Postřehy z bezpečnosti: webová aplikace pro kontrolu „rom-0“

Lukáš Malý 16. 6. 2014

Sdružení CZ.NIC vytvořilo webovou aplikaci na kontrolu zranitelnosti „rom-0“. Uživatelům Seznamu byla podstrkávána falešná aplikace pro Android. Metasploit obsahuje nový modul prověřující OpenSSL DTLS. Adobe, Microsoft a Google vydali opravy svých produktů.

Pro ověření zranitelnosti zvané „rom-0“ byla sdružením CZ.NIC spuštěna webová aplikace na adrese http://rom-0.cz (Test chyby rom-0). Tento webový nástroj prověří router, přes který přistupujete do internetu. Testovací stránka se pokusí zjistit existenci souboru rom-0 metodou HTTP HEAD na IPv4 adrese, ze které se uživatel připojuje.

217.31.48.30 - - [12/Jun/2014:17:40:46 +0200] "HEAD /rom-0 HTTP/1.1" 404 - "-" "Python-httplib2/0.7.4 (gzip)"

Aplikace provede kontroly přístupu ve webovém rozhraní pro správu routeru. Na blogu NIC.CZ jsou uvedeny podrobnosti.

Uživatelé služby Seznam Email jsou nabádány trojanem Win32/PSW.Papras.CX k instalaci mobilní aplikace pro jednodušší a bezpečnější práci se svou poštovní schránkou. Ve skutečnosti však do smartphonu propašují mobilní trojan pro operační systém Android, který útočníkovi může pomoci například překonávat dvoucestnou autorizaci internetového bankovnictví. O nové variantě trojanu informovala společnost ESET.

Metasploit nyní obsahuje modul pro využití CVE-2014–0195 (OpenSSL DTLS Fragment vuln.) Metasploit modul ve své současné podobě neumožňuje spuštění kódu, ale místo toho způsobí jen pád služby.

auxiliary/dos/ssl/dtls_frag­ment_overflow

Zde je přehled případně ovlivněných protokolů:
SNMPv3 (161/UDP), LDAP přes SSL (636/UDP), DTLS-SRP (VoIP, WebRTC, různé porty), OpenVPN (1194/UDP)

widgety

Adobe a Microsoft vydali druhé úterý v měsíci záplaty na kritické zranitelnosti. Když Adobe vydaval fixy převážně po Flash Player a AIR, Microsoft vydal většinu záplat pro Internet Explorer. Jakou verzi Flash Player používáte ověříte zde.  Google též zareagoval na opravy Flash Playeru a vydal nové verze Chrome a Chrome OS. Zdá se že Windows 8.x opět ubylo pár negativních černých puntíků.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: 5 nemocí, se kterými pomáhá urologie

5 nemocí, se kterými pomáhá urologie

DigiZone.cz: Banaxi: videa kdekoli na světě

Banaxi: videa kdekoli na světě

Podnikatel.cz: EET a účetní programy. Vše hotovo?

EET a účetní programy. Vše hotovo?

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn