Hlavní navigace

Postřehy z bezpečnosti: dvě díry ve videokonferenční aplikaci Zoom

6. 12. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Pixabay
V dnešním díle se podíváme na další neoficiální opravu záplaty pro Windows 10, kritickou chybu v knihovně NSS, Eidentita.cz změnila svůj název, dále pak na zranitelnost v Zoomu a v Praze se konal 3. ročník Prague 5G Security Conference.

Zranitelnosti v Zoomu

Výzkumníci z Google Project Zero objevili dvě zranitelnosti ve videokonferenčním softwaru Zoom, které vystavují uživatele útokům. Chyby zabezpečení ovlivňují produkty Zoom na platformách Windows, macOS, Linux, iOS a Android. První chybou, sledovanou jako CVE-2021–34423, je velmi závažná zranitelnost přetečení vyrovnávací paměti, která získala skóre CVSS 7,3.

Ta může potenciálně umožnit útočníkovi pád služby či aplikace a nebo využít tuto zranitelnost ke spuštění libovolného kódu. Druhou zranitelností, je problém s poškozením paměti, sledovaný jako CVE-2021–34424, který získal skóre CVSS 5,3. Tento problém by mohl být použit k potenciálnímu nahlédnutí do libovolných oblastí paměti produktu.

Kritická chyba v knihovně Network Security Services (NSS)

Mozilla opravila bezpečnostní chybu (heap overflow) v sadě multiplatformních kryptografických knihoven Network Security Services (NSS). Chyba souvisí se zpracováním podpisů DSA nebo RSA-PSS ve formátu DER v e-mailových klientech a prohlížečích PDF. Kritickou chybu, která dostala označení CVE-2021–43527, podrobně rozebírá příspěvek na stránkách Project Zero. Verze s opravenou chybou jsou NSS 3.68.1 a NSS 3.73.

Eidentita.cz se změnila na Identitu občana

Správa základních registrů (SZR) přejmenovala bránu pro přihlašování k online službám státu. Eidentita.cz změnila svůj název na „Identitu občana“.

Identita občana pro připojené služby ověřuje totožnost uživatelů v základních registrech. Po změně názvu se v URL řádku místo „nia.eidentita.cz“ bude objevovat „nia.identitaobcana.cz“. Podobně se mění i adresa informační stránky na info.identitaobcana.cz. Stávající adresy budou do 30. června 2022 automaticky přesměrovány na nové domény,“ píše SZR.

Nová značka je vytvořena ve stylu Portálu občana, jde tak o další krok ke sjednocení online služeb veřejné správy. Všechny uživatelské funkce zůstávají zachovány beze změn.

Neoficiální opravy oprav pro Windows 10

Byly vydány neoficiální opravy k nápravě nesprávně opravené bezpečnostní chyby systému Windows, která by mohla umožnit zveřejnění informací a eskalaci místních oprávnění (LPE) na zranitelných systémech.

Chyba (CVE-2021–24084, CVSS skóre: 5,5) se týká zranitelnosti prozrazení informací v komponentě Windows Mobile Device Management, která by mohla umožnit útočníkovi získat neoprávněný přístup k systému souborů a číst libovolné soubory.

Bezpečnostní výzkumník Abdelhamid Naceri byl oceněn za objevení a nahlášení chyby v říjnu 2020, což přimělo Microsoft, aby problém řešil v rámci svých aktualizací Patch Tuesday z února 2021. Jak si však Naceri v červnu 2021 všiml, nejen že lze opravu obejít, aby bylo dosaženo stejného cíle, výzkumník tento měsíc zjistil, že neúplně opravenou zranitelnost lze také zneužít k získání oprávnění správce a spuštění škodlivého kódu na systémech s Windows 10, verze 1809 a novější. Problém se netýká systémů s Windows Server, protože zranitelná funkce není v těchto OS implementována.

Třetí ročník konference Prague 5G Security Conference

Praha opět hostila 30. listopadu a 1. prosince jednu z největších světových událostí na poli kybernetické bezpečnosti „Prague 5G Security Conference“. Akce se konala kvůli pandemickým opatřením převážně online a částečně v prostorách O2 universa v Praze. Událost organizoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v koordinaci s Ministerstvem zahraničních věcí a pod záštitou Úřadu vlády ČR.

Konference se zaměřila na otázky spojené s bezpečností 5G sítí a přelomových technologií (tzv. emerging and disruptive technologies), jakými jsou zejména umělá inteligence, autonomní systémy, Big Data Advanced Analytics, kvantová komunikační infrastruktura a Massive Internet of Things. Na závěr konference byly představeny tzv. Pražské návrhy týkající se kybernetické bezpečnosti přelomových technologií (Prague Proposals on Cyber Security of EDTs) a diverzity dodavatelů telekomunikací (Prague Proposals on Telecommunications Supplier Diversity).

Ve zkratce:

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.