Konec přehledných bulletinů zabezpečení

Pavel Houser , 10. květen 2017 08:00 1 komentářů
Rubriky: Security
Konec přehledných bulletinů zabezpečení

Pravidelné úterní bezpečnostní aktualizace Microsoftu a k tomu jedna mimořádná pro kritickou chybu v Microsoft Malware Protection Engine. V novém systému oprav se téměř nikdo nevyzná. Další záplaty: Adobe, Cisco, Intel, ovládání monitorů...

Nový způsob zveřejňování bezpečnostních aktualizací Microsoftu způsobuje, že se v situaci málokdo vyzná. Změny se netýkají pouze samotných aktualizací (třeba stahovat najednou, kumulativní aktualizace pro jednotlivé OS jako celek), ale i informování o nich. Dříve srozumitelné členění na bulletiny zabezpečení vzalo za své; nakonec i na globálních zpravodajských webech se informace o aktualizacích objevují stále později nebo vůbec.

Snad lze konstatovat, že v tomto se Windows dále přibližují „službě“ nebo „cloudu“, kdy se o stále více věci stará poskytovatel. Se všemi souvisejícími klady a zápory – médiím každopádně Microsoft informování zrovna neusnadňuje, jak tyto změny posuzují správci IT v podnicích? Praxe bulletinů zabezpečení fungovala od roku 2003 a byla celkem přehledná, i když se ji Microsoft tu a tam snažil komplikovat třeba o spíše matoucí rozšiřující funkce typu „exploitability index“.

Ghacks.net konstatuje, že tentokrát, ve druhém květnovém úterý, už nejsou k dispozici opravy pro Windows Vista, záplaty pro Windows 10 RTM jsou uvolněny naposledy a i podpora této verze OS končí. Jinak byly aktualizace vydány pro všechny podporované verze Windows včetně serverových. Dále jsou záplaty určeny pro Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft .NET Framework a Adobe Flash Player (Microsoft již tradičně distribuuje i záplaty Adobe). Reportovány byly problémy s aktualizací KB3008923 pro Internet Explorer (InfoWorld). U oprav, které jsou vedeny jako určené pro operační systém a MS Office, závisí závažnost na konkrétní verzi. Z aktualizací pro Internet Explorer Microsoft jako kritické uvádí 2 z 10, u MS Edge 16 z 28.

Kritická zranitelnost bezpečnostních nástrojů MS

Microsoft ještě před pravidelnými květnovými opravami zalátal vzdáleně zneužitelnou chybu (CVE-2017-0290) ve svých nástrojích pro ochranu před malwarem. Samotná chyba byla ve skenovacím enginu, který je součástí většiny bezpečnostních řešení Microsoftu včetně Windows Defenderu od Windows 7, Microsoft Security Essentials, Microsoft Forefront Endpoint Protection atd.

Problém odhalili Tavis Ormandy a Natalie Silvanovich z Google Project Zero a byl zneužitelný vzdáleně. Stačilo, aby program Microsoft Malware Protection Engine dostal ke skenování speciálně vytvořený soubor, což se dalo docílit např. tím, že soubor byl přilopojen jako příloha e-mailu, oběť ho ani nemusela otevřít. Jinou možností útoku byla kontrola při stahování souboru z webu (lze nastavit automatické stahování už při zobrazení stránky). Vložený kód měl přitom nejvyšší oprávnění, stejně jako samotné bezpečnostní řešení. Ormady uvedl, že jde o nejhorší případ možného vzdáleného spuštění kódu ve Windows z poslední doby. Microsoft proto vydal opravu jako mimořádnou, tentokrát velmi rychle po reportu chyby.

Další chyby a záplaty

Adobe vydala 9. 5. současně s Microsoftem opravy pro přehrávač Flash Player (7 záplat, v porovnání s jinými měsíci relativně málo) a tentokrát rovněž pro nástroj Experience Manager (cca systém CMS, chyba je v součásti Forms). Chyby v přehrávači reportovali především Jihui Lu z Tencent KeenLab a tým Google Project Zero. Opravená verze Flash Playeru má číslo 25.0.0.171, kritické zranitelnosti se vztahovaly ke všem operačním systémům i plug-inům pro webové prohlížeče.

V softwaru pro správu monitorů od firmy Portrait Displays, který užívá většina světových dodavatelů (podle SecurityWeek: Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba), byla objevena bezpečnostní chyba umožňující spuštění kódu. Zranitelnost má nicméně pouze povahu eskalace oprávnění, nepřihlášený vzdálený útočník by tímto způsobem přístup k systému získat neměl. Záplata je již k dispozici. Příslušná aplikace se někdy klasifikuje jako bloatware, tj. dodávána je spíše s levnějšími systémy.

Nalezena byla chyba CVE-2017-5689 v technologii Intelu pro správu počítače AMT (Active Management Technology); dále se uvádí, že podle dodatečných zjištění podobný problém postihuje i Intel Standard Manageability (ISM) a Intel Small Business Technology (SBT) verze 6 až 11.6. Zranitelnost umožňuje útočníkovi získat za určitých podmínek vzdálený přístup k systému (bez ohledu na OS). Vlastní záplatu (aktualizaci firmwaru) vydal Intel, z výrobců zařízení již vydání opravy oznámil např. Dell; situaci lze řešit i zákazem konkrétních služeb apod. změnami nastavení.

Intel uvolnil i nástroj, který otestuje systém a sdělí uživateli, zda jeho konfigurace je zranitelná. Samotná chyba podle všeho pochází už z roku 2010. Problém objevil Maksim Malyutin z firmy Embedi. The Hacker News upozorňuje, že problém lze vzdáleně zneužít i u vypnutého počítače. Podle The Register zase výzkumníci Positive Technology převedli, jak tento problém zneužít dokonce k ovládnutí bankomatu a neoprávněnému výběru peněz, i když postup vyžaduje splnění řady dodatečných podmínek a v praxi ho podle všeho nikdo zatím neprovedl.

Cisco vydalo opravu pro zranitelnosti v mnoha svých přepínačích (CVE-2017-3881). Má se jednat o jednu z chyb v „seznamu CIA“, i když není jasné, zda se někdo už pokoušel o zneužití. To je možné přes protokol Telnet pomocí zaslání příkazu CMP (cluster management protocol). Seznam dotčených zařízení je velmi dlouhý, nicméně kromě instalace opravy stačí na zařízení prostě i zakázat Telnet, správa zařízení přes SSH zranitelná tímto způsobem zřejmě není.


Komentáře

Kazzan #0
Kazzan 10. květen 2017 17:40

IT profesionálové i novináři mají možnost dále využívat službu Security Guide. Zvláště IT profesionálové nově získávají přístup k API, jak bezpečnostní notifikace vyčítat automaticky podobně jako v Office 365.

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Vodafone pokračuje v implementaci NB-IoT

Pavel Houser , 26. červenec 2017 13:29

Vodafone spolu se společnostmi Jablotron, Landis+Gyr a Ústavem telekomunikací VUT Brno testuje proto...

Více 0 komentářů

SoftBank usiluje o získání podílu v Uberu

ČTK , 26. červenec 2017 12:45

Celková hodnota Uberu údajně dosahuje až 69 miliard dolarů....

Více 0 komentářů

LG Display prudce zvýšila zisk, chce investovat do obrazovek OLED

ČTK , 26. červenec 2017 09:00

LG Display je dodavatelem společnosti Apple....

Více 0 komentářů

Starší zprávičky

APMS varuje před nevyžádanými hovory ze zahraničních čísel

ČTK , 26. červenec 2017 08:00

Podvodníci tzv. wangiri organizují skrze alternativní či IP operátory, jimž je ukraden číselný rozsa...

Více 1 komentářů

Firmy se při přeshraničním prodeji přes Internet bojí podvodů

ČTK , 25. červenec 2017 16:27

Prodejci se obávají, že pokud lidé z jiného unijního státu za zboží nezaplatí, bude složité peníze v...

Více 0 komentářů

Zákazníci preferují biometrii, ale její zavádění je pomalé

Pavel Houser , 25. červenec 2017 12:50

Manažeři v bankách, kteří jsou zodpovědní za zavádění biometrie, připouštějí nedostatek zkušeností....

Více 1 komentářů

Malware Stantinko napadl více než půl milionu uživatelů ve východní Evropě

Pavel Houser , 25. červenec 2017 10:36

Těžce identifikovatelný nový kmen malwaru se šíří prostřednictvím dvou plug-inů pro prohlížeč Chrome...

Více 0 komentářů