• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky
Home Články

Bezpečnostní přehled: Vupen seděl na zranitelnosti v Internet Exploreru tři roky

Pavel Houser
7. 8. 2014
| Články

Nejmenší české firmy si jsou bezpečnostních rizik celkem dobře vědomy, nemají ale peníze. Záplaty Oraclu i Mozilly. Jsme svědky renesance makrovirů? Kamera zaměřená na čtení SPZ. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Červencová čtvrtletní dávka bezpečnostních aktualizací Oracle přinesla 113 záplat. Opravena byla Java (JRE), Solaris, databáze Oracle, MySQL i řada middlewarových produktů. V MySQL Enterprise Server byla konečně odstraněna zranitelnost krvácející srdce, kterou Oracle u svých dalších produktů opravil již před čtvrt rokem. Dvě chyby, CVE-2013-3751 a CVE-2013-3774, právě opravené v databázi Oracle 12 byly ve verzi 11 údajně vyřešeny již před rokem.

Oracle Fusion Middleware byl zase zranitelný docela dlouho zřejmě kvůli tomu, že produkt obsahuje open source komponentu od Mozilly a Oracle čekal, až chybu vyřeší sama Mozilla. Opravené chyby v JRE byly zneužitelné k plnému ovládnutí počítače už při návštěvě podvodného či kompromitovaného webu, viz obvyklá doporučení na restrikci Javy ve webovém prohlížeči.

V řídicích systémech Siemensu byly objeveny chyby v implementaci OpenSSL. Umožňují útok man-in-the-middle, který minimálně zhavaruje webový server zabudovaný do systému. Aktualizace je prozatím k dispozici pro 2 ze 6 zasažených produktů. Doporučení jsou obvyklá, zvážit izolaci průmyslových systémů od internetu či alespoň zbytku podnikové sítě, nasadit speciální SCADA firewall a pečlivě volit mechanismy pro zabezpečení vzdáleného přístupu.

Nejnovější verze Firefoxu (31) opravuje 11 bezpečnostních chyb, z toho 3 kritické. Objekty MathML mohly způsobit dále zneužitelné pády prohlížeče, opravena byla také řada chyb spojených s porušením paměti a buffer overflow, které mohly vést až ke vzdálenému spuštění kódu. Problém byl s javacriptovou knihovnou Cesium a v komponentně Web Audio, zneužití hrozilo i přes upravený formát WevGL.
Některé z těchto zranitelností se týkají i e-mailového klienta Thunderbird, i zde se doporučuje provést aktualizaci na verzi 31.

Volně přístupné byly e-mailové adresy a šifrovaná hesla vývojářů Mozilly. Problém se mohl týkat až 76 000 adres a asi 4 000 hesel. Šlo o chybné nastavení procesů, kdy na serveru byl zvenku přístupný dump databáze. Podle Mozilly se ale k příslušným informacím nikdo nepovolaný nejspíš nedostal, nebo alespoň ne v kompletní podobě.

Vyšlo
najevo, že chybu Internet Exploreru, kterou Microsoft opravil letos v
červnu (MS14-035), odhalila společnost Vupen již před 3 roky. Vupen
příslušnou informaci za celou dobu neprozradil,
leda možná svým zákazníkům,
nikoliv však výrobci. Chyba byla nakonec
reportována až v souvislosti s letošní
soutěží CanSecWest/Pwn2Own. The Register
uvádí, že podobné případy
dnes ale nejsou nijak ojedinělé.

Objeveny byly zero day chyby v produktu Symantec Endpoint Protection, některé spojené s eskalací oprávnění. Na problém upozornili penetrační testeři z firmy Offensive Security, podrobnosti zatím zná CERT a dodavatel.

Společnost KGuard uvádí na trh nové kamery VW123E a HW128H, které jsou dle dodavatele vhodné zejména pro sledovaní parkovacích prostor. Mezi speciální vlastnosti kamery VW123E patří schopnost kompenzace dálkových světel. Díky této funkci je kamera schopna vykompenzovat ostré světlo od přijíždějícího vozu, a tak zaznamenat detaily, jako je SPZ.
Zdroj: tisková zpráva společnosti KGuard

Cisco ve spolupráci s fondem Pioneers podpoří až 10 technologických start-upů. Program se poprvé otevírá i pro evropské společnosti; mezi požadovaným zaměřením firem je i kybernetická bezpečnost. Vybrané start-upy v rané fázi svého financování získají v rámci programu základní investiční a rozvojový kapitál, softwarové nástroje a možnost spolupracovat s dalšími společnostmi zapojenými do programu i s týmy společnosti Cisco.

Zdroj: tisková zpráva společnosti Cisco

Podvodníci začínají opět ve větší míře používat makroviry. Protože automatické spouštění maker je v kancelářských balících zakázáno, tvůrci musejí k jejich povolení oběť přimět technikami sociálního inženýrství. V typickém případě se uživateli zobrazí rozostřený obsah předstírající, že jde např. o bankovní výpis či přehled transakcí. Nad rozmazaným obrázkem je informace o tom, že k obsahu se lze dostat po povolení maker (eventuálně i návod, jak je přesně povolit).
Zdroj: tisková zpráva společnosti Sophos

24,2 % spamu přicházelo v minulém čtvrtletí z USA. Druhé místo zaujala překvapivě Francie se 6,7 %. Z hlediska objemu produkovaného spamu na hlavu se zlepšila situace v Bělorusku, které těmto žebříčkům dlouho vedlo. ČR je na 34. místě.
Zdroj: tisková zpráva společnosti Sophos

ZyXEL představil svou novou řadu přepínačů s webovou správou. Řada GS1920 nabízí podle dodavatele v oblasti zabezpečení funkci „intrusion lock” sloužící proti neoprávněnému přístupu, podporuje také autentizaci pomocí protokolu 802.1X se serverem RADIUS a je schopna provádět monitorování, filtrování a kontrolu provozu v rámci podsítě.

Zdroj: tisková zpráva společnosti společnost ZyXEL Communications

Běžné spotřebitelské notebooky, tablety a chytré telefony nejsou vhodné pro všechny úkoly zaměstnanců. Kvůli tomu je využití konceptu BYOD v kombinaci s mobilními profesionály neefektivní, uvádí tisková zpráva společnosti Panasonic.

Hrozby pro mobilní zařízení na platformě Android dále kopírují svět PC. Trojan s názvem Android/Simplocker je mobilní obdobou obávaného malwaru přezdívaného policejní virus. Aplikace se původně nejčastěji tváří jako přehrávač formátu Flash. Simplocker po instalaci zablokuje displej mobilního přístroje a zobrazí na něm upozornění, které se tváří jako zpráva od FBI (malware není prozatím nijak lokalizován).
Zdroj: tisková zpráva společnosti Eset

Avast Software koupila tuzemského vývojáře mobilních aplikací, firmu Inmite. Díky této akvizici Avast rozšiřuje svůj tým o 40 specialistů na vývoj mobilních řešení.
Zdroj: tisková zpráva společnosti Avast Software

NetGear představil nový nástroj ReadyRECOVER, zálohovací software vytvořený pro platformu ReadyDATA. Uživatelům umožňuje vytvářet pravidelné přírůstkové zálohy dat jako plnohodnotné body obnovení.

Zdroj: tisková zpráva společnosti NetGear

Secure Content Locker (SCL), řešení společnosti AirWatch by VMware pro správu firemního obsahu, nyní přidává plug-in pro Outlook. Koncoví uživatelé řešení mohou díky tomu nyní bezpečně sdílet velké soubory i prostřednictvím e-mailu.
Zdroj: tisková zpráva společnosti AirWatch

Intel oznámil rozšíření profesionální rodiny svých SSD disků o novou řadu Intel SSD Pro 2500. Co se týče zabezpečení, pro podnikové zákazníky disky nabízejí automatické hardwarové 256bitové šifrování, jež má chránit data, aniž by při tom docházelo ke ztrátě výkonu. Vedle toho jsou disky vybaveny novým standardem OPAL 2.0 od Trusted Computing Group a podporují Microsoft eDrive. Tyto standardizované nástroje pomáhají předcházet únikům dat a zároveň podporují šifrované vymazání, takže disky je možné recyklovat.

Zdroj: tisková zpráva společnosti Intel

Výsledky lokálního i globálního průzkumu Kaspersky Lab naznačují, že slabší důraz na zabezpečení IT systémů ve velmi malých firmách (do 25 zaměstnanců) nevychází z neznalosti, ale spíše z rozpočtových priorit. 36 % dotázaných v Česku uvedlo ochranu dat jako jednu z hlavních obav spojených s podnikovým IT, společně se zajištěním fungování systémů důležitých pro vlastní provoz.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Kyberšpionážní kampaň Crouching Yeti, známá také jako Energetic Bear, začala už v roce 2010, ale pokračuje i nyní. Seznam obětí má být mnohem větší, než se dosud soudilo. Nejvíce zasažených cílů se vyskytuje ve farmaceutickém průmyslu, stavebnictví, strojírenství a IT.. Napadené organizace pocházejí většinou z USA, Španělska a Japonska, řada z nich ale sídlí i v Německu, Francii, Itálii, Turecku, Irsku, Polsku a Číně. Nejčastěji používaným nástrojem útočníků je trojský kůň Havex. Kaspersky Lab objevila celkem 27 verzí tohoto programu a také několik dodatečných modulů, jejichž cílem je sběr dat z řídicích průmyslových systémů.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Laboratoře McAfee Labs zkoumaly 300 vzorků klonů hry Flappy Bird. Z těchto 300 vzorků vyhodnotili výzkumníci 238 jako nebezpečné. U zkoumaných klonů se mj. objevilo povolení oprávnění k volání, instalaci dalších aplikací, sledování příchozích SMS zpráv, odeslání SMS, čtení dat z adresáře kontaktů, zjištění MAC adresy zařízení, odesílání informací o činnosti uživatele na stránky třetích stran – a to vše bez vědomí a souhlasu uživatele.

Poslední McAfee Labs Threat Report dále upozorňuje na často nedostatečné bezpečnostní mechanismy v on-line obchodech s mobilními aplikacemi.

Zdroj: tisková zpráva společnosti Comguard

Na téma zabezpečení na ITBiz viz také:
Chyba v Androidu umožňuje získat všechna práva bez Roota
Android využívá PKI infrastrukturu, která identifikuje vše od toho, kde se certifikáty podpisují rodičovskými certifikáty s vytvořením řetězce až po důvěryhodné napevno zabudované kořenové certifikáty. Problém je ale v tom, že od verze Android 2.1 vůbec neprobíhá ověřování korektnosti takovýchto řetězců.

Ruské ministerstvo vnitra nabízí něco přes dva miliony Kč za prolomení sítě TOR.
Nápadné je, že tendr byl vypsán otevřeně, dále také velice nízká částka za takovýto (obecně jistě velmi cenný) hack.

Rubriky: InternetPodnikový softwareSecurity

Související příspěvky

Cisco Secure Access pro bezpečnost v multicloudovém prostředí
Články

Cisco Secure Access pro bezpečnost v multicloudovém prostředí

8. 6. 2023
Zprávičky

BBC: Čínští komunisté sbírali přes TikTok data o protestech v Hongkongu

7. 6. 2023
Zprávičky

Acronis přidává do své platformy monitoring na bázi strojového učení

7. 6. 2023
Konference Security 2023
Články

Konference Security 2023

6. 6. 2023

Zprávičky

CZ.NIC začal zveřejňovat seznam zablokovaných domén

Senát asi bude řešit ústavní zakotvení práva být off-line

ČTK
8. 6. 2023

Senát se zřejmě bude zabývat možností ústavního zakotvení práva občanů nevyužívat informační technologie. Návrh

BBC: Čínští komunisté sbírali přes TikTok data o protestech v Hongkongu

ČTK
7. 6. 2023

Bývalý vedoucí pracovník čínské společnosti ByteDance, která provozuje sociální síť TikTok, obvinil vládnoucí čínskou

Acronis přidává do své platformy monitoring na bázi strojového učení

Pavel Houser
7. 6. 2023

Acronis přidal do své MSP platformy Acronis Cyber Protect Cloud novou funkci monitoringu a

Komerční úspěch 5G: Sítě nové generace dosáhly za tři roky stejných milníků, jako 4G za pět let

EU zvažuje, že členským státům zakáže v sítích 5G využívat Huawei

ČTK
7. 6. 2023

Evropská unie podle listu Financial Times (FT) zvažuje, že členským státům zakáže při budování

Americké úřady žalují den po Binance i konkurenční burzu Coinbase

ČTK
6. 6. 2023

Americká Komise pro cenné papíry a burzy (SEC) žaluje den po Binance i konkurenční

Analytici: Tržby odvětví AI mohou do roku 2032 vzrůst na 1,3 bilionu dolarů

ČTK
6. 6. 2023

Zpřístupnění nástrojů umělé inteligence zaměřených na spotřebitele, jako je ChatGPT či Bard, by mohlo

Serverový trh se zotavuje jen zvolna

Japonsko plánuje do konce desetiletí ztrojnásobit prodej svých polovodičů

ČTK
6. 6. 2023

Japonsko plánuje do roku 2030 ztrojnásobit tržby z prodeje svých polovodičů na více než

Apple představil soupravu pro rozšířenou virtuální realitu Apple Vision Pro

ČTK
5. 6. 2023

Americká technologická společnost Apple dnes představila dlouho očekávanou soupravu pro rozšířenou virtuální realitu Apple

Tiskové zprávy

Golden Knights nebo Panthers. Pomůžou jim technologie vyhrát Stanley Cup?

WD_BLACK přináší nový, vylepšený SSD disk s oficiální licencí pro konzole PS5

Základní podmínka stability organizace? Kyberbezpečnost!

Red Hat představil Ansible Lightspeed pro automatizaci IT řízenou umělou inteligencí

Synology představuje zařízení BeeDrive, osobní centrum zálohování

Acer rozšiřuje řadu 10″ tabletů Iconia Tab o nové modely

Zpráva dne

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Redakce
3. 3. 2023

Ať už hledáte levnější cestu jak postavit nový počítač, nebo jen chcete upgradovat stárnoucí...

Komentujeme

Chvála černých skřínek

ChatGPT – pouhé rozhraní a komprese informací, praví autor sci-fi

Pavel Houser
11. 5. 2023

K hromadám diskusí o konverzačním programu ChatGPT snad stojí za to přidat jeden poměrně nezvyklý (a...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

Junior Page

INCOTERMS

Diverzifikace portfolia

Nejpopulárnější články

Ransomwarový útok stojí české oběti 8,25 milionu korun

93 % ransomwarových útoků se zaměřuje na zálohovací úložiště a vynucuje si tím zaplacení výkupného

itbiz
25. 5. 2023

Nejčastější hrozby dneška. Stačí antivirus?

Půl roku od uvedení ChatGPT: Umělá inteligence v centru zájmu

ČTK
30. 5. 2023

Germanen jako cesta k energeticky úsporné elektronice?

Germanen jako cesta k energeticky úsporné elektronice?

Pavel Houser
1. 6. 2023

Plně flashové datové centrum: Poslední hřebíček do rakve klasických pevných disků

Plně flashové datové centrum: Poslední hřebíček do rakve klasických pevných disků

Patrick Smith
9. 5. 2023

Studie Cisco: přechod firem do multicloudu přináší problémy se zabezpečením přístupu uživatelů

Redakce
31. 5. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

RSS AbcLinuxu RSS

  • Shrnutí vývoje frameworku pro zpracování obrazu G'MIC za poslední rok a půl
  • postmarketOS 23.06
  • openSUSE Leap 15.5

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.