Postřehy z bezpečnosti: 0day chyba Internet Exploreru je opravena

Martin Čmelík 5. 5. 2014

V dnešním díle postřehů se podíváme na 0day chybu postihující všechny Internet Explorery od verze 6 po 11, jak je možné pomocí OpenSSL chyby získat privátní klíč z paměti, na to jak Skype ukládá vaše informace o konverzacích v nešifrované podobě, jak iOS 7 dělá to samé s e-maily a jak je možné ovládat dopravní značení.

Jak jistě víte, tento týden byla zveřejněna informace o masivním zneužívání 0day chyby postihující Internet Explorer od verze 6 po verzi 11, což představuje přibližně 26% všech uživatelů Internetu. Chyba označena jako CVE-2014–1776 využívá use-after-free chybu a k úspěšnému spuštění vyžaduje podporu Flashe v Internet Exploreru. Exploit obsahuje i několik technik obcházející EMET, ale podle testů společnosti FireEye byl na počítači s EMETem útok neúspěšný. Patch na tuto chybu již existuje. Za útokem stojí dobře organizovaná skupina kyberzločinců, kteří již dříve používali jako jedni z prvních 0day chyby majoritních prohlížečů a rozšiřujících doplňků. Podle společnosti FireEye stejná skupina používala v roce 2010 malware/backdoor Pirpi, který také obsahoval 0day exploit na Internet Explorer. Byl ukryt na C&C serverech jako GIF obrázek, kterým byl ve skutečnosti obfuskovaný spustitelný soubor.

Naše postřehy

CZ.NIC oscanoval na chybu Heartbleed weby české státní správy a samosprávy a odhalili zranitelných jen sedm z 369. Buď začali příliš pozdě, nebo do jejich testů nebyly zahrnuty státní podniky.

Zajímá vás podrobnější popis, jak je možné ze serveru pomocí OpenSSL chyby získat privátní klíč? Přečtěte si tento zajímavý článek.

Dva programátoři z Rumunska zjistili, že, ačkoliv jsou všechny hovory i konverzace na Skypu “šifrované”, tak se ukládají na lokální disk v nešifrované podobě, a to včetně vašich kontaktních údajů. Jedná se o soubor ve formátu SQLite a na Windows ho naleznete zde: C:\Users\UŽIVATEL\AppData\Ro­aming\Skype\skype.id. Tabulka CallMembers obsahuje seznam volání a Messages vaše konverzace.

Andreas Kurtz na svém blogu popisuje, že iOS někdy od verze 7 již neukládá emailové přílohy pomocí funkce “Data Protection”, která je zašifruje unikátním klíčem na souborový systém telefonu, ale jsou přístupné bez jakýchkoliv omezení. Jediným vyjádřením Applu v tuto chvíli je, že o problému vědí.

Zajímalo by vás jak je možné kompletně ovládat např. světelné křižovatky s vybavením za sto dolarů na vzdálenost až dvou mil? Cesar Cerrudo ze společnosti IOActive, která se právě specializuje na zranitelnosti systémů používaných v běžném životě (automobily, srdeční pumpy, bankomaty, …), případně kritickou infrastrukturu jako např. elektrárny, v příspěvku na webu popisuje, jak pomocí drona mohl ovládnout křižovatku či silniční signalizaci.

Hledáte vysoce bezpečnou aplikaci/službu pro konverzaci, volání a emaily, používající NTRU šifrování, které je imunní vůči útoku kvantovým počítačem? Zkuste novou službu Unseen.is a dejte vědět do komentářů, jak se vám líbí.

widgety

Ve zkratce

Vyšla nová verze PHP obsahující opravy několika bezpečnostních chyb

Pro pobavení

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Podnikatel.cz: Jak na DPH u online služeb do třetích zemí?

Jak na DPH u online služeb do třetích zemí?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu