Vítejte u prvního zářijového CDR Security Update. Programátorům z Oracle skončily prázdniny o týden dříve díky nově objeveným chybám v Javě, které se týkají téměř všech 850 miliónů uživatelů po celém světě, čtěte Chyby v softwaru níže. Některé důležité pojmy dále vysvětluji na konci článku ve Slovníku.

Pro odlehčení jsem přidal zajímavé video z dílny bezpečnostního webu ThreatPost, které vkusně popisuje jednoduché a účinné zabezpečení mobilní platformy iOS pro iPhone, iPod Touch a iPad.

Chyby v softwaru

Nebezpečná Java zranitelnost nultého dne – aktualizujte hned!

Týká se verzí: Java 7 update 6 a nižší, částečně Java 6 update 33 a nižší

Platformou Java otřásla minulý týden další zranitelnost nultého dne (viz Slovník níže). Chyba v Javě 7 byla původně nahlášena již před čtyřmi měsíci. Vývojář Javy firma Oracle však do 30. srpna nevydal aktualizaci, a proto se poslední prázdninový týden děly věci.

Zranitelnost zjistili bezpečnostní analytici v neděli 23. 8., když se na internetu objevily exploity, které ji dokáží zneužít (viz Slovník níže). Původně docházelo ke stažení nástroje pro vzdálenou správu Poison Ivy RAT z webů s čínskými kořeny. Integrace do populárních softwarů pro útočníky typu Metasploit a Blackhole Exploit kit na sebe nenechala dlouho čekat a z této chyby se stával celosvětový problém. Firma Oracle vydává aktualizace poměrně zřídka a další termín připadal na polovinu října.

Nepřijít s aktualizací by však byla pro Oracle sebevražda v pravém smyslu slova. I tak však trval proces několik pravděpodobně bezesných nocí a svět se dočkal aktualizace až předposlední prázdninový den. Do té doby poskytovala firma DeepEndResearch po domluvě bezplatný patch třetí strany. Po vydání opravy vše vypadalo růžově. Ale hektolitry kávy programátorů Oracle měly přece jen přijít vniveč.

Nebezpečná Java zranitelnost nultého dne – druhé kolo

Pocit z dobře odvedené práce vývojářům z Oracle vydržel necelých 24 hodin. Polská firma Security Explorations totiž objevila v nově vydané opravě Update 7 další novou zranitelnost. Podle informací proudících po internetu prý tato firma poslala Oraclu data z výzkumu a proof-of-concept exploit. Oracle se zatím (2. 9.) k věci nijak nevyjádřil.

Doporučuji však celou situaci sledovat a připravit se na další aktualizace.

Doporučené chování

Pokud Javu nutně k něčemu nepotřebujete, odinstalujte ji, nebo ve svém webovém prohlížeči zakažte. Situaci trefně hodnotí jeden z vývojářů Metasploit Frameworku slovy:

"Když na to dojde, velmi málo webů spoléhá na Javu pro dynamický obsah. Na Javu se tolik nespoléhá jako na Javascript a Flash. Většina lidí může zakázat zásuvný modul Javy a nepocítí rozdíl."

• Je vaše Java nebezpečná?
• Nainstalujte nejnovější verzi Javy 7 update 7
• Vypněte Javu v prohlížeči
  • Jak na to v Apple Safari
  • Jak na to v Mozille Firefox
  • Jak na to v Opeře
  • Jak na to v IE, tento postup nezablokuje Javu úplně, viz oficální vyjádření US CERTu
• Odinstalujte Javu, když ji nepoužíváte – návod pro Windows

Poznatky s praktickou ukázkou útoku na Javu 7 update 6 (aneb ano, opravdu aktualizujte) můžete zhlédnout zde:

Novinky

Video: Zamykáme iPhone před nebezpečím

ThreatPost začíná novou sérii videotutoriálů na téma mobilní bezpečnosti. Dnešní díl vám zamkne iPhone na trojitý zámek.

Slovník

Softwarová zranitelnost nultého dne (Zero day vulnerability)

Obvyklý postup hlášení chyb softwarovým společnostem zahrnuje práci buď bezpečnostního týmu programátorů, nebo výzkumníka třetí strany, který chybu objeví a následně nahlásí dané firmě. U velkých společností počítají nezávislí výzkumníci s finanční odměnou a firmy jako Google mají přímo vytvořený program "výplat" za objevené zranitelnosti. Výsledná částka většinou závisí na závažnosti chyby a pohybuje se v případě Google většinou mezi $500 - $1000 (10 000 Kč – 20 000 Kč).

Zranitelnost nultého dne, slangově také 0day, je dosud nenahlášená chyba v softwaru. V praxi to může být objevená zranitelnost, kterou se rozhodne výzkumník sám využít například k prodeji skupinám počítačových útočníků, nebo sám do takové skupiny patří. Zero day vulnerabilities typu Stuxnet se mohou klidně na černém trhu prodávat za desítky miliónů dolarů.

Exploit – kód zneužívající zranitelnost

Standardní bezpečnostní zranitelnost většinou sama o sobě svému majiteli žádnou škodu nezpůsobí. Je však možné napsat počítačový kód, který využije dané chyby a provede akci, kterou vývojář buď přímo nezamýšlel, nebo vyloženě zakázal.

Exploit může útočníkovi umožnit například vzdálený zisk kontroly nad systémem oběti, zisk vyšších uživatelských práv na systému nebo odepření služby (DoS útoky).

Napsání exploitu může být velmi složitá věc a vyžaduje obvykle znalosti nízkoúrovňových programovacích jazyků typu Assembler a práci s pamětí. Pokud vás podobná tématika zajímá, vřele doporučuji knihu Hacking: The Art of Exploitation 2nd Edition (Jon Erickson).

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• CDR SecUpdate za 34. týden – Ochrání McAfee obrázky na Facebooku před stažením? Na iPhone nikdy nevíte, kdo vám píše

• CDR SecUpdate za 33. týden – Kamerový systém sledující podezřelé chování občanů, Julian Assange z WikiLeaks získal azyl v Ekvádoru

• CDR SecUpdate za 32. týden – Írán si vytvoří vlastní internet, Blizzard hack – jsou data hráčů v nebezpečí?

Díly CDR Security Update SPECIÁL

• CDR SecUpdate SPECIÁL: Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• CDR SecUpdate SPECIÁL: Jak se dostat k citlivým datům iPhonu za pár sekund

• CDR SecUpdate SPECIÁL: Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace