Zářijové záplaty Microsoftu, v případě 8 z nich hrozí vzdálené spuštění kódu. OpenID zřejmě prohrává. NSA prý umí obejít většinu šifrování. Útoky proti PHP aplikacím. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Microsoft vydal v úterý svoji zářijovou várku záplat. Ze 14 bulletinů zabezpečení, které látají celkem 47 chyb, jsou 4 bulletiny označeny jako kritické. Zajímavé je, že tentokrát kritické chyby opravdu ukazují na pokrok v zabezpečení, tj. týkají se především starších systémů – Windows XP a Windows Server 2003 u OS, v případě prohlížečů jsou určeny pro MSIE 6-8.
Kritická zranitelnost byla opravena také v serveru SharePoint a komponentě Outlook pro MS Office 2007 a 2010; v tomto případě stačí ke kompromitace pouhé zobrazení škodlivého náhledu v podobě náhledu. Samotná zranitelnost se týká zpracování kódování S/MIME. Ačkoliv problém působí velmi hrozivě, Microsoft tvrdí, že vytvořit exploit by mělo být dost náročné. Administrátoři ve firmách by podle Wolfganga Kandeka, CTO firmy Qualys, zřejmě proto měli prioritní pozornost věnovat záplatě pro SharePoint, protože zde je třeba otestovat, zda nasazení záplaty neovlivní funkčnost kritických podnikových aplikací.
V případě MSIE řeší kumulativní aktualizace chyby spojené s porušením paměti, kritická chyba v operačním systému se týká rozhraní OLE.
Zajímavé je, že vzdálené spuštění kódu tentokrát hrozí u celkem 8 bulletinů zabezpečení. 4 z nich jsou však klasifikovány pouze jako „důležité“. Důležité opravy se týkají OS (Windows Theme), Wordu (porušení paměti), Excelu, Accessu, FrontPage, zpracování XML souborů v MS Office, ovladače režimu jádra Windows (zde hrozí eskalace oprávnění) a služeb Active Directory (hrozba odepření služby).
Shrnutí za 3 čtvrtletí: Microsoft letos zatím vydal 80 bulletinů zabezpečení v porovnání s 63 v loňském roce, nicméně nárůst se netýkal kritických chyb (otázkou samozřejmě je, že zda je relevantnější porovnávat počet bulletinů zabezpečení, které kumulují více oprav, nebo spíše samotný počet zranitelností).
V úterý rovněž vydala Adobe kritické aktualizace pro PDF Reader a plnohodnotný Acrobat, dále i pro přehrávač FlashPlayer a Shockwave.
MyOpenID, významný poskytovatel open source autentifikačního systému OpenID, ukončí svou činnost k 1. 2. 2014. Službu provozovala společnost Janrain od roku 2006.
V posledních letech se ale počet webů podporujících openID stále zmenšoval, protože vlastní systémy jednotného přihlašování začal nabízet Google, Facebook a další poskytovatelé e-mailu a sociálních sítí. CEO společnosti Janrain Larry Drebes připustil, že OpenID v tomto souboji prohrálo. Pro uživatele je pohodlnější využívat již existující identity než si vytvářet nový účet OpenID.
Imperva ve svém aktuálním reportu bezpečnostní situace upozorňuje na masivní útoky proti PHP aplikacím. Pro útočníky je v poslední době mnohem pohodlnější kompromitovat servery než klientské počítače (respektive ty pak lze nakazit až po návštěvě serveru, není pak třeba žádná plošná kampaň). PHP využívá velká část serverů, včetně Facebooku a Wikipedie. Mezi útočníky je dnes stále oblíbenější sada exploitů PHP SuperGlobal. Tipem pro správce může být žádosti obsahující známé parametry SuperGlobal zakázat.
NSA prý dokáže obejít většinu šifrování a dalších bezpečnostních technik používaných na současném Internetu. The Register se odvolává na NY Times a Guardian, podle nichž lze obejít šifrování SSL, proniknout do virtuálních privátních sítí, k dispozici jsou zadní vrátka pro další šifrovací systémy nebo třeba digitální podpisy/certifikáty. Datový provoz lze prý sledovat i na úrovni podmořských kabelů. Nejspolehlivější ochranou je šifrování už na koncových bodech.
Už dávno neplatí, že by pro platformu MacOS neexistovaly škodlivé kódy. Z téhož důvodu proto výrobci dodávají i specializovaná bezpečnostní řešení (když nic jiného, v heterogenních podnikových sítích může Mac sloužit jako brána k zamoření PC, serverů atd.).
Rakouská testovací firma AV Comparatives podrobila výzkumu 8 bezpečnostních nástrojů pro Mac OS od firem Avira, Eset, F-Secure, Intego, Kaspersky Lab, Quick Heal, Sophos a ZeoBIT. Vyjma Quick Heal všechny produkty dostaly od AVG příslušný štempl jako „přijatelné řešení“, situace je tedy celkem uspokojivá. Avira, Eset a F-Secure získaly ocenění za to, že jsou nejen účinné, ale i jednoduše ovladatelné (ve světě Mac OS je jednoduchost pokládána za zcela zásadní devizu); první z nich je navíc zdarma a detekuje i malware pro PC. Další programy jsou také účinné, ale buď jsou relativně drahé, nebo vyžadují sofistikovanější konfiguraci. Nicméně AV Comparatives dodává, že i Quick Heal je rozhodně lepší než nic.
(Malware pro PC detekuje: Avira, Eset, Kaspersky, Sophos a ZeoBIT; kromě Aviry je zdarma i Sophos; bezplatné produkty nicméně neobsahují dodatečné funkce jako firewall a rodičovská kontrola.)
Zpráva sdružení APWG zabývající se phishingovými útoky přináší výsledky měření za druhé pololetí roku 2012. Počet phishingových útoků v doméně .cz se opět snížil. CZ.NIC se domnívá, že je to zásluhou jeho týmů CSIRT, tj. monitoringu i rychlosti reakce na incident. Průměrný uptime phishingových stránek v doméně .cz poklesl na 24 hodin a 56 minut, což se již blíží hranici, kdy se takové akce v doméně .cz přestanou podvodníkům vyplácet (výtěžnost phishingových stránek v čase rychle klesá).
Zdroj: CZ.NIC
Eset uvolnil k testování novou verzi Eset Social Media Scanner, bezpečnostního produktu pro Facebook a Twitter. Nová verze chrání před hrozbami nejen účty samotného uživatele, ale také účty jeho přátel na sociálních sítích. Součástí produktu je komponenta Centrum zabezpečení, která zobrazuje aktuální úroveň ochrany osobních údajů na Facebooku a Twitteru a navrhuje změny v nastavení soukromí.
Zdroj: tisková zpráva společnosti Eset
AVG Technologies představila své produktové portfolio pro rok 2014. Upgradu se dočká 5 aplikací (Antivirus Free, Antivirus, Internet Security, PC TuneUp a AntiVirus PRO v3.3 pro Android), zcela novým řešením je AVG PrivacyFix. Je určeno pro správu online bezpečnostních nastavení v širokém spektru služeb poskytovaných sociálními médii a internetovými servery.
Novou funkcí, dostupnou i v rámci bezplatného antiviru, bude File Shredder, v placených verzích pak funkce DataSafe pro uchovávání zašifrovaných souborů na virtuálních discích.
AVG upozorňuje, že rizikem pro bezpečnost je množstvích různých zařízení a rozhraní, které se dnes používá pro práci s internetem. Podle průzkumu, který AVG provedla na téměř 5 000 respondentech z osmi zemí, 59 % lidí používá doma minimálně tři přístroje připojené k internetu, a v každodenním životě v průměru tři různé operační systémy (poznámka: různé verze Windows, iOS i Androidu se v rámci klasifikace asi berou jako různé systémy).
Zdroj: tisková zpráva společnosti AVG
Nově uvedené disky řady Intel SSD Pro 1500 Series nabízejí profesionálním uživatelům lepší funkce v oblasti zabezpečení a správy. Chrání data před neautorizovaným přístupem, k čemuž mají k dispozici řadu funkcí, včetně hardwarového 256bitového šifrování AES a protokolů Opal.
Zdroj: tisková zpráva společnosti Intel
Na téma podnikového zabezpečení na ITBiz viz také: Samsung na své telefony nainstaluje bezpečnostní software
Počítače se dnes často dodávají s předinstalovaným bezpečnostním/antivirovým softwarem (obvykle časově omezená verze). Proč by to tak nemělo fungovat i u smartphonů? Předinstalovanou technologií bude Lookout.