Hlavní navigace

Postřehy z bezpečnosti: hlavně mít aktualizovaný systém

CESNET CERTS

Dnes se podíváme na pár opravených zranitelností, první malware s exploitem zranitelnosti DirtyCow na Android, nasazování záplat u Apple a pár úniků důvěrných informací. Na závěr rozsekneme spor PIN vs. gesto.

Špinavá kráva opět na scéně

Mohlo by se zdát, že zranitelnost DirtyCow umožňující eskalaci práv již není aktuální. Bohužel výzkumníci z Trend Micro přišli tento týden se zprávou, že byl detekován první malware zneužívající tuto zranitelnost na platformě Android. Proč to trvalo tak dlouho? Pravděpodobně protože nějakou dobu zabralo vytvořit stabilní exploit fungující na většině zařízení. Nakonec se to ale očividně podařilo, protože malwarem obsahující tento exploit bylo nakaženo více než 5000 zařízení. Doufejme, že se skutečně jedná o první vzorek malware zneužívající zmíněnou zranitelnost a pro vyhnutí infekci se stačí vyvarovat instalaci her a aplikací s porno tématikou.

Hlavně mít aktualizovaný systém

Výzkumníci z Duo Labs vydali studii, ve které se zaměřili na distribuci aktualizací EFI u produktů firmy Apple. Je třeba podotknout, že Apple distribuuje záplaty firmware spolu s aktualizacemi operačního systému. Výsledkem studie je zjištění, že přestože Apple vydával aktualizaci firmware a systém reportuje svůj stav jako aktuální, nemusí to nutně znamenat, že došlo k aktualizaci potenciálně zranitelného firmware.

Cisco vydalo aktualizace pro IOS opravující několik vážných zranitelností. Jsou zde zastoupeny snad všechny možné druhy od authentication bypass přes priviledge escalation až po execute arbitrary code.

V jádře operačního systému Linux byla opravena dva roky stará zranitelnost. Ta se nacházela v mechanismu načítání ELF binárky do paměti, kdy byla část zásobníku aplikace přepsána datovým segmentem. Jinak řečeno, pokud byl aplikaci předán dostatečně dlouhý parametr mohl jím být ovlivněn obsah zásobníku. Zranitelnost může být zneužita k eskalaci privilegií, pokud má uživatel přístup k binárce s nastaveným SUID bitem.

Project Zero odtajnil detaily dvou opravených zranitelností ve firmware Wi-Fi SoC značky Broadcom. Zranitelnosti umožňovaly útočníkovi vzdáleně spustit kód v zařízení, které se nacházelo v dosahu Wi-Fi signálu. Postižená jsou jak zařízení s Android, tak s iOS.

Úniky, úniky a zase úniky

Společnost Adobe tento týden omylem zveřejnila jeden ze svých privátních PGP klíčů. Po nahlášení této události Adobe během několika hodin zareagovalo, starý klíč revokovalo a vystavilo nový. Zveřejněný klíč sloužil ke komunikaci s bezpečnostním týmem Adobe.

Další firma, která neměla svůj týden byla firma Deloitte. Podle Krebs on Security zdroj blízký vyšetřování incidentu uvedl, že se vlastně úplně neví k čemu útočníci přístup získali ani jak dlouho již přístup mají. Pravděpodobně ale získali přístup k veškeré interní emailové komunikaci a administrátorským účtům.

Na závěr ještě zmiňme únik společnosti Whole Foods Market (patřící Amazonu), které byly odcizeny informace o platebních kartách zákazníků. Uklidňující může být, že se to netýká všech klientů, ale pouze těch, kteří využili určité služby. Zákazníkům bylo doporučeno sledovat transakce spojené s použitou kreditní kartou a případně hlásit její zneužití.

Gesto, PIN nebo srdce

Jestli se nemůžete rozhodnout zdali zvolit PIN či gesto pro zabezpečení displeje vašeho telefonu, vězte že PIN je ta bezpečnější varianta. Podle zveřejněné studie je šance na odpozorování gesta na první pokus 64 % zatímco u šestimístného PINu je to pouhých 11 %. Vysvětlení je celkem jednoduché, mozek si snáze pamatuje obrázky než čísla.

Možná se v budoucnosti dočkáme další alternativy pro odemykání v podobě skenování srdečního rytmu. Výhodou oproti skenování duhovky a otisku prstu je ta, že toto ověření nepůjde obejít, pokud bude vlastník odemykaného zařízení mrtev.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?