CDR SecUpdate za 19. týden – Microsoft a Adobe Patch Tuesday, PHP zranitelnost a Safari

Týdenní bezpečnostní bulletin internetového magazínu CDR. Hlídací pes nově objevených kritických chyb ve vašem softwaru a moderní trendy počítačové bezpečnosti na jednom místě.
127.0.0.1 no place

Týden 19 je za námi, pojďme zrekapitulovat zajímavé události. Microsoft zaznamenal Úterý Aktualizací, uživatelé mají k dispozici 7 bulletinů, z toho 3 kritické - čtěte Události a Chyby v softwaru. Adobe doporučuje upgrade produktů na verzi CS6. Nezapomeňte aktualizovat.

Událostech se mimo tradiční rozbor MS Patch Tuesday věnujeme novinkám Safari pro iOS a Mac OS X.

Chyby v softwaru

Adobe – četné zranitelnosti

Týká se verzí: Adobe Shockwave Player 11.6.4.634, Flash Professional CS5.5.1, Adobe Photoshop CS5 a Adobe Illustrator CS5.5

Společnost Adobe vydala v úterý bezpečnostní aktualizace pro Adobe Shockwave, Adobe Flash Professional, Adobe Photoshop a Adobe Illustrator. Aktualizace opravují zranitelnosti těchto produktů, které v posledních třech případech mohou umožnit útočníkovi plnou kontrolu nad systémem. Více se dozvíte v bezpečnostní sekci produktů Adobe.

Aktualizace uživatele přivede k šestým verzím Photoshopu, Illustratoru a Flash Professional, které jsou samozřejmě placené.

Microsoft – četné zranitelnosti v MS Excel, které opravuje bulletin MS12-030

Týká se verzí: Microsoft Office 2003, 2007 a 2010

Součástí "Úterý Aktualizací" Microsoftu byl bulletin MS12-030, který opravuje šest chyb v Microsoft Office týkajících se tabulkového procesoru Excel. Pokud by útočník použil speciálně upravený Excel dokument, mohl by převzít plnou vzdálenou kontrolu nad daným systémem. Rozhodně doporučujeme uživatelům aktualizovat.

excel-Emailed

Dále se Microsoft Patch Tuesday věnujeme v Událostech níže v článku.

PHP CGI – zranitelnost umožňující vzdálené spuštění libovolného kódu

Týká se verzí: PHP 5.3.12 a 5.4.2 a nižší spuštěných jako CGI skript

V posledních dnech se na internetu objevily detaily zranitelnosti, na jejíž opravě vývojáři PHP pracovali již od února 2012. Díky chybě může útočník předat serveru URL, které následně přidá argumenty příkazové řádky k prováděnému PHP skriptu. Vývojáři PHP zareagovali 3. 5. 2012 vydáním patche, který však umožňoval ochranu obejít a evidentně nesplnil svůj účel.

Nová verze PHP 5.4.3 a 5.3.13 by již měla chybu s konečnou platností opravovat. Pokud na vašem serveru běží zranitelné PHP jako CGI skript, určitě aktualizujte, z různých zdrojů a honeypotů dostávám informace, že je tato zranitelnost již zneužívána útočníky. Pokud vaše PHP instalace běží jako modul (asi většina případů), není zranitelná.

Události

Microsoft Patch Tuesday 8. 5. 2012 – MS Office, .Net Framowork a RTF

Jak jsme avizovali minulý týden, v úterý 8. 5. vydal Microsoft sedm bezpečnostních bulletinů. Je již naším zvykem podívat se nyní na aktualizace trochu detailněji.

Bulletin MS12-029 je první ze tří kritických aktualizací a týká se Microsoft Office. Opravuje zranitelnost (CVE-2012-0183), která se dá zneužít použitím speciálně upraveného RTF dokumentu. Po otevření tohoto dokumentu může útočník získat práva přihlášeného uživatele.

MS12-030 jsme rozebírali v úvodu článku, jedná se o bulletin, kterému byste měli věnovat zvýšenou pozornost.

Další bulletin, který opravuje zranitelnosti umožňující převzetí kontroly nad systémem pomocí nebezpečného dokumentu, je MS12-031. Týká se pouze produktu Visio Viewer 2010 a jeho Service Pack 1 je zranitelný pouze v 64bitové verzi. Využití útoků pomocí zákeřných dokumentů lze nalézt kupříkladu v cílených útocích spear phishing.

Bulletin MS12-032 opravuje dvě zranitelnosti. První (CVE-2012-0174) umožňuje obejít systémový firewall, protože náležitě neblokuje odchozí broadcast pakety. Odchozí komunikace systému je často podceňována, ale je to první prostředek, kterého využije malware vzdálené kontroly. Jinak řečeno – pokud spustíte na svém systému omylem trojského koně pro vzdálenou správu využívajícího zpětné připojení, nemusí nutně dojít ke vzdálené kompromitaci pokud firewall zamezí komunikaci ven ze systému k útočníkovi. Druhá zranitelnost (CVE-2012-0179) je typu TCP/IP Double Free.

Zajímavý je bulletin MS12-034. Opravuje četné zranitelnosti v systému Windows, MS Office, .Net Framework a Silverlight. Problém je spojen se slavným červem DuQu. V prosinci 2011 vydal Microsoft bulletin MS11-087, který opravoval zranitelnost CVE-2011-3402. Tuto zranitelnost využíval právě červ DuQu a Microsoft od té doby pracoval na odhalení podobných slabých míst v dalších produktech. Pomocí vytvořeného nástroje pro detekci klonovaného kódu (cloned code detection tool) se vývojáři snažili vystopovat stejnou chybu v práci s fonty, jako je popsána v MS11-087 (příkl. gdiplus.dll, ogl.dll). Evidentně dosáhli výsledku, doporučujeme aktualizaci.

iOS v nové verzi 5.1.1

Apple vydává novou verzi operačního systému pro mobilní zařízení iOS 5.1.1. Bezpečnostní záplaty mimo jiné opravují chybu, o které jsme informovali v CDR SecUpdate za 12. týden. Jedná se o URL spoofing zranitelnost, která umožňovala zobrazit jakýkoliv web pod jakoukoliv zobrazenou URL v adresním řádku Safari pro iOS.

safari-exploit

Safari na Mac OS X blokuje starý Flash

Staré verze Adobe Flash Playeru neobsahují nejnovější bezpečnostní opravy, a proto jsou v Safari ve verzi 5.1.7 automaticky zakázané. Pokud nová verze Safari detekuje starý Flash, uživatel uvidí dialog informující o zablokování zásuvného modulu současně s odkazem na stažení nejnovější verze.

Safari-5.1.7-para-Mac-OS-X-y-Windows

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Zdroje: 

Adobe, technet #1 a #2, eindbazen, php.net, support.apple.com #1 a #2

Jiří Moos (Google+)

Jirka Moos je zástupce šéfredaktora CDR.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 19. týden – Microsoft a Adobe Patch Tuesday, PHP zranitelnost a Safari

Pondělí, 14 Květen 2012 - 12:05 | Ondar | Jsem tenhle článek otevřel jen kvůli tomu...
Pondělí, 14 Květen 2012 - 09:01 | peter pan | díky.

Zobrazit diskusi