Chyby v softwaru

Adobe Úterý aktualizací (patch tuesday)

Týká se: Adobe Flash Player, Acrobat, Reader

Adobe ve třetím týdnu nového roku vydává aktualizace svého oblíbeného programu Flash Player, Adobe Acrobat a Adobe Reader. Všechny chyby, které patch opravuje, byly označeny jako závažné, očekávají se v budoucnu exploity, pokud jste tak ještě neučinili, doporučujeme co nejrychlejší aktualizaci na nejnovější verze Flash Playeru a Readeru.

Kritické díry v Javě - První Oracle CPU v roce 2014

Týká se: většinou Java 7u45 a 6u65

Začátek roku sice nebyl tak horký, jako ten v roce 2013, ale přesto jsme se dočkali aktualizací od databázové firmy Oracle pro platformu Java. Patch opravuje 36 zranitelností v Javě, z toho jich je 34 zneužitelných vzdáleně a celých 5 z nich dostalo od Oraclu nejvyšší závažnost (známka 10.0), dalších pět pak závažnost 9.3.

Nové verze dostávají také MySQL server, komponenta z Oracle Financial Services Software nazývaná FLEXCUBE a mimo jiné také Oracle Fusion Middleware.

Doporučujeme zejména aplikovat aktualizace Javy, což můžete udělat i samostatně z dedikovaného webu (aktuální verze k datu publikace článku je 7u51).

Novinky a Události

Windows XP bude mít aktualizace malwarových signatur až do 2015

Možná se nám to zdálo jako termín v nedohlednu, ale konec oficiální podpory Microsoftu pro svůj operační systém Windows XP se nenávratně a neúprosně blíží. Microsoft stanovil datum ukončení podpory na 8. duben 2014 a ještě na poslední chvíli minulý týden učinil vstřícné gesto posledním "opozdilcům" s migrací. Ohlásil na svém blogu, že až do 14. června 2015 bude pro své bezpečnostní produkty vyvíjet aktualizace malwarových signatur. 

Pro běžné uživatele to jsou známé Microsoft Security Essentials, pro enterprise uživatele se to pak týká produktů System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection a Windows Intune běžících na Windows XP. 

Ukončení podpory XP podle Microsoftu znamená, že po osmém dubnu 2014 uživatelé XP nebudou dostávat "bezpečnostní aktualizace  non-security hotfixy, zdarma nebo placené možnosti podpory, nebo online aktualizace technického obsahu od Microsoftu".

I když je to zajímavé gesto, nedoporučujeme zůstávat na platformě XP déle, než bude nezbytně nutné, migrace by měly touto dobou probíhat v plném proudu. Připravili jsme si pro vás za tímto účelem zajímavou anketu umístěnou níže pod článkem ohledně migrace na novější systémy Microsoftu. Díky za hlasy!

Obama komentuje špionážní programy NSA: Pokračujeme dál

Minulý týden přinesl relativně zásadní milník v kauze whistleblower Edward Snowden vs. americká NSA. Prezident Spojených států Barack Obama totiž minulý pátek promluvil o budoucnosti špionážních programů NSA a mimo jiné také o kontroverzní kolekci metadat telefonních operátorů, které agentura sbírá.

Obama však světu poslal jednoznačné gesto slovy: "Věřím, že je důležité, aby byla zachována schopnost tohoto programu tak, jak byla navržena." Podle Threatpost.com Obama naznačil několik kontrolních mechanismů a omezení pro několik kontroverznějších špionážních programů, zejména pak pro systém schraňování metadat o telefonních hovorech, ale většinu své řeči věnoval popisu proč tyto programy fungují a proč je existující dohledový systém drží na uzdě.

Mnoho právníků zasazených o telekomunikační soukromí a různých vládních představitelů odsoudilo tuto řeč, jako pouze formální projev, který nemá s pravdou mnoho společného, ale z projevu prezidenta je jasné, že mnoho klíčových vládních představitelů naopak podporuje tuto cestu a nevidí potřebu k reformám.

• Veřejný dopis prezidentu USA Obamovi: NSA mohla zabránit útokům na dvojčata

Minulou neděli se k celé věci vyjádřily dvě povolané osoby z Intelligence Committees - Mike Rogers a Diane Feinstein - a oba s navrženým postupem souhlasili. Předsedkyně House Intelligence Committee, které dohlíží na špionážní programy, se na otázku, zda budou programy v budoucnu funkční, vyjádřila jasně: "Nemyslím si, že se to stane, a veřím, že jsou [špionážní programy] nezbytné a vhodné. [...] Souhlasili bychom s ním [s prezidentem]. NSA jsou profesionálové. Jsou prověřováni a pod pečlivým dohledem." 

Senátorka se pak pustila do trochu nebezpečnějších vod, když označila NSA jako vlastně méně zasahující do soukromí než soukromé americké firmy. "Když se podíváte na to, co sbírají firmy, vláda najednou vůbec nevypadá jako hlavní viník," pronesla Feinstein. Mnoho odpůrců špionážních programů to považuje za příměr neodpovídající realitě, protože soukromé firmy dávají mnohem větší důraz na informování zákazníků o různých formách sledování. Podle nich není vláda navíc žádná komerční organizace a ze své podstaty by měla svým občanům pomáhat.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• NSA mohla předejít teroristickým útokům v září 2001, říkají bývalí zaměstnanci

• Němci mají klíč od všech bezpečnostních zámků Androidu

• Hacker si objednal 6 vražd, zaplatil v přepočtu 10 miliónů

Díly CDR Security Update SPECIÁL

• Jak jsme přišli o soukromí - IT bezpečnost 2013 - shrnutí a pohled do budoucna

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentizace