Zranitelnosti a opravy: WordPress, směrovače i čtečky e-knih

Pavel Houser , 06. únor 2017 11:00 0 komentářů
Rubriky: Security

Dále je třeba aktualizovat např. implementaci Hadoop od IBM a OpenSSL.

Pouhá SMS zpráva dokáže resetovat smartphony Samsung S5 a S4 do továrního nastavení, výrobce již vydal opravu. Tom Court a Neil Biggs ze společnosti Contextis, kteří na útok upozornili, navíc uvádějí, že SMS mohla také vyvolat sérii rebootování a být spojena s dalšími škodlivými aktivitami včetně instalace ransomwaru do zařízení. Samsung Galaxy S6 a S7 se takto napadnout nedaly, protože SMS v uvedené podobě nepřijmou. Nicméně podobný problém se může týkat i dalších smartphonů na platformě Android.

Byly vydány verze 1.1.0d a 1.0.2k knihovny OpenSSL, Obsahují opravu 4 bezpečnostních zranitelností.

Zdroj: ABCLinuxu.cz

Po zranitelnosti v plug-inu Cisco WebEx pro Chrome byly podobné problémy objeveny – a již rovněž opraveny – i v případě těchto doplňků pro další webové prohlížeče (viz také: Bezpečnostní opravy: Apple, Cisco, GE, WD). Dále Cisco vydalo záplatu pro software TelePresence Multipoint Control Unit, kde zranitelnosti umožňovala vzdálené spuštění kódu (mechanismus: při zpětném sestavování paketů se neověřovala jejich velikost, což mohl útočník zneužít pomocí speciálního paketu, který způsobil přetečení zásobníku).

Opravy 3 bezpečnostních zranitelností vydal WordPress. Chyby v redakčním systému umožňovaly útoky cross-site scripting, CSRF a SQL injection. Opravená verze má číslo 4.7.2.

IBM opravila dvě zranitelnosti ve své analytické platformě InfoSphere BigInsights (postaveno nad Hadoopem). Chyby CVE-2016-2924, CVE-2016-2992 umožňovaly útočníkovi s přístupem k serveru vytvářet zde soubory se škodlivým obsahem a na ten (na příslušné HTML dokumenty) pak mohli odkazovat ostatní uživatele. Problém šlo snadno zneužívat v kombinaci s krádeží uživatelských oprávnění.

AirWatch (systém pro řízení podnikových mobilních zařízení patřící dnes pod VMware) obsahoval zranitelnosti, které ze zařízení umožňovaly přístup ke zbytku systému včetně dalších spravovaných mobilů. Opravené verze obou zranitelných komponent (Airwatch Agent for Android, Airwatch Inbox for Android) jsou již k dispozici na Google Play.

Craig Arendt upozornil na zranitelnosti v několika používaných čtečkách e-knih i souvisejících službách. Mezi postiženými produkty se zmiňují ty od Amazonu, Applu, Googlu i Adobe. Problém je zpracováním formátu ePub. Při propojení na speciálně vytvořené externí entity XML tyto aplikace havarují a následovat může podle okolností i další akce útočníka. Oznámení o problému bylo ale podle dohody zveřejněno až v okamžiku, kdy by postižený software všech dodavatelů již měl být zalátán.

Řada modelů směrovačů Netgear obsahovala zranitelnosti, které šlo snadno zneužít v případě, že zařízení měla povolenu vzdálenou správu. Útočníci pak mohli získat heslo do zařízení pomocí webového dotazu sloužícího obvykle pro obnovu hesla. Ve výchozím nastavení vzdálená správa povolena není. Společnost Netgear již vydala aktualizaci firmwaru pro některé z dotčených modelů.

Zdroj: CSIRT.cz


Komentáře

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Systém pro STK by měl za 120 mil. Kč nadále provozovat AutoCont

ČTK , 22. červen 2018 10:00

V novém smluvním období by firma měla zajistit také propojení s obdobnými systémy jednotlivých člens...

Více 0 komentářů

Divize firmy Deutsche Telekom T-Systems ruší 10 000 míst

ČTK , 22. červen 2018 09:00

Na 6000 míst z celkového počtu má být zrušeno v Německu v průběhu příštích tří let....

Více 0 komentářů

Šéfovi Intelu srazil vaz vztah na pracovišti

ČTK , 22. červen 2018 08:00

Ve funkci předsedy představenstva a člena správní rady Krzaniche přechodně nahradí dosavadní finančn...

Více 0 komentářů

Kalendář

19. 06.

22. 06.
Automatica 2018
22. 06. Prague Data Cities Congress 2018
23. 06.

24. 06.
Maker Faire Prague 2018

Starší zprávičky

Musk: Favoritem pro evropskou továrnu na baterie Tesly je Německo

ČTK , 21. červen 2018 10:00

Revoluce elektrických aut zvýší do roku 2025 hodnotu evropského trhu s bateriemi na zhruba 250 milia...

Více 0 komentářů

Česko testuje komunikaci mezi auty, vlaky a MHD

ČTK , 21. červen 2018 09:00

Vozidla si budou vyměňovat informace například o tom, jak je vlak daleko od závor, nebo že tramvaj v...

Více 0 komentářů

Xiaomi chce při vstupu na burzu získat až 6,1 miliardy dolarů

ČTK , 21. červen 2018 08:00

Půjde o jednu z největších primárních nabídek akcií v technologickém sektoru za posledních několik l...

Více 0 komentářů

Kryptoměnovou burzu Bithumb napadli hackeři

ČTK , 20. červen 2018 10:16

Za poslední týden jde již o druhý útok na kryptoměnové burzy v Jižní Koreji. Bitcoin opět klesl....

Více 0 komentářů