprav, které jsou vedeny jako určené pro operační systém a MS Office, závisí závažnost na konkrétní verzi. Z aktualizací pro Internet Explorer Microsoft jako kritické uvádí 2 z 10, u MS Edge 16 z 28.

Kritická zranitelnost bezpečnostních nástrojů MS

Microsoft ještě před pravidelnými květnovými opravami zalátal vzdáleně zneužitelnou chybu (CVE-2017-0290) ve svých nástrojích pro ochranu před malwarem. Samotná chyba byla ve skenovacím enginu, který je součástí většiny bezpečnostních řešení Microsoftu včetně Windows Defenderu od Windows 7, Microsoft Security Essentials, Microsoft Forefront Endpoint Protection atd.

Problém odhalili Tavis Ormandy a Natalie Silvanovich z Google Project Zero a byl zneužitelný vzdáleně. Stačilo, aby program Microsoft Malware Protection Engine dostal ke skenování speciálně vytvořený soubor, což se dalo docílit např. tím, že soubor byl přilopojen jako příloha e-mailu, oběť ho ani nemusela otevřít. Jinou možností útoku byla kontrola při stahování souboru z webu (lze nastavit automatické stahování už při zobrazení stránky). Vložený kód měl přitom nejvyšší oprávnění, stejně jako samotné bezpečnostní řešení. Ormady uvedl, že jde o nejhorší případ možného vzdáleného spuštění kódu ve Windows z poslední doby. Microsoft proto vydal opravu jako mimořádnou, tentokrát velmi rychle po reportu chyby.

Další chyby a záplaty

Adobe vydala 9. 5. současně s Microsoftem opravy pro přehrávač Flash Player (7 záplat, v porovnání s jinými měsíci relativně málo) a tentokrát rovněž pro nástroj Experience Manager (cca systém CMS, chyba je v součásti Forms). Chyby v přehrávači reportovali především Jihui Lu z Tencent KeenLab a tým Google Project Zero. Opravená verze Flash Playeru má číslo 25.0.0.171, kritické zranitelnosti se vztahovaly ke všem operačním systémům i plug-inům pro webové prohlížeče.

V softwaru pro správu monitorů od firmy Portrait Displays, který užívá většina světových dodavatelů (podle SecurityWeek: Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba), byla objevena bezpečnostní chyba umožňující spuštění kódu. Zranitelnost má nicméně pouze povahu eskalace oprávnění, nepřihlášený vzdálený útočník by tímto způsobem přístup k systému získat neměl. Záplata je již k dispozici. Příslušná aplikace se někdy klasifikuje jako bloatware, tj. dodávána je spíše s levnějšími systémy.

Nalezena byla chyba CVE-2017-5689 v technologii Intelu pro správu počítače AMT (Active Management Technology); dále se uvádí, že podle dodatečných zjištění podobný problém postihuje i Intel Standard Manageability (ISM) a Intel Small Business Technology (SBT) verze 6 až 11.6. Zranitelnost umožňuje útočníkovi získat za určitých podmínek vzdálený přístup k systému (bez ohledu na OS). Vlastní záplatu (aktualizaci firmwaru) vydal Intel, z výrobců zařízení již vydání opravy oznámil např. Dell; situaci lze řešit i zákazem konkrétních služeb apod. změnami nastavení.

Intel uvolnil i nástroj, který otestuje systém a sdělí uživateli, zda jeho konfigurace je zranitelná. Samotná chyba podle všeho pochází už z roku 2010. Problém objevil Maksim Malyutin z firmy Embedi. The Hacker News upozorňuje, že problém lze vzdáleně zneužít i u vypnutého počítače. Podle The Register zase výzkumníci Positive Technology převedli, jak tento problém zneužít dokonce k ovládnutí bankomatu a neoprávněnému výběru peněz, i když postup vyžaduje splnění řady dodatečných podmínek a v praxi ho podle všeho nikdo zatím neprovedl.

Cisco vydalo opravu pro zranitelnosti v mnoha svých přepínačích (CVE-2017-3881). Má se jednat o jednu z chyb v „seznamu CIA“, i když není jasné, zda se někdo už pokoušel o zneužití. To je možné přes protokol Telnet pomocí zaslání příkazu CMP (cluster management protocol). Seznam dotčených zařízení je velmi dlouhý, nicméně kromě instalace opravy stačí na zařízení prostě i zakázat Telnet, správa zařízení přes SSH zranitelná tímto způsobem zřejmě není.


Komentáře

Kazzan #0
Kazzan 10. květen 2017 17:40

IT profesionálové i novináři mají možnost dále využívat službu Security Guide. Zvláště IT profesionálové nově získávají přístup k API, jak bezpečnostní notifikace vyčítat automaticky podobně jako v Office 365.

RSS 

Komentujeme

Deset minut s Einsteinem

Richard Jan Voigts , 18. listopad 2017 10:45
Richard Jan Voigts

Při návštěvě Švýcarska jsme strávili den na Eidgenoessiche Technische Hochschule Zurich – Swiss Fede...

Více







RSS 

Zprávičky

V zóně u Žatce by mohlo stát datové centrum za 15 miliard

ČTK , 23. listopad 2017 12:26

V průmyslové zóně Triangle u Žatce může vzniknout datové centrum pro společnosti a instituce z celé ...

Více 0 komentářů

ÚOHS schválil změnu vlastníka většiny v AutoContu

ČTK , 23. listopad 2017 09:00

Spojení AutoContu a KKCG nemá mít za následek podstatné narušení hospodářské soutěže...

Více 0 komentářů

Česká hra o atentátu na Heydricha se dostala do světové distribuce Steam

ČTK , 23. listopad 2017 08:30

Do distribuce českou hru dostali hlasováním sami hráči....

Více 0 komentářů

Starší zprávičky

Čína vyvíjí vlastní digitální měnu

ČTK , 23. listopad 2017 08:00

Čínské vedení vyvíjí vlastní kryptoměnu. Chce tak oslabit vliv bitcoinu a dalších virtuálních měn, n...

Více 0 komentářů

Hackeři ukradli Uberu data 57 milionů zákazníků a řidičů

ČTK , 22. listopad 2017 09:15

Incident společnost rok tajila a hackerům zaplatila....

Více 0 komentářů

Tuzemské banky útok trojského koně nezaznamenaly

ČTK , 22. listopad 2017 09:00

Banky ČSOB, Sberbank a Air Bank nezaznamenaly útok trojského koně BankBot na své aplikace mobilního ...

Více 0 komentářů

ODS chce otevřít diskusi o zavedení elektronických voleb

ČTK , 22. listopad 2017 08:00

Komisaři by také např. už při vkládání výsledků měli kontrolovat, zda na lístcích není nějaký abnorm...

Více 0 komentářů