V dnešním díle postřehů se podíváme na záplaty nejen od Adobe a Microsoftu, na chybu v zásuvném modulu pro WordPress, na nový útok postranním kanálem na paměti – RAMBleed a na další zajímavosti ze světa IT.
Adobe záplatuje několik kritických zranitelností libovolného spuštění kódu v aplikacích Flash Player, ColdFusion a Campaign
Chyby v ColdFusion:
Chyba ve Flash Playeru:
Opraveno bylo rovněž sedm typů zranitelností v produktu zvaném Campaign, z nichž nejzávažnější zranitelností byla chyba CVE-2019–7843 libovolného spuštění kódu.
Bezpečnostní výzkumníci odhalili chybu v live chat pluginu pro WordPress, která umožňuje vzdáleným útočníkům ukrást logy nebo manipulovat s relacemi. Uvedená chyba je označena jako CVE-2019–12498. Jak popsáno výzkumníky, vzdálený útočník může:
RAMBleed je útok postranním kanálem na DRAM, který je označovaný jako CVE-2019–0174. Je založen na předchozím útoku postranním kanálem zvaném Rowhammer, který umožňuje útočníkovi přepínat bity v paměti ostatních procesů. Výzkumníci demonstrovali útok proti OpenSSH, při kterém použili RAMBleed k získání 2048 bitového RSA klíče.
Bezpečnostní experti odhalili zranitelnost v populárním rozšíření pro Chrome Evernote Web Clipper, která může být zneužita k odcizení citlivých dat z webů navštívených uživatelem. Zranitelnost XSS označená jako CVE-2019–12592 může být zneužita útočníky také ke spuštění libovolného kódu jménem oběti.
Výzkumníci poskytli popis možného scénáře útoku:
Šifrovaná služba pro přenos zpráv Telegram byla zasažena masivním DDoS útokem zřejmě pocházejícím z Číny, který je spojován s politickými nepokoji v Hongkongu. Protestující v Hongkongu se koordinovali mj. prostřednictvím Telegramu. Útočníci použili masivní botnet ke generování nadměrného provozu, který učinil servery Telegramu nedostupnými.
Ransomware paralyzoval výrobu v továrnách firmy ASCO, což je světový výrobce leteckých komponent, který má své pobočky v Belgii, Kanadě, Německu, USA, Brazílii a Francii. Rozsah škod po útoku stále není znám. Po incidentu dostalo téměř 1000 zaměstnanců placenou dovolenou na celý týden. Společnost oznámila incident lokálním autoritám a najala externí experty k prošetření útoku.
Tento měsíc vydal Microsoft záplaty pro 88 zranitelností, z toho 21 je kritických, 66 důležitých a 1 je označena jako zranitelnost střední kritičnosti. Update zahrnuje záplaty pro Windows OS, Internet Explorer, Microsoft Edge browser, Microsoft Office and Services, ChakraCore, Skype for Business, Microsoft Lync, Microsoft Exchange Server a Azure.
Čtyři z výše uvedených důležitých bezpečnostních zranitelností, které dovolují eskalaci práv, byly zpřístupněny veřejně, ale přesto údajně nedošlo k jejich zneužití.
Kritická zranitelnost typu vzdáleného spuštění příkazu postihla poštovní server Exim a vzhledem k jeho rozšíření je postiženo zranitelností více než polovina e-mailových serverů na Internetu. Chyba je nyní označena jako CVE-2019–10149. Zranitelné jsou verze od 4.87 do 4.91 včetně. Doporučujeme co nejrychlejší aktualizace.
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…
