• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Opravy pro MS Edge

Pavel Houser
17. 8. 2015
| Články

Záplaty i nové zranitelnosti v Androidu. Srpnové opravy Microsoftu, látán Firefox. Jak identifikovat domény podvodníků dříve, než se je pokusí skutečně použít? T-Mobile filtruje MMS. Chytrá žárovka se podílí na kamerovém dohledu. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Kritický bulletin pro nový prohlížeč MS Edge
Srpnové záplaty Microsoftu: Kritické opravy jsou určeny Windows, MS Office, Internet Explorer a nový browser Edge. Celkem bylo vydáno 14 bulletinů zabezpečení. Microsoft speciálně upozorňuje na zranitelnost, kdy lze připojením USB zařízení k počítači získat administrátorská práva. Tato chyba je již aktivně zneužívána.

Bulletin MS15-079 řeší několik kritických chyb v Internet Exploreru, které lze zneužít už při návštěvě podvodného webu (vzdálené spuštění kódu může nastat např. po porušení paměti).
MS15-80 je reakcí na problém se zpracováním písem TrueType nebo OpenType, ať už na webu nebo ve vloženém objektu/dokumentu, útočník může spustit svůj kód rovnou s právy administrátora. Chyba je kritická ve všech podporovaných verzích Windows včetně serverových.

MS15-091 je kumulativní aktualizací pro prohlížeč Edge ve Windows 10. Také zde může zranitelnost vést ke vzdálenému spuštění kódu už při návštěvě podvodného webu. Výše uvedeného problému s USB se týká balíček záplat MS15-085.

Současně s Microsoftem vydala srpnovou dávku oprav i Adobe, šlo o 34 zranitelností v přehrávači Flash Player.

Jak distribuovat záplaty pro Android
Google vydal záplatu Stagefright pro chybu v Androidu. Hlavní novinkou není samotná oprava, ale fakt, že její rychlou distribuci zákazníkům přislíbili výrobci příslušných telefonů a tabletů: LG, HTC, Samsung, Motorola a řada dalších. Většina dodavatelů zařízení s Androidem oznámila na konferenci Black Hat iniciativy, které by měly zahrnovat pravidelnou dodávku záplat uživatelům např. v měsíčních cyklech. Změnit by se měla situace, kdy mnohé záplaty Googlu získali uživatelé i více než rok po jejich uvedení nebo se dokonce dostaly až na další verzi zařízení. Tyto „ekosystémové“ problémy byly dosud jednou z hlavních slabin celé platformy Android; teprve čas ukáže, zda se situace nyní opravdu zásadněji zlepší.

Certifi-gate, další chyba v Adroidu
Současně byla ale na konferenci Black Hat výzkumníky společnosti Check Point oznámena nová zranitelnost Androidu zvaná Certifi-gate. Umožňuje aplikacím získat nelegitimní privilegovaná přístupová práva. Problém nelze řešit konfigurací, všechna postižená zařízení vyžadují záplatu.
Podrobnosti na http://www.itbiz.cz/zpravicky/check-point-objevil-vaznou-zranitelnost-v-androidu

Firefox umožňoval přístup k citlivému obsahu
Zranitelnost ve Firefoxu umožňovala útočníkům sbírat a na svůj server si odesílat lokálně uložené soubory včetně takových, která obsahovala hesla. Útočníci se pokoušeli chybu i aktivně zneužívat (zaznamenáno v Rusku a na Ukrajině), objevily se reklamy s odkazy na weby obsahující exploity. Samotné zneužití probíhalo kvůli chybě v prohlížeči PDF vestavěném do Firefoxu (takže chyba se netýkala např. verze Firefoxu pro Android, která PDF Viewer neobsahuje). Vložený JavaScript zde pak útočníkovi umožňoval prohlížet strukturu místních souborů.

Nová opravená verze prohlížeče má číslo 39.0.3. Aktualizovat ale nemusí stačit, uživatelé Firefoxu na Windows a Linuxu (verze pro Mac byla také zranitelná, ale pokusy o zneužití zaznamenány nebyly) jsou vyzýváni i ke změně hesel a klíčů obsažených v konkrétních souborech. Pokud si je útočníci stáhli, nedá se to zpětně nijak zjistit.

Jak v předstihu odhalit podvodné domény
Cisco oznámilo metodu, která umožňuje identifikovat domény využívané ransomwarem CryptoLocker. Konkrétní domény se vždy rychle dostanou na blacklist, útočníci je však rychle mění, a tím si před filtry udržují náskok. Výzkumníci Cisca tvrdí, že ale analyzovali algoritmus, který názvy domén generuje, takže dokáží dát na blacklist v předstihu i domény podvodníky zatím nepoužívané. Navíc stejný postup by měl fungovat i proti těm, kdo používají malware Timba nebo Zeus. Co se funkčnosti nové metody týče: Falešné poplachy mají údajně podíl kolem 2 %.
Není zatím jasné, zda Cisco bude příslušná data/metodu nějak sdílet. Druhá dost zásadní otázka. Zneužívané domény mají většinou povahu „překlepů“ běžných slov, to aby se nemuselo řešit, zda už název není obsazený. Co se stane, pokud útočníci začnou používat i slova bez překlepů (tam, kde jsou domény volné), dokáže si s tím metoda poradit?

CSIRT.CZ varuje
– Zaznamenán byl nový phishingový útok šířený formou nevyžádané pošty s odkazem na podvržené stránky internetového bankovnictví FIO banky.
– Uvolněno bylo OpenSSH 7.0. Nová verze přináší mj. opravy chyb a zranitelností a vylepšení v oblasti kryptografie.

Ze světa firem
Nástroje od společnosti Hacking Team byly použity i v kampani Dark Hotel. Skupina infiltrovala Wi-Fi sítě v luxusních hotelech, aby mohla sledovat vybrané vysoce postavené manažery. Vzhledem k tomu, že Darkhotel nefiguroval mezi zákazníky Hacking Teamu, zdá se, že databáze zero day zranitelností a další nástroje zneužil až po jejich úniku na veřejnost.
Zdroj: tisková zpráva společnosti Kaspersky Lab

V Androidu existuje vážná bezpečnostní chyba zneužitelná přes MMS/videoobsah. Viz výše, viz také: Bezpečnostní přehled: Od volantu po trezor

T-Mobile se proto rozhodl od 11. 8. 2015 zcela filtrovat všechny MMS zprávy obsahující audio a video. Takové zprávy zákazníkům nebudou vůbec doručovány, a pokud jsou odeslány ze sítě T-Mobile, nebudou odesilateli účtovány. Ostatní typy MMS zpráv budou doručovány standardně.
Zdroj: tisková zpráva společnosti T-Mobile

Nová síťová tiskárna Kyocera ECOSYS P4040dn obsahuje podle dodavatele řadu pokročilých bezpečnostních funkcí. Možnost PrivatePrint nabízí ovládání prostřednictvím alfanumerické klávesnice a volitelných funkcí tisku, jako je např. čtečka karet pro autentizaci. Data mohou být také automaticky mazána z pevného disku tiskárny.
Zdroj: tisková zpráva společnosti Kyocera

Synology oznámila dostupnost beta verze Surveillance Station 7.1. Jedná se poslední verzi video monitorovacího systému. Analytické nástroje nyní umožňují kontrolovat i kamery, které nejsou zahrnuty v živém zobrazení. Podezřelé události mohou být přímo zvýrazněny na elektronické mapě, a uživatelé tak rychle vidí kameru i místo aktivity.
Zdroj: tisková zpráva společnosti Synology

Vydána byla beta verze aplikace pro rodičovskou kontrolu Eset Parental Control for Android.
Zdroj: tisková zpráva společnosti Eset

Uvedeno bylo nové mobilní bezpečnostní řešení Check Point Mobile Threat Prevention.
Zdroj: tisková zpráva společnosti Check Point

Awox CamLIGHT je nový typ chytré žárovky s integrovanou Wi-Fi kamerou, která nabízí i monitorovací funkce. Zprostředkuje obraz, zvuk obousměrně, ovládá se mobilním telefonem.
Zdroj: tisková zpráva společnosti AudioPro

Představena byla Samsung Pay, nová mobilní platební služba. Jako první začne fungovat v Jižní Koreji a USA. V oblasti zabezpečení využívá digitální tokenizace, platformy Samsung Knox (bezpečnostní nadstavba nad Androidem) a metody snímání otisku prstů.
Zdroj: tisková zpráva společnosti Samsung

Psali jsme na ITBiz
Na téma zabezpečení na ITBiz viz také:
Počítačový útok z Ruska prý narušil emailovou síť Pentagonu

Rubriky: Security

Související příspěvky

Zprávičky

Vláda rozšířila počet členů výboru pro kyberbezpečnost

27. 1. 2021
Zprávičky

Nejčastěji zneužívanou značkou při phishingu byl Microsoft

27. 1. 2021
Články

Výchozí nastavení a bezpečnost: 6 tipů, co by firmy měly zkontrolovat

25. 1. 2021
Zprávičky

Trojan Triada umí modifikovat verifikační SMS

23. 1. 2021

Zprávičky

Tchajwanští výrobci čipů upřednostní dodávky automobilkám

ČTK
27. 1. 2021

Volkswagen v Číně nemohl už v prosinci vyrobit plánovaných 50.000 vozů právě proto, že

Vláda rozšířila počet členů výboru pro kyberbezpečnost

ČTK
27. 1. 2021

Výbor Bezpečnostní rady státu (BRS) pro kybernetickou bezpečnost bude mít nově 14 místo dosavadních

Nejčastěji zneužívanou značkou při phishingu byl Microsoft

Pavel Houser
27. 1. 2021

Nejčastěji jsou při phishingových útocích zneužívané značky technologických společností, následují dopravci a maloobchodní organizace.

Aplikace eRouška má citlivější algoritmus, upozornění budou častější

ČTK
26. 1. 2021

Aplikace odhaduje vzdálenost na základě útlumu signálu Bluetooth v závislosti na vzdálenosti mezi telefony

Češi jsou ohledně svých dat největší tajnůstkáři v Evropě

ČTK
26. 1. 2021

61 % Čechů nemá se sdílením dat třetím stranám špatné zkušenosti. Češi jsou ohledně

Huawei zkouší, zda chytré telefony Mate 30 mohou uspět i bez Googlu

Huawei prý jedná o prodeji značek luxusních smartphonů, firma to však popírá

ČTK
25. 1. 2021

Čínský výrobce telekomunikačních zařízení Huawei Technologies jedná o prodeji svých značek luxusních chytrých telefonů

Europoslanci chtějí zaručit zaměstnancům právo na odpojení

ČTK
25. 1. 2021

Všichni zaměstnanci v zemích Evropské unie by měli mít možnost odpojit se mimo pracovní

Trojan Triada umí modifikovat verifikační SMS

Pavel Houser
23. 1. 2021

Podle expertů lze očekávat, že stalkeware v roce 2021 vymizí z předních příček detekčních statistik. Počty

Alphabet končí s projektem internetových balónů Loon

ČTK
23. 1. 2021

Operátoři potřebují několik balónů najednou, každý z nich stojí desítky tisíc dolarů a má

Tiskové zprávy

Cirkulární ekonomika v kanceláři díky repasovaným multifunkcím od Canonu

Průzkum Randstad Workmonitor: Strach o místo způsobil růst zájmu o vzdělávání v technologiích

Western Digital a Qumulo umožnily institutu IHME masivní navýšení kapacity a škálování pro zdravotnickou analytiku COVID-19 a zavádění vakcíny

Dell představuje odolné notebooky pro aktivní studenty

SolarWinds MSP: důvodů k migraci na RMM řešení rychle přibývá

AEC nově poskytuje školení v kybernetické bezpečnosti

Zpráva dne

Vánoční slevy pokračují i v novém roce

Vánoční slevy pokračují i v novém roce

Redakce
20. 1. 2021

Vánoční slevy na software produktivity od Microsoftu pokračují na tržišti i v novém roce, opět...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Největší rizika umělé inteligence

Pavel Houser
26. 12. 2020

Tak jako dosud skoro každá technologie, i umělá inteligence se dostane do rukou zločincům. Jak s...

Slovník

Klíčová slova

Inflace

Sortiment manager

Nejpopulárnější články

Bezpečnostní přehled: Opravy pro MS Edge

Pavel Houser
17. 8. 2015

Analytici: Cena bitcoinu dál poroste, může ale přijít korekce

ČTK
17. 12. 2020

Operátoři musí nově uvádět přesnou rychlost internetu

ČTK
3. 1. 2021

Server Ulož.to prohrál spor o stahování šesti českých filmů

ČTK
21. 1. 2021

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Německá policie odhalila zřejmě největší obchod na darknetu

ČTK
12. 1. 2021

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Marketing Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zajímavosti Zpráva dne České IT

RSS abclinuxu – čerstvé zprávičky

  • Vážná bezpečnostní chyba v utilitě sudo (CVE-2021-3156)
  • Brian Exelbierd z Red Hatu o ukončení vydávání CentOS
  • Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků za rok 2020

RSS Sciencemag.cz

  • Nejchytřejší psi se zvládnou naučit slovo už po 4 opakováních
  • Kolem flerovia nenašli žádný ostrov stability
  • Dvojitá protilátka na covid-19 funguje jako lék i prevence

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.