Microsoft vydal květnový balíček záplat. Jak je na tom s bezpečností Apple? Flash Player více podporuje technologie sandboxu. Následuje pravidelný čtvrteční bezpečnostní přehled. Kromě oprav Microsoftu se ale, jak se zdá, nic závažného na poli IT bezpečnosti nepřihodilo (samozřejmě s výhradou, že klíčové události obvykle vyjdou najevo až po určité době).
Druhé úterý v měsíci znamená další dávku pravidelných záplat Microsoftu. Tentokrát bylo vydáno 7 aktualizací pro 23 bezpečnostních zranitelností. Kritické opravy se týkají Windows, MS Office, Silverlight a rozhraní .NET.
Záplata MS12-034 je pak speciálně navržena pro způsoby, jimž se šíří červ Duqu (respektive: vztahuje se zřejmě k problémům s předešlou záplatou, kterou Microsoft vydal proti tomuto červu), ale zahrnuje v sobě i další opravy. Microsoft pokládá za krajně pravděpodobné, že zneužití příslušných chyb se do měsíce objeví ve volném oběhu.
Příslušný bulletin zabezpečení přitom pokrývá prakticky celé portfolio klientských produktů Microsoftu. Zneužití je možné např. při zpracování určitých fontů vložených do dokumentu (web i jiné), kdy útočník může získat kontrolu nad napadeným systémem. Stačí jen například přimět uživatele klepnout na hypertextový odkaz.
Další kritická záplata pro MS Office (MS12-029) opravuje chybu, která umožňuje vzdálené spuštění kódu kvůli zranitelnosti ve Wordu. Útočník by nicméně neměl získat administrátorský přístup k systému a zranitelnost se údajně netýká MS Office 2010. MS Office, konkrétně aplikaci Visio, řeší i bulletin zabezpečení MS12-031.
Zdroj: The Register. ZDNet
Teroristická skupina Lashkar-e-Taiba (cíl: odtržení Kašmíru od Indie, spolupachatelé útoků v Bombaji v roce 2008) si údajně dokázala vybudovat vlastní VoIP síť, která propojuje členy v rámci infrastruktury GPRS. Metoda prý celkem spolehlivě chrání před odposlechem komunikace ze strany indické policie.
Zdroj: The Register
Vyjádření z Kapsersky Lab srovnává současné zabezpečení systémů Apple se situací, jaká u Microsoftu panovala zhruba před 10 lety. Po malwaru Flashbakc/Flashfake teď bude nějakou dobu trvat, než Apple na situaci dokáže adekvátně zareagovat. Nejde jen o samotnou opravu, ale vůbec o nastartování procesu pravidelného uvolňování záplat a všech souvisejících procedur i při vývoji nových verzí softwaru (bezpečnostní audit apod.).
Útočníci teď vidí, že Mac OS zasáhnout lze, a vzhledem k rozšiřování platformy Apple je takový postup i celkem nadějný z hlediska efektivity. Takže se prý nyní můžeme těšit na záplavu macovského malwaru, a to alespoň do té doby, než Apple zavede účinnější protiopatření.
Zdroj: The Register
Dále na ITBiz: Kaspersky: co se týče bezpečnosti, je Apple 10 let za Microsoftem
Ed Bot na serveru ZDNet srovnává poslední aktualizace Applu a Microsoftu i způsob, jak obě firmy komunikují se zákazníky. Bulletiny zabezpečení Microsoftu jsou pro uživatele transparentní, přesně popisují dotčené produkty i závažnost chyby, Microsoft k tomu navíc i přidává exploitability index s odhadem rizika zneužití.
Publikována je řada technických informací; samozřejmě je lze ignorovat a záplaty prostě nainstalovat, současně se ale tyto údaje mohou velmi pro specialisty ve firmách, když musí řešit třeba pořadí instalace oprav.
Naopak poslední útok proti MacOS X v první fázi zneužíval zranitelnosti v Javě. Oracle vydal opravu již v únoru, Apple (který kontroluje implementaci Javy pro Mas OS) ji začal distribuovat až skoro o dva měsíce později. Ani poté Apple nepublikoval rozsáhlejší informace a většinu práce za něj musely odvést nezávislé bezpečnostní firmy.
Apple přitom pro zabezpečení svého ekosystému v poslední době najal řadu renomovaných lidí, ale to asi nestačí. Zabezpečení bylo příliš dlouho v pozadí zájmu, firemní procesy nejsou orientovány tímto způsobem. Společnost bude nyní svádět boj, aby si udržela (nebo obnovila?) důvěru zákazníků. Je třeba lépe komunikovat, spolupracovat s nezávislými bezpečnostními firmami i jednotlivci. Peněz má Apple dost, ale zatím prý volí spíše taktiku strkání hlavy do písku.
Zdroj: ZDNet
poznámka: Nakolik ale hrozí tyto incidenty ovlivnit samotné podnikání Applu? Mohou mít dopad i na oblast smartphonů a tabletů? Je dnes pro Apple jako „trendy“ společnost orientovanou na koncové uživatele vůbec zvlášť podstatné, když se o ní kriticky píše na webech specializovaných na IT?
Chyba v protokolu Skype umožňuje zachytiti IP adresu účastníků komunikace. Za normálních okolností není IP adresa nic tajného, ale přece jen to lze chápat jako bezpečnostní zranitelnost; pokud chce někdo na Skypu zůstat v anonymitě, prostě to nefunguje. Metoda sledování přitom nemá být závislá na konkrétním klientovi pro služby Skype. Zájemce navíc může získat IP adresu i pomocí formulářové služby, aniž by sám měl účet na Skype. Microsoft problém zkoumá.
Zdroj: HelpNet Security
V sandboxu, respektive chráněném režimu, by měl brzy běžet i přehrávač Adobe Flash Player v podobě plug-inu pro Firefox (pro FF 4.0 a Windows Vista, respektive vyšší verze obého). Tento režim zatím fungoval pouze v rámci Google Chrome. Stupeň zabezpečení/oddělení od zbytku systému má být zhruba na stejné úrovni, jako u Adobe Readeru (X), jehož nejnovější verze již také podporují sandbox. Od jeho uvedení koncem roku 2010 se proti novým verzím Readeru již podle Adobe plošně nerozšířil žádný úspěšný pokus o exploit.
Zdroj: HelpNet Security
Nová hackerská skupinka Unknown zveřejnila data, která mají dokazovat, že se útočníkům podařilo proniknout do systémů NASA, ESA, US Air Force a dalších institucí. Uniklé údaje mají mít hlavně podobu jmen a hesel uživatelů interních systémů těchto institucí.
Zdroj: SecurityNewsDaily
Kompromitováno bylo tisíce účtu Twitteru, zveřejněna byla hesla k účtům a odpovídající e-mailové adresy uživatelů. Celkem má jít asi o 55 000 položek, nicméně je zde hodně duplicit, mezitím pozastavených spammerských účtů a celá záležitost je vůbec poněkud podivná (např. mnoho hesel je silných, formát zveřejněných dat neodpovídá Twitteru, hesla jsou mnohdy asi spárována s jinými uživatelskými jmény apod.). Není jasné, jak vlastně k incidentu došlo, asi se něco stalo někde jinde než u provozovatele. Nicméně Twitter by měl začít řešit existenci množství „robotických“ účtů a způsobů, jak se s nimi pracuje…
Zdroj: CNet, ZDNet
Více než polovina evropských firem, které zavedly nebo plánují v brzké době zavést virtualizační technologii, zatím neplánuje implementaci relevantních bezpečnostních prvků pro svá virtuální prostředí. Vyplývá to z březnového průzkumu Kaspersky Lab. Průzkum probíhal mezi IT manažery středních a velkých firem, které již virtuální infrastrukturou disponují, nebo plánují její implementaci v dohledné době.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Eset zpřístupnil svůj bezpečnostní produkt Eset Mobile Security pro mobilní zařízení na platformě Android na online tržišti Google Play
Zdroj: tisková zpráva společnosti Eset
Uživatelé elektrických zabezpečovacích systémů produktové řady SPC značky Siemens mohou nyní sledovat a ovládat své systémy téměř odkudkoliv. Umožňuje to nová aplikace pro mobilní zařízení značky Apple SPCanywhere, která je dostupná zdarma na portálu AppStore.
Zdroj: tisková zpráva společnosti Siemens