Hlavní navigace

Postřehy z bezpečnosti: webová aplikace pro kontrolu „rom-0“

Lukáš Malý 16. 6. 2014

Sdružení CZ.NIC vytvořilo webovou aplikaci na kontrolu zranitelnosti „rom-0“. Uživatelům Seznamu byla podstrkávána falešná aplikace pro Android. Metasploit obsahuje nový modul prověřující OpenSSL DTLS. Adobe, Microsoft a Google vydali opravy svých produktů.

Pro ověření zranitelnosti zvané „rom-0“ byla sdružením CZ.NIC spuštěna webová aplikace na adrese http://rom-0.cz (Test chyby rom-0). Tento webový nástroj prověří router, přes který přistupujete do internetu. Testovací stránka se pokusí zjistit existenci souboru rom-0 metodou HTTP HEAD na IPv4 adrese, ze které se uživatel připojuje.

217.31.48.30 - - [12/Jun/2014:17:40:46 +0200] "HEAD /rom-0 HTTP/1.1" 404 - "-" "Python-httplib2/0.7.4 (gzip)"

Aplikace provede kontroly přístupu ve webovém rozhraní pro správu routeru. Na blogu NIC.CZ jsou uvedeny podrobnosti.

Uživatelé služby Seznam Email jsou nabádány trojanem Win32/PSW.Papras.CX k instalaci mobilní aplikace pro jednodušší a bezpečnější práci se svou poštovní schránkou. Ve skutečnosti však do smartphonu propašují mobilní trojan pro operační systém Android, který útočníkovi může pomoci například překonávat dvoucestnou autorizaci internetového bankovnictví. O nové variantě trojanu informovala společnost ESET.

Metasploit nyní obsahuje modul pro využití CVE-2014–0195 (OpenSSL DTLS Fragment vuln.) Metasploit modul ve své současné podobě neumožňuje spuštění kódu, ale místo toho způsobí jen pád služby.

auxiliary/dos/ssl/dtls_frag­ment_overflow

Zde je přehled případně ovlivněných protokolů:
SNMPv3 (161/UDP), LDAP přes SSL (636/UDP), DTLS-SRP (VoIP, WebRTC, různé porty), OpenVPN (1194/UDP)

Adobe a Microsoft vydali druhé úterý v měsíci záplaty na kritické zranitelnosti. Když Adobe vydaval fixy převážně po Flash Player a AIR, Microsoft vydal většinu záplat pro Internet Explorer. Jakou verzi Flash Player používáte ověříte zde.  Google též zareagoval na opravy Flash Playeru a vydal nové verze Chrome a Chrome OS. Zdá se že Windows 8.x opět ubylo pár negativních černých puntíků.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život