Postřehy z bezpečnosti: dvě díry ve videokonferenční aplikaci Zoom

Zranitelnosti v Zoomu

Výzkumníci z Google Project Zero objevili dvě zranitelnosti ve videokonferenčním softwaru Zoom, které vystavují uživatele útokům. Chyby zabezpečení ovlivňují produkty Zoom na platformách Windows, macOS, Linux, iOS a Android. První chybou, sledovanou jako CVE-2021–34423, je velmi závažná zranitelnost přetečení vyrovnávací paměti, která získala skóre CVSS 7,3.

Ta může potenciálně umožnit útočníkovi pád služby či aplikace a nebo využít tuto zranitelnost ke spuštění libovolného kódu. Druhou zranitelností, je problém s poškozením paměti, sledovaný jako CVE-2021–34424, který získal skóre CVSS 5,3. Tento problém by mohl být použit k potenciálnímu nahlédnutí do libovolných oblastí paměti produktu.

Kritická chyba v knihovně Network Security Services (NSS)

Mozilla opravila bezpečnostní chybu (heap overflow) v sadě multiplatformních kryptografických knihoven Network Security Services (NSS). Chyba souvisí se zpracováním podpisů DSA nebo RSA-PSS ve formátu DER v e-mailových klientech a prohlížečích PDF. Kritickou chybu, která dostala označení CVE-2021–43527, podrobně rozebírá příspěvek na stránkách Project Zero. Verze s opravenou chybou jsou NSS 3.68.1 a NSS 3.73.

Eidentita.cz se změnila na Identitu občana

Správa základních registrů (SZR) přejmenovala bránu pro přihlašování k online službám státu. Eidentita.cz změnila svůj název na „Identitu občana“.

Identita občana pro připojené služby ověřuje totožnost uživatelů v základních registrech. Po změně názvu se v URL řádku místo „nia.eidentita.cz“ bude objevovat „nia.identitaobcana.cz“. Podobně se mění i adresa informační stránky na info.identitaobcana.cz. Stávající adresy budou do 30. června 2022 automaticky přesměrovány na nové domény,“ píše SZR.

Nová značka je vytvořena ve stylu Portálu občana, jde tak o další krok ke sjednocení online služeb veřejné správy. Všechny uživatelské funkce zůstávají zachovány beze změn.

Neoficiální opravy oprav pro Windows 10

Byly vydány neoficiální opravy k nápravě nesprávně opravené bezpečnostní chyby systému Windows, která by mohla umožnit zveřejnění informací a eskalaci místních oprávnění (LPE) na zranitelných systémech.

Chyba (CVE-2021–24084, CVSS skóre: 5,5) se týká zranitelnosti prozrazení informací v komponentě Windows Mobile Device Management, která by mohla umožnit útočníkovi získat neoprávněný přístup k systému souborů a číst libovolné soubory.

Bezpečnostní výzkumník Abdelhamid Naceri byl oceněn za objevení a nahlášení chyby v říjnu 2020, což přimělo Microsoft, aby problém řešil v rámci svých aktualizací Patch Tuesday z února 2021. Jak si však Naceri v červnu 2021 všiml, nejen že lze opravu obejít, aby bylo dosaženo stejného cíle, výzkumník tento měsíc zjistil, že neúplně opravenou zranitelnost lze také zneužít k získání oprávnění správce a spuštění škodlivého kódu na systémech s Windows 10, verze 1809 a novější. Problém se netýká systémů s Windows Server, protože zranitelná funkce není v těchto OS implementována.

Třetí ročník konference Prague 5G Security Conference

Praha opět hostila 30. listopadu a 1. prosince jednu z největších světových událostí na poli kybernetické bezpečnosti „Prague 5G Security Conference“. Akce se konala kvůli pandemickým opatřením převážně online a částečně v prostorách O2 universa v Praze. Událost organizoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v koordinaci s Ministerstvem zahraničních věcí a pod záštitou Úřadu vlády ČR.

Konference se zaměřila na otázky spojené s bezpečností 5G sítí a přelomových technologií (tzv. emerging and disruptive technologies), jakými jsou zejména umělá inteligence, autonomní systémy, Big Data Advanced Analytics, kvantová komunikační infrastruktura a Massive Internet of Things. Na závěr konference byly představeny tzv. Pražské návrhy týkající se kybernetické bezpečnosti přelomových technologií (Prague Proposals on Cyber Security of EDTs) a diverzity dodavatelů telekomunikací (Prague Proposals on Telecommunications Supplier Diversity).

Ve zkratce:

• Critical Wormable Security Flaw Found in Several HP Printer Models
• Resecurity discovered 0-day vulnerability in TP-Link Wi-Fi 6 devices
• 4 Android Banking Trojan Campaigns Targeted Over 300,000 Devices in 2021
• VMware mouse driver for Windows 3.x

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…