Konec přehledných bulletinů zabezpečení

Pavel Houser , 10. květen 2017 08:00 1 komentářů
Rubriky: Security
Konec přehledných bulletinů zabezpečení

Pravidelné úterní bezpečnostní aktualizace Microsoftu a k tomu jedna mimořádná pro kritickou chybu v Microsoft Malware Protection Engine. V novém systému oprav se téměř nikdo nevyzná. Další záplaty: Adobe, Cisco, Intel, ovládání monitorů...

Nový způsob zveřejňování bezpečnostních aktualizací Microsoftu způsobuje, že se v situaci málokdo vyzná. Změny se netýkají pouze samotných aktualizací (třeba stahovat najednou, kumulativní aktualizace pro jednotlivé OS jako celek), ale i informování o nich. Dříve srozumitelné členění na bulletiny zabezpečení vzalo za své; nakonec i na globálních zpravodajských webech se informace o aktualizacích objevují stále později nebo vůbec.

Snad lze konstatovat, že v tomto se Windows dále přibližují „službě“ nebo „cloudu“, kdy se o stále více věci stará poskytovatel. Se všemi souvisejícími klady a zápory – médiím každopádně Microsoft informování zrovna neusnadňuje, jak tyto změny posuzují správci IT v podnicích? Praxe bulletinů zabezpečení fungovala od roku 2003 a byla celkem přehledná, i když se ji Microsoft tu a tam snažil komplikovat třeba o spíše matoucí rozšiřující funkce typu „exploitability index“.

Ghacks.net konstatuje, že tentokrát, ve druhém květnovém úterý, už nejsou k dispozici opravy pro Windows Vista, záplaty pro Windows 10 RTM jsou uvolněny naposledy a i podpora této verze OS končí. Jinak byly aktualizace vydány pro všechny podporované verze Windows včetně serverových. Dále jsou záplaty určeny pro Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft .NET Framework a Adobe Flash Player (Microsoft již tradičně distribuuje i záplaty Adobe). Reportovány byly problémy s aktualizací KB3008923 pro Internet Explorer (InfoWorld). U oprav, které jsou vedeny jako určené pro operační systém a MS Office, závisí závažnost na konkrétní verzi. Z aktualizací pro Internet Explorer Microsoft jako kritické uvádí 2 z 10, u MS Edge 16 z 28.

Kritická zranitelnost bezpečnostních nástrojů MS

Microsoft ještě před pravidelnými květnovými opravami zalátal vzdáleně zneužitelnou chybu (CVE-2017-0290) ve svých nástrojích pro ochranu před malwarem. Samotná chyba byla ve skenovacím enginu, který je součástí většiny bezpečnostních řešení Microsoftu včetně Windows Defenderu od Windows 7, Microsoft Security Essentials, Microsoft Forefront Endpoint Protection atd.

Problém odhalili Tavis Ormandy a Natalie Silvanovich z Google Project Zero a byl zneužitelný vzdáleně. Stačilo, aby program Microsoft Malware Protection Engine dostal ke skenování speciálně vytvořený soubor, což se dalo docílit např. tím, že soubor byl přilopojen jako příloha e-mailu, oběť ho ani nemusela otevřít. Jinou možností útoku byla kontrola při stahování souboru z webu (lze nastavit automatické stahování už při zobrazení stránky). Vložený kód měl přitom nejvyšší oprávnění, stejně jako samotné bezpečnostní řešení. Ormady uvedl, že jde o nejhorší případ možného vzdáleného spuštění kódu ve Windows z poslední doby. Microsoft proto vydal opravu jako mimořádnou, tentokrát velmi rychle po reportu chyby.

Další chyby a záplaty

Adobe vydala 9. 5. současně s Microsoftem opravy pro přehrávač Flash Player (7 záplat, v porovnání s jinými měsíci relativně málo) a tentokrát rovněž pro nástroj Experience Manager (cca systém CMS, chyba je v součásti Forms). Chyby v přehrávači reportovali především Jihui Lu z Tencent KeenLab a tým Google Project Zero. Opravená verze Flash Playeru má číslo 25.0.0.171, kritické zranitelnosti se vztahovaly ke všem operačním systémům i plug-inům pro webové prohlížeče.

V softwaru pro správu monitorů od firmy Portrait Displays, který užívá většina světových dodavatelů (podle SecurityWeek: Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba), byla objevena bezpečnostní chyba umožňující spuštění kódu. Zranitelnost má nicméně pouze povahu eskalace oprávnění, nepřihlášený vzdálený útočník by tímto způsobem přístup k systému získat neměl. Záplata je již k dispozici. Příslušná aplikace se někdy klasifikuje jako bloatware, tj. dodávána je spíše s levnějšími systémy.

Nalezena byla chyba CVE-2017-5689 v technologii Intelu pro správu počítače AMT (Active Management Technology); dále se uvádí, že podle dodatečných zjištění podobný problém postihuje i Intel Standard Manageability (ISM) a Intel Small Business Technology (SBT) verze 6 až 11.6. Zranitelnost umožňuje útočníkovi získat za určitých podmínek vzdálený přístup k systému (bez ohledu na OS). Vlastní záplatu (aktualizaci firmwaru) vydal Intel, z výrobců zařízení již vydání opravy oznámil např. Dell; situaci lze řešit i zákazem konkrétních služeb apod. změnami nastavení.

Intel uvolnil i nástroj, který otestuje systém a sdělí uživateli, zda jeho konfigurace je zranitelná. Samotná chyba podle všeho pochází už z roku 2010. Problém objevil Maksim Malyutin z firmy Embedi. The Hacker News upozorňuje, že problém lze vzdáleně zneužít i u vypnutého počítače. Podle The Register zase výzkumníci Positive Technology převedli, jak tento problém zneužít dokonce k ovládnutí bankomatu a neoprávněnému výběru peněz, i když postup vyžaduje splnění řady dodatečných podmínek a v praxi ho podle všeho nikdo zatím neprovedl.

Cisco vydalo opravu pro zranitelnosti v mnoha svých přepínačích (CVE-2017-3881). Má se jednat o jednu z chyb v „seznamu CIA“, i když není jasné, zda se někdo už pokoušel o zneužití. To je možné přes protokol Telnet pomocí zaslání příkazu CMP (cluster management protocol). Seznam dotčených zařízení je velmi dlouhý, nicméně kromě instalace opravy stačí na zařízení prostě i zakázat Telnet, správa zařízení přes SSH zranitelná tímto způsobem zřejmě není.


Komentáře

Kazzan #0
Kazzan 10. květen 2017 17:40

IT profesionálové i novináři mají možnost dále využívat službu Security Guide. Zvláště IT profesionálové nově získávají přístup k API, jak bezpečnostní notifikace vyčítat automaticky podobně jako v Office 365.

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Důvěra Čechů v e-shopy roste

Pavel Houser , 23. září 2017 09:00

Drtivá většina české internetové populace nakupuje on-line dlouhodobě, dále však narůstá četnost nák...

Více 0 komentářů

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Starší zprávičky

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů