Postřehy z bezpečnosti: 0day chyba Internet Exploreru je opravena

5. 5. 2014
Doba čtení: 2 minuty

Sdílet

V dnešním díle postřehů se podíváme na 0day chybu postihující všechny Internet Explorery od verze 6 po 11, jak je možné pomocí OpenSSL chyby získat privátní klíč z paměti, na to jak Skype ukládá vaše informace o konverzacích v nešifrované podobě, jak iOS 7 dělá to samé s e-maily a jak je možné ovládat dopravní značení.

Jak jistě víte, tento týden byla zveřejněna informace o masivním zneužívání 0day chyby postihující Internet Explorer od verze 6 po verzi 11, což představuje přibližně 26% všech uživatelů Internetu. Chyba označena jako CVE-2014–1776 využívá use-after-free chybu a k úspěšnému spuštění vyžaduje podporu Flashe v Internet Exploreru. Exploit obsahuje i několik technik obcházející EMET, ale podle testů společnosti FireEye byl na počítači s EMETem útok neúspěšný. Patch na tuto chybu již existuje. Za útokem stojí dobře organizovaná skupina kyberzločinců, kteří již dříve používali jako jedni z prvních 0day chyby majoritních prohlížečů a rozšiřujících doplňků. Podle společnosti FireEye stejná skupina používala v roce 2010 malware/backdoor Pirpi, který také obsahoval 0day exploit na Internet Explorer. Byl ukryt na C&C serverech jako GIF obrázek, kterým byl ve skutečnosti obfuskovaný spustitelný soubor.

Naše postřehy

CZ.NIC oscanoval na chybu Heartbleed weby české státní správy a samosprávy a odhalili zranitelných jen sedm z 369. Buď začali příliš pozdě, nebo do jejich testů nebyly zahrnuty státní podniky.

Zajímá vás podrobnější popis, jak je možné ze serveru pomocí OpenSSL chyby získat privátní klíč? Přečtěte si tento zajímavý článek.

Dva programátoři z Rumunska zjistili, že, ačkoliv jsou všechny hovory i konverzace na Skypu “šifrované”, tak se ukládají na lokální disk v nešifrované podobě, a to včetně vašich kontaktních údajů. Jedná se o soubor ve formátu SQLite a na Windows ho naleznete zde: C:\Users\UŽIVATEL\AppData\Ro­aming\Skype\skype.id. Tabulka CallMembers obsahuje seznam volání a Messages vaše konverzace.

Andreas Kurtz na svém blogu popisuje, že iOS někdy od verze 7 již neukládá emailové přílohy pomocí funkce “Data Protection”, která je zašifruje unikátním klíčem na souborový systém telefonu, ale jsou přístupné bez jakýchkoliv omezení. Jediným vyjádřením Applu v tuto chvíli je, že o problému vědí.

Zajímalo by vás jak je možné kompletně ovládat např. světelné křižovatky s vybavením za sto dolarů na vzdálenost až dvou mil? Cesar Cerrudo ze společnosti IOActive, která se právě specializuje na zranitelnosti systémů používaných v běžném životě (automobily, srdeční pumpy, bankomaty, …), případně kritickou infrastrukturu jako např. elektrárny, v příspěvku na webu popisuje, jak pomocí drona mohl ovládnout křižovatku či silniční signalizaci.

Hledáte vysoce bezpečnou aplikaci/službu pro konverzaci, volání a emaily, používající NTRU šifrování, které je imunní vůči útoku kvantovým počítačem? Zkuste novou službu Unseen.is a dejte vědět do komentářů, jak se vám líbí.

ict ve školství 24

Ve zkratce

Vyšla nová verze PHP obsahující opravy několika bezpečnostních chyb

Pro pobavení

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.