Kritické záplaty pro Windows i Internet Explorer, zranitelnost Stuxnet prý přetrvávala 5 let. Phishing s oblibou imituje zprávy zaslané z iPhonu. Adobe nechce platit za objevené bezpečnostní záplaty. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Březnové záplaty Microsoftu
Microsoft vydal minulé úterý 14 bulletinů zabezpečení, které opravují celkem 44 zranitelností. 5 bulletinů spadá do kategorie kritických. Opravy řeší chybu Freak, kritické záplaty jsou určeny pro Internet Explorer, Windows a MS Office.
MS15-018 je kritickou kumulativní opravou pro všechny podporované verze MSIE, některé z chyb mohou vést ke vzdálenému spuštění kódu; dosud podle všeho nedochází k útokům. MS15-019 je rovněž kritická oprava, týká se však jen MSIE 6 a 7 (konkrétně práce s VBScriptem). Bulletin zabezpečení MS15-020 je kritický pro všechny podporované verze Windows, ke vzdálenému spuštění kódu stačí navštívit podvodný web nebo kliknout na speciálně upravený soubor DLL. Obdobnou povahu má kritická chyba ve Windows opravená záplatou MS15-021; problém je v tomto případě ve fungování komponenty Adobe Font Driver.
Poslední z kritických záplat MS15-021 je určena pro MS Office a MS SharePoint Server (zde chyba nemá statut kritické ve všech případech, někde může vést ke vzdálenému spuštění kódu, jinde jen ke zvýšení uživatelských oprávnění).
Problém Freak řeší záplata MS15-031 určená pro všechny podporované verze Windows včetně serverových, tento bulletin zabezpečení však není označen jako kritický.
Viz také: Freak hrozí i na Windows
Původně se mělo zato, že zranitelností implementací SSL, která je důsledkem použití příliš krátkých šifrovacích klíčů, je na straně klienta ohrožen pouze Android, iOS a Mac OS X.
Stuxnet po 5 letech
Poslední dávka aktualizací Microsoftu prý také opravují chybu v záplatě z roku 2010, která byla vydána proti červu Stuxnet. Brian Gorenc z TippingPoint (HP) uvedl, že původní oprava totiž ponechávala problém při zpracování souborů LNK. Problém se týká všech podporovaných verzí Windows a oprava MS15-020, která ho mj. řeší (viz výše), je pro všechny OS označena za kritickou. Není známo, zda během 5 let si chyby povšimli útočníci a došlo ke zneužití, je to ale prý celkem pravděpodobné. B. Gorenc uvedl, že zneužití nevyžadovalo ani obcházet ochranné funkce Windows typu znáhodnění paměti.
Adobe raději peníze neslibuje
Adobe spustila svůj vlastní program pro hledání bezpečnostních zranitelností s názvem HackerOne. Reportovat se mají chyby ve webových službách/on-line funkcích a pouze zranitelnosti závažného typu. Nebude se platit, spolupracovníci pouze získají veřejné poděkování, prestiž a kredit. (The Register ironicky poznamenává, že k tomu má vzhledem k množství chyb v přehrávači Flash Player nebo Acrobat Readeru Adobe dobré důvody.) Od spolupracovníků se navíc vyžaduje ponechat před zveřejněním problému firmě čas na vývoj opravy, i když doba se přesně nespecifikuje.
Torrent těží LiteCoin
Klient μTorrent od Epic Software obsahuje nástroj na těžbu měny LiteCoin. K instalaci sice musel dát souhlas uživatel, ovšem nastaveno bylo vše tak, že k tomu stačilo proces odklepat. Epic Software se brání, že v podmínkách je napsáno, že takto získané peníze mají být použity na výzkumné účely především v oblasti medicíny, ale i tak počínání vzbudilo značnou nevoli. (Těžba na pozadí běží jen při práci s Torrentem a nástroj lze odinstalovat separátně; pokud ovšem uživatel zaznamená jeho existenci.)
Apple také opravuje Freak
Apple vydal opravy pro iOS a Mac OS X: OS X Security Update 2015-002 a iOS 8.2. Obě aktualizace látají kritické zranitelnosti, mezi jiným i chybu Freak, tj. riziko odposlechu protokolu SSL/TLS (analogické opravy Microsoftu viz výše). Opraveny byly ale i přímo zranitelnosti umožňující vzdálené spuštění kódu, chyby CVE-2015-1061 a CVE-2015-1066 zase umožňovaly, aby se malware spouštěl s nejvyššími oprávněními. Další problémy umožňovaly škodlivým aplikacím obcházet mechanismus znáhodnění paměti.
Seagate nepokládá chybu v úložištích NAS za reálné riziko
Seagate připustil, že v jeho úložných systémech NAS se nachází zero day chyba, oprava je nicméně přislíbena až na květen. Firma tvrdí, že riziko zneužití je ve skutečnosti nízké a scénář ovládnutí zařízení přes internet nepravděpodobný. Doporučuje se zakázat internetový přístup ke správcovskému webovému rozhraní, službám FTP a umístit úložiště za firewall (respektive toto vše zkontrolovat, protože odpovídající nastavení je vhodné bez ohledu na aktuální problém).
Viz také: Zero day chyby na každém kroku
PayPal nakupuje v Izraeli
PayPal koupil za 60 milionů dolarů izraelský start-up ProActive. Firma vyvíjí bezpečnostní nástroje, které mají předvídat, jak bude vypadat budoucí malware/způsoby útoků. Dle vyjádření ProActive přitom používá algoritmy inspirované živou přírodou a odvozenými technikami typu genetického programování.
Antivirus detekoval sám sebe
Falešné poplachy spojené s označením běžně používaných aplikací za malware se tu a tam stanou asi každému dodavateli. Španělská firma Panda nyní měla problém poněkud vážnější: aktualizovaná aplikace označila jako malware své vlastní komponenty. Pokud je uživatel odstranil, po restartu počítač navíc nešlo připojit k Internetu (tj. problém cca odpovídá tomu, když antiviry odstraní nějakou součást Windows, byť o to v tomto případě nešlo). Následně se tutíž nedala stáhnout ani oprava aktualizace, jakmile ji Panda dala k dispozici.
Ze světa firem
Avast utržil za rok 217 milionů dolarů, což představuje meziroční nárůst o 51 %; zisk EBITDA dosáhl 154 mil. dolarů. 99 % tržeb bylo vygenerováno mimo ČR. Počet uživatelů vzrostl o 30 milionů na celkových 230 milionů. Avast v loňském roce přijal více než 150 nových zaměstnanců, letos chce přijmout více než 200 dalších odborníků. Převážná většina těchto nových pozic se bude otevírat v Praze, kde v tuto chvíli pracuje více než 90 % zaměstnanců společnosti. Zdroj: tisková zpráva společnosti Avast Software
Viz také: Avast se stal nejhodnotnější IT firmou v ČR
Uvedena byla služba AVG Business Secure Sign-On (SSO). Řešení AVG Business SSO se opírá o technologii společnosti Centrify. Partnerům AVG a firmám způsob, jak spravovat firemní data na mobilních zařízeních zaměstnanců a v cloudových aplikacích. Řešení nabízí jednotné přihlašování s vícefaktorovou autentizací. Z aplikací podporuje např. MS Office 365, Salesforce, Webex, Facebook a LinkedIn.
Zdroj: tisková zpráva společnosti AVG
Nová verze Eset Secure Authentication obsahuje rozhraní pro programování aplikací API, které umožní spravovat celé autentizační řešení s využitím vlastní aplikace, a navíc nově podporuje i hardwarové tokeny. Při migraci z tradičních hardwarových autentizačních řešení mohou stávající uživatelé nadále používat hardwarové tokeny, zatímco noví uživatelé mohou využít aplikaci, která generuje jednorázová hesla v jejich smartphonech.
Zdroj: tisková zpráva společnosti Eset
Představeno bylo řešení Kaspersky Total Security – multidevice. Řešení je určeno pro domácí uživatele, chrání zařízení Windows, OS X, Android, iOS a Windows Phone a je lokalizováno do češtiny. Integrace s portálem My Kaspersky zajišťuje jednotnou správu všech zařízení.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Počet finančních útoků na uživatele systému Android vzrostl v roce 2014 3,25krát. Tato čísla zahrnují i jeden nejnebezpečnějších typů malwaru, bankovní trojské koně. Z nich nejrozšířenější (alespoň z hlediska detekce produkty Kaspersky Lab) označuje studie jako Faketoken, Svpeng a Marcher.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Podíl spamu v e-mailové komunikaci v loňském roce dosáhl 66,8 %, což je o 2,8 % méně než v roce 2013. Největším zdrojem spamu byly USA (16,7 %), následované Ruskem (5,9 %) a Čínou (5,5 %).
Další výsledky studie: Phishing začal s oblibou imitovat e-mail poslaný z mobilního zařízení. Tyto zprávy obsahují velice krátký nebo neexistující text a podpis ve formě „Posláno z mého iPhonu (či jiného zařízení)“. Kromě toho obsahují odkazy na škodlivé přílohy/weby.
Masově rozesílané spamy často imitují oznámení z různých mobilních aplikací, jako jsou WhatsApp nebo Viber. Uživatelé jsou zvyklí na synchronizaci aplikací na různých platformách, synchronizaci kontaktních dat mezi aplikacemi a různá oznámení mezi nimi, takže klikají na příslušné odkazy.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Canon rozšiřuje svou produktovou řadu síťových bezpečnostních kamer o devět nových modelů. Novinky pokrývají všechny třídy těchto zařízení včetně modelů pro venkovní a vnitřní použití, kamer typu PTZ (Pan, Tilt and Zoom – otáčení, naklánění i zoom), pevných kopulových a pevných box kamer.
Zdroj: tisková zpráva společnosti Canon Europe
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
- Bezpečnost IT z různých úhlů
Trendy v podnikové bezpečnosti, cloudová úložiště, virtualizovaná řešení a další změny infrastruktury IT… - Bezpečnost IT z různých úhlů II
- O tej bezpečnosti vážně i humorně – 1. díl
- O tej bezpečnosti vážně i humorně – 2. díl