Aktuality - Slabá místa

Zpět do 'Aktuality'

Byla nahlášena závažná zranitelnost v Samsungu Galaxy S4

26.6.2013 | Batou

Bezpečnostní slabina byla nedávno odhalena ve vlajkové lodi Samsungu, Galaxy S4. Útočníci díky ní mohou tiše posílat textové zprávy.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3500x | Rate: 0/0


Bug ve Facebooku částečně odkryl údaje milionů uživatelů

24.6.2013 | Batou

Bug měl za následek únik e-mailových adres a telefonních čísel až 6 milionů uživatelů Facebooku. Způsobil, že některé informace, které FB ukládá pro doporučení přátel, byly neúmyslně uloženy a následně zobrazeny i lidem, kteří je neměli vidět. Dokonce se zdá, že se to týká i čísel/mailů lidí, kteří ani účet u FB nevlastnili, ale nějaký jejich známý si je nahrál společně s ostatními kontakty třeba z mobilu či e-mailu. To se děje automaticky a FB by tato data neměl ukládat, natož je pak omylem někde vystavovat.

Rubrika: Slabá místa | Comments: 0 | Viewed: 3072x | Rate: 0/0

Oracle vydal velký balík 40 záplat pro Javu

19.6.2013 | Batou

O Javě se všeobecně ví, že má s bezpečností problémy. Není to dáno jen chybami v návrhu, ale také jejím masivním využíváním (odhaduje se cca 850 milionů instalací na WS, Mac a Linuxu). Její uživatelé by si měli co nejrychleji nainstalovat ve své verzi Javy 7 update 25. Pokud si nejste jisti, jakou verzi používáte, stačí si to ověřit na webu Javy - [link] .

37 z celkových 40 zranitelností nevyžaduje autentifikaci a mohou být zneužity vzdáleně. Mnoho z nich může být použito ke sběru dat o cíli, jsou zde však kousky ze všech oblastí - vývojářské nástroje, instalátory, webservery a další - to vše je potenciálně exploitovatelné. Zbylé 3 díry vyžadují fyzický přístup k systému, aby byly zneužitelné.

Více čtení třeba o tom, zda se vyplatí zakázat na vašem stroji Javu kompletně, najdete na webu TechNewsDaily ([link]). Další pohled v angličtině a z druhé strany - jak nechat Javu v prohlížeči, ale minimalizovat rizika ([link]). Jsou to totiž právě pluginy do prohlížečů, které představují největší hrozbu.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2869x | Rate: 0/0

Lékařské vybavení implementované do těla je vysoce zranitelné

17.6.2013 | Batou

Pacienti používající lékařské vybavení jako jsou kardiostimulátory, defibrilátory a dávkovače inzulínu se mohou stát terčem počítačových kriminálníků. Vyplývá to z upozornění vydaného americkým Ministerstvem pro vnitřní bezpečnost.

Moderní medicínská zařízení jsou miniaturami svých předchůdců a trpí tedy stejnými neduhy. Umožňují například svoje bezdrátové naprogramování, protože tradičním způsobem (vsunutím nějakého kabelu do těla pacienta) by se zbytečně zvyšovalo riziko zákroku, ač by šlo třeba pouze o drobnou úpravu. Problémem však je, že tato zařízení mají často natvrdo nastaveny přihlašovací údaje a proto by jejich zjištění mohlo mít tragické důsledky. Zařízení jsou údajně exploitovatelná a je možné u nich měnit firmware.

Implementování medicínských zařízení nebyl problém celá desetiletí do doby, než se přišlo právě s bezdrátovým programováním těchto mašinek. Poprvé se varování objevilo již v roce 2008, avšak většina výrobců vůbec nebrala zřetel na zabezpečení přihlašování. Bylo to pravděpodobně z důvodu, aby mohla zařízením ponechat jejich jednoduchost (a asi i větší cenovou dostupnost), ale zcela jistě také aby se jim nezvyšovaly náklady. Problémy se týkají především chirurgických zařízení, ventilátorů, různých pump, defibrilátorů, ale i rozličného laboratorního vybavení.

Nyní výzkumníci Riosem a McCorklim z bezpečnostní firmy Cylance zjistili, že vážné bezpečnostní problémy má na 300 zařízení pocházející od 40 různých výrobců. Informoval o tom americký CERT zodpovědný za průmyslové kontrolní systémy ([link]). Oddělení Food and Drug Administration k tomu vydalo také své prohlášení ([link]), kde doporučuje výrobcům, aby provedli potřebné kroky ke zlepšení situace a varuje před možným infikováním těchto přístrojů malwarem, pokud by byla napadena třeba síť nemocnic.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2621x | Rate: 0/0

Adobe varuje před novou kritickou zranitelností v ColdFusion

9.5.2013 | Batou

Včera večer se objevila nová zranitelnost v technologii ColdFusion. Tento značkovací jazyk, podobný HTML je určen pro klientskou stranu webových aplikací a krátce po roce 2000 ho koupilo Adobe. Zranitelnost se týká verzí 10, 9.0.2 a starších pro všechny běžné operační systémy. Informovali o tom na svém webu ([link]).

Tato kritická zranitelnost umožňuje útočníkům vzdálený přístup k datům uložených na serveru. Exploit pro tuto zranitelnost je údajně veřejně dostupný. Podle Adobe se však nemusejí obávat ti uživatelé, kteří nemají veřejně zpřístupněné adresáře CFIDE/administrator, CFIDE/adminapi a CFIDE/gettingstarted. Pro zbylé zákazníky doporučuje Adobe následovat příručky ColdFusion Lockdown Guid (PDF - pro verzi 9 [link] a 10 [link]).

Nalezení tohoto problému je připisováno Marcinu Siedlarzimu ze Symantecu, Adobe plánuje hotfix na 14. května.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2854x | Rate: 0/0

Zranitelnost v aplikaci Viber umožní přístup k celému telefonu

27.4.2013 | Batou

V aplikaci Viber (komunikační program pro chytré telefony - [link]) byla objevena zranitelnost. Také díky tomu, že tvůrci nasadili tvrdou cenovou politiku vůči konkurenci (Viber je kompletně zdarma), aplikaci aktivně využívá přes 140 milionů lidí.

Podle výzkumných pracovníků ze společnosti Bkav, kteří chybu objevili, je naprosto jednoduché dostat se přes zamčenou obrazovku telefonu a získat tak plný přístup k systému. Širší popis v AJ včetně videa s praktickou ukázkou najdete zde ([link]).

Podle šéfa Bkav's Security Division je působ, jakým Viber zachází se zamčeným telefonem a s vyskakovacími okny neobvyklý a vede k chybě v programové logice a následné možnosti zneužití. Chyba byla tvůrcům nahlášena již před týdnem, zatím bez jakékoliv odezvy.

Rubrika: Slabá místa | Comments: 0 | Viewed: 7342x | Rate: 5/1

Zaměstnavatelé až příliš věří svým zaměstnancům

19.4.2013 | Batou

Zaměstnavatelé možná až příliš důvěřují svým zaměstnancům. Ukázal to výzkum prováděný ve Velké Britáii společnostní zaměřenou na síťovou bezpečnost LogRhytm.

Bylo zjištěno, že téměr 50 % z tisícovky zkoumaných zaměstnavatelů věří svým zaměstnancům, že nevynáší z firmy data či nepřistupují k dokumentům, ke kterým nemají oprávnění. Více než třetina firem z testovaného vzorku uznala, že by se to mohlo stát, ale věří že se tak neděje. To se již na první pohled jeví jako naivní ([link]).

Studie dřívě uveřejněná Symantecem a Ponemon Institutem odhalila, že zhruba polovina zaměstnanců (ze 3500 zkoumaných) si pravidelně přeposíla firemní poštu na své soukromé emaily. Velkým problémem se také ukázalo, že zaměstnanci po sobě nemažou žádná data, která již nepotřebují. Potvrdil to marketingový ředitel ze Symantecu.

Obrovská víra zaměstnavatelů ve své pracovníky je velmi nebezpečná. Jak dokazuje studie od LogRhytm, přes 30 % firem říká, že nepotřebuje chránit svá citlivá data před svými zaměstnanci. Pro další informace doporučuji následovat odkaz na článek, z kterého čerpám.

Většina firem používá určitý SW pro řízení přístupu, ty se však ukazují jako nedostatečně efektivní. Chris Petersen, zakladatel LogRhytm, říká: „Před 5 lety byla data firem uložená na fileserveru, zamčená pod přísným přidělováním práv. Dnes se setkáváme s prostředími, kde jsou data všude dostupná.“ Více na networkworld.com.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2658x | Rate: 0/0

Hacker prý dokáže ovládnout letadla mobilem

16.4.2013 | .cCuMiNn.

Se zprávou o nedostatečném zabezpečení přístrojů používaných v letecké dopravě vystoupil minulý týden na konferenci Hack In The Box v Amsterdamu Němec Hugo Teso.

Podle něj lze zneužít například technologii Automatic Dependent Surveillance-Broadcast (ADS-B), která se stará o dohled nad pozicí letadla a dokáže sbírat a sdílet informace, o průběhu letu.

Další zranitelnost se prý ukrývá v technologii ACARS (Aircraft Communications Addressing and Reporting System), která je zodpovědná za komunikaci letadla s pozemní stanicí.

Teso uvádí, že vše testoval v laboratoři na reálném hardwaru, s využitím frameworku Simon. S aplikací pro Android prý takto dokázal "manipulovat s cestou letadla".

Americké Federální letecké vedení celou věc pochopitelně kategoricky odmítá. Vemezme-li ale v úvahu skutečnost, že je Hugo Teso také zkušeným komerčním pilotem, pak se mu myslím dá docela dobře věřit.

Kde jsou ty časy, kdy teroristé s úmyslem převzít nad letadlem kontrolu, museli riskovat své životy na palubě letadla...

Rubrika: Slabá místa | Comments: 1 | Viewed: 3225x | Rate: 0/0

Firemní počítače se podobají cedníkům

13.4.2013 | Batou

Ze studie pod názvem Evaluating the threat level ([link]) od firmy Kaspersky vyplývá, že firmy celé měsíce ignorují zranitelná místa ve svých strojích, která se tak nabízí útočníkům.

Analýza dat z jejich cloudové databáze odhalila 132 milionů zranitelností na cca 11 milionech počítačů. K tomu odbornící z Kaspersky Lab identifikovali na 800 jedinečných typů zranitelností. Podle studie bylo řádově jen několik z nich využíváno široce k zločinné činnosti - většina z nich byla v Javě od Oraclu, o zbytek se postaralo Adobe (Flash Player, Reader).

Největší problém spočívá v tom, že uživatelé podnikových systémů neaktualizují software, či používají po dlouhou dobu nepodporovaný. Např. ještě 6 týdnů po aktualizaci Javy ze září 2012 svůj systém ponechalo na pospas přes 70 % uživatelů, 10 % hříšníků mělo dokonce Flash Player aktualizaci prošlou 2 roky.
Takový systém se pak přímo nabízí k sabotážím, špionáži a krádežím dat v nečistém konkurenčním boji.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2708x | Rate: 0/0

Kritická zranitelnost PostgreSQL - patch needed!

7.4.2013 | Batou

Žijete v pocitu bezpečí a využíváte opensource databázi PostgreSQL? Pokud jste v minulých dnech ještě nezpozorněli, měli byste tak učinit. Objevila se totiž kritická zranitelnost a záplata je na světě - již přes 2 dny!

Jedná se o verze Postgres:

 
9.2.x před 9.2.4,
9.1.x před 9.1.9,
9.0.x před verzí 9.0.13.


Zranitelnost umožňuje vzdálený přístup a následný DoS (poškození dat), dále umožnuje měnit konfigurační nastavení a vykonávat libovolný kód.

Záznam v americké národní databázi zranitelností - [link] .

Rubrika: Slabá místa | Comments: 0 | Viewed: 3233x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22