Hlavní navigace

Postřehy z bezpečnosti: počítač můžete zničit nevhodným výběrem hudby

22. 8. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Pravidelný souhrn bezpečnostních novinek za uplynulých sedm dní. V dnešním díle si řekneme o nečekaných vlastnostech zvuku a projedeme nálož chyb v VMware, Chromu, iOS a Xiaomi.

Jak zničit počítač na dálku – písní

Domníváte se, že existuje videonahrávka, kterou když shlédnete, zemřete? Že existuje hnědý tón, infrazvuk, který ovlivní vaše trávení? Že Jozue porazil Jericho troubením na polnice? Ne? Nicméně existuje píseň, kterou když pustíte, zničíte svůj počítač, nebo jiný počítač ve stejné místnosti. Aspoň to tvrdí Raymond Chen z Microsoftu, který na blogu uveřejnil neuvěřitelný příběh z podpory Windows XP.

Píseň Rhythm nation od zpěvačky Janet Jacksonové z Indiany sdílí tzv. vlastní frekvenci s některými staršími disky. „Zjistili jsme něco divného: když jsme pustili videoklip na jednom notebooku, druhý notebook v blízkosti se zhroutil, přestože video nehrál,“ říká. Výrobce disků pak vydal záplatu, aby audio filtr tuto frekvenci rušil. Doufejme, že tam ta záplata stále je.

Zranitelnosti VMware a VMware vRealize Operations

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) publikoval upozornění na sadu deseti zranitelností v komponentech virtualizačního softwaru VMware. Společnost VMware zranitelnosti zveřejnila 2. srpna 2022 a přisuzuje jim dle standardu CVSSv3 skóre v rozmezí od 4.7 po 9.8 (9–10 značí kritickou zranitelnost). U dvou nejzávažnějších zranitelností byl v nedávné době zveřejněn Proof of Concept (PoC), dokazující možný authentication bypass. Útočník se síťovým přístupem k uživatelskému rozhraní tedy může zneužitím těchto zranitelností získat administrativní přístup bez nutnosti procesu autentizace.

Identifikátory (CVSSv3 skóre): CVE-2022–31656 (9.8), CVE-2022–31657 (9.8), CVE-2022–31658 (7.2), CVE-2022–31659 (7.2), CVE-2022–31660 (7.8), CVE-2022–31661 (7.8), CVE-2022–31662 (7.5), CVE-2022–31663 (6.1), CVE-2022–31664 (7.8), CVE-2022–31665 (7.4)

NÚKIB se stal vnitrostátním orgánem certifikace kybernetické bezpečnosti

V sobotu 5. srpna 2022 vyšla ve Sbírce zákonů novela zákona o kybernetické bezpečnosti. Zákon připravil Národní úřad pro kybernetickou a informační bezpečnost, a to s cílem adaptovat český právní řád na nařízení Evropského parlamentu a Rady EU se zkráceným názvem „akt o kybernetické bezpečnosti“. Účinnosti nabyl zákon dnem následujícím po dni jeho vyhlášení. Nově zákon především stanovuje, že vnitrostátním orgánem certifikace kybernetické bezpečnosti je Národní úřad pro kybernetickou a informační bezpečnost.

Denně zmizí kvůli podvodům kryptoměny v hodnotě 189 milionů dolarů

Epidemie kryptoměnových podvodů se v poslední době zhoršila a připravila investory o miliardy dolarů. Podle analýzy BanklessTimes.com vyšly letos krypto podvody k 10. srpnu 2022 na zhruba 42 miliard dolarů. To znamená denní ztrátu v průměru 189 milionů dolarů denně.

I když je kryptoměnách mnoho legitimních hráčů, existuje také mnoho podvodníků, kteří chtějí využít nic netušící oběti,“ říká generální ředitel BanklesTimes Jonathan Merry. A dodává: „Případů bude i nadále přibývat, protože trh s kryptoaktivy je stále populárnější. Tento alarmující trend je výsledkem toho, že podvodníci využívají nevědomé investory, kteří chtějí rychle vydělat peníze nebo si neuvědomují hrozby, které v tomto prostoru číhají."

Převzetí kontroly nad systémem pomocí Bumblebee Loaderu

Hackeři, kteří využívali BazarLoader, TrickBot a IcedID v současné chvíli začínají více využívat nový takzvaný „malware loader“ nazývaný Bumblebee, uvedl ve čtvrtečním doporučení bezpečnostní tým Cybereason Global Security Operations Center (GSOC). Útočníci se pokoušejí rozšiřovat svůj malware pomocí phishingových e-mailů s přílohou nebo odkazem na škodlivý archiv obsahující Bumblebee.

V incidentu analyzovaném společností Cybereason se útočníkům podařilo získat přihlašovací údaje vysoce privilegovaného uživatele, které byly následně použity k převzetí kontroly nad Active Directory, nemluvě o vytvoření místního uživatelského účtu pro exfiltraci dat. Útoky zahrnující Bumblebee by měly být považovány za kritické, podle bezpečnostního týmu (GSOC).

Chyba v Chrome (CVE-2022–2856)

Google ve středu oznámil aktualizaci pro Chrome, která odstraňuje chybu ve validaci vstupních dat v komponentě Intent. Detaily zranitelnosti zatím nejsou zveřejněny, protože počet uživatelů, kteří dosud záplatu aplikovali není dostatečný. Aktualizaci 104.0.5112.101 pro Mac a Linux a 104.0.5112.102/101 pro Windows lze aplikovat pomocí volby Nápověda → O aplikaci Google Chrome. Aktualizace napravuje ještě dalších deset zranitelností prohlížeče.

Xiaomi TEE

Slava Makkaveev z firmy Check Point zveřejnil popis chyby subsystému TEE (Trusted execution environment) mobilů Xiaomi. Chyba umožňuje libovolné aplikaci přístup k bezpečnému úložišti a získat tak kryptografické klíče, otisky prstů a jiná zde uložená citlivá data. Je tak v některých případech možné provádět například neautorizované bankovní transakce. Testy byly prováděny na mobilech s čipy MediaTek. Pokud takové zařízení vlastníte, aplikujte záplatu z letošního června související s CVE-2020–14125.

Zranitelnosti v iOS

Apple vydal opravu na dvě zranitelnosti v iOS. Ty byly objeveny ve WebKitu, což je engine pro Safari a v kernelu. Nicméně vzhledem k tomu, že Apple nedovoluje vývojářům prohlížečů použít jiný engine, použití jiného prohlížeče vás tak nejspíš neochrání. Zranitelnosti se vztahují jak na iOS iPadOS a mac OS Monterey.

První zranitelnost umožňuje útočníkovi spustit libovolný kód při návštěvě škodlivého webové stránky. Druhá zranitelnost pak umožňuje spustit kód na úrovni kernelu. Obě tyto zranitelnosti se nyní aktivně zneužívají a předpokládá se, že spolu souvisí.

ict ve školství 24

Zranitelnosti jsou označeny jako CVE-2022–32893 a CVE-2022–32894.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.