Hlavní navigace

Postřehy z bezpečnosti: zranitelné Windows, Linux, Android i bankomaty

CESNET CERTS

Tentokrát si řekneme o zranitelnosti Microsoft Windows, linuxového kernelu i manažerů hesel pro Android, o přihlašování do prohlížeče Google Chrome i o přístupu o cizích osob k elektronické poště v systému Gmail.

Doba čtení: 4 minuty

Zranitelný kernel Linuxu

Bezpečnostní expert Jann Horn z Google Project Zero našel a 12. září 2018 ohlásil nebezpečnou zranitelnost CVE-2018–17182 linuxového kernelu verze 3.16 až 4.18.8 v subsystému správy paměti. Chyba byla velmi rychle opravena v upstream kernelech 4.18.9, 4.14.71, 4.9.128, 4.4.157 a 3.16.58; do některých známých distribucí (Debian, Ubuntu) ale opravy zatím nedorazily.

I manažery hesel v Androidu jsou zranitelné

Bezpečnostní experti z Univerzity v Janově (IT) a z EURECOMu (FR) odhalili zranitelnost čtyř známých manažerů hesel Androidu (Keeper, Dashlane, LastPass a 1Password). Z jejich zprávy [PDF] plyne, že manažery hesel pro aplikace na mobilních zařízeních jsou ve srovnání s manažery hesel pro webové prohlížeče např. na desktopech nebezpečně zranitelné.

Manažer hesel na desktopu normálně funguje tak, že si při první návštěvě webu zapamatuje přihlašovací údaje a při dalších návštěvách tohoto webu uživateli nabídne, že přihlašovací údaje automaticky vyplní.

Na mobilním telefonu funguje manažer hesel tak, že když uživatel poprvé spustí aplikační program (např. com.facebook.katana) pro přístup např. k Facebooku a když tato aplikace vyžaduje přihlašovací údaje, manažer hesel zjistí název aplikace, určí adresu webu a zjistí, zda zná příslušné přihlašovací údaje. Pokud je zná, nabídne uživateli jejich automatické vyplnění.

Zmíněná zranitelnost manažerů hesel zneužívá toho, že je obtížné určit správné mapování mezi doménovou adresou navštíveného webu (např. facebook.com) a názvem správné aplikace pro připojení k němu (např. com.facebook.katana). Různé manažery hesel využívají různých metod mapování včetně heuristických a všechny čtyři se dají ošálit tak, aby uživateli nabídly spuštění škodlivé místo správné aplikace.

Změna v přihlašování do prohlížeče Google Chrome

Do nedávna měli uživatelé prohlížeče Google Chrome možnost přihlásit se k webové službě Googlu, ale nepřihlásit se do prohlížeče Chrome; tím měli zajištěno, že synchronizace dat browseru se nespustí a Google tedy nebude mít přístup k uživatelově historii prohlížení apod.

Od Chrome verze 69 došlo ke změně: pokud se uživatel přihlásí k libovolné službě Googlu, je zároveň automaticky přihlášen i do prohlížeče Chrome. U mnoha uživatelů Chrome to vyvolalo velkou nevoli, protože se obávají další ztráty soukromí. Firma Google ale vydala prohlášení, podle kterého se od připravované verze 70 synchronizace údajů prohlížeče nespustí automaticky po přihlášení k libovolné webové službě Googlu, ale až po manuálním spuštění.

V prohlížeči by také mělo jít zakázat automatické přihlášení do Chromu, což by mělo znamenat návrat k předchozímu stavu.

K emailům Gmailu mohou mít stále přístup zaměstnanci jiných firem i Googlu

V červnu 2018 vyšlo najevo, že k poštovním kontům uživatelů Gmailu, kteří k nim povolili přístup různým aplikačním programům (např. typu osobních asistentů či plánovačů tras), nemají přístup jen programy těchto třetích stran, ale i jejich výzkumníci, pokud to je v souladu s jejich publikovanými bezpečnostními politikami. Podobně je možné, že tyto jejich bezpečnostní politiky umožňují sdílet tyto informace s dalšími firmami. Pro uživatele, kteří povolili aplikačním programům třetích stran přístup k Gmailu a kteří mají obavy o své soukromí, to tedy znamená, že by se měli seznámit nejen s bezpečnostní politikou firmy Google, ale i každé další firmy, které povolili přístup.

K poště Gmailu mohou mít přístup i zaměstnanci firmy Google, a to nejen na žádost samotných zákazníků, ale i při vyšetřování bezpečnostních incidentů nebo hledání softwarových chyb. Jak podotýká autor článku, Googlu to dává značnou volnost v přístupu k poště zákazníků.

Zranitelnost zero-day všech podporovaných verzí Microsoft Windows

Lucas Leong z bezpečnostního týmu Trend Micro Security Research objevil zranitelnost zero-day, která umožní neautentizovanému vzdálenému útočníkovi spustit libovolný kód pod libovolným v současnosti podporovaným operačním systémem Microsoft Windows verze 7, 8.1, 10, i Windows Server Edition 2008 – 2016.

Podle zprávy stačí, když uživatel systému Windows navštíví škodlivou webovou stránku nebo otevře zákeřný soubor<a> databáze JET (Joint Engine Technology); tato databáze se využívá např. v programech Microsoft Access a Visual Basic. Zranitelnost spočívá v chybném zpracování indexů v databázi, které pak umožní zápis do nesprávných adres paměti a pak i spuštění zákeřného kódu.

<a>Iniciativa Zero Day firmy Trend Micro dala Microsoftu lhůtu 120 dní na vydání opravy; Microsoft zatím opravu nevydal a Trend Micro pak zveřejnil kód proof of concept na GitHubu. Dá se tedy předpokládat, že se tato zranitelnost začne široce zneužívat.

Ve zkratce

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?