CDR SecUpdate za 15. týden – Microsoft a Adobe Patch Tuesday, Samba a Flashback trojan

Týdenní bezpečnostní bulletin internetového magazínu CDR. Hlídací pes nově objevených kritických chyb ve vašem softwaru.
trojanisches pferd

Přišel čas další týdenní rekapitulace. Týden 15 obsahoval druhé úterý v měsíci, a proto jsme zaznamenali další Úterý aktualizací Microsoftu a Adobe. Nejdůležitější aktualizace Microsoftu je rozebrána na úvod v odstavci Chyby a ostatním se věnujeme níže (čtěte odstavec Události níže v článku). Adobe nezůstává pozadu a vydává také svůj bulletin. Samba zaznamenala kritickou zranitelnost vzdáleného spuštění kódu, nezapomeňte aktualizovat.

Událostech se dále podíváme na novinky Flashback (Flashfake) trojského koně na systému Mac OS X a jeho rozšíření po světě.

Chyby označené jako kritické odpovědnými orgány jednotlivých společností

Microsoft Windows Common Controls – ActiveX, vzdálené spuštění kódu

Týká se verzí: MS Office (2003, 2007, 2010), MS SQL Server (2005, 2008) a další

Aktualizace MS12-027 této zranitelnosti (CVE-2012-0158) je součástí Úterý aktualizací Microsoftu. Jedná se o kritickou zranitelnost, která teoreticky umožňuje vzdálené spuštění libovolného kódu, pokud by uživatel a) navštívil stránku s nebezpečným obsahem, b) spustil nebezpečný dokument Office nebo c) spustil speciální *.rtf soubor. V dubnu 2012 byl potvrzený exploit, který tuto zranitelnost, také známou jako MSCOMCTL.OCX RCE Vulnerability, úspěšně využívá. Dalším aktualizacím věnuji část odstavce Události.

Adobe Reader a Adobe Acrobat – četné zranitelnosti

Týká se verzí: Adobe Reader a Adobe Acrobat X (10.1.2) a nižší na Win/MAC, 9.5 a nižší na Win/Mac, Adobe Reader 9.4.6 a nižší na Linuxu

Společnost Adobe vydala aktualizace adresující četné zranitelnosti v Adobe Readeru a Adobe Acrobatu. Doporučuje aktualizaci pro systémy Mac a Windows na verzi 10.1.3. Patch opravuje mimo jiné integer overflow v manipulaci s True Type Font (TTF, CVE-2012-0774), korupce paměti v manipulaci s JavaScriptem (CVE-2012-0775) a další chyby, které by mohly vyústit ve spuštění libovolného kódu na počítači oběti.

Samba – "root" credentials vzdálené spuštění kódu

Týká se verzí: Samba 3.6.3 a nižší

Samba je svobodná implementace síťového protokolu SMB, používaného především pro vzdálený přístup k souborům v systémech MS Windows. Samba ve verzi 3.6.3 a ve všech předchozích obsahuje chybu, která umožňuje vzdálené spuštění kódu s právy "roota" skrz anonymní připojení.

Generátor kódu pro vzdálené volání procedur Samby (RPC) obsahoval error, který způsoboval generování kódu s bezpečnostní chybou. Tento vygenerovaný kód je použit v různých částech Samby, které kontrolují uspořádání RPC volání po síti.

Zneužití nevyžaduje ověřené připojení, a proto je tato zranitelnost klasifikovaná jako nejvážnější možná. Mám také informace, že na tuto zranitelnost již existuje exploit a během tohoto týdne by se měl objevit i v Metasploit Frameworku. Důrazně doporučujeme uživatelům aktualizaci na nejvyšší verzi z webu Samby. Nebezpečí by nejspíš nemělo hrozit Mac OS X.

Události

Microsoft Patch Tuesday 10. 4. 2012

Úterní aktualizace Microsoftu přinesly avizované 4 kritické opravy + 2 důležité. Aktualizace MS12-027 je většinou označována jako nejdůležitější a diskutovali jsme ji v úvodu.

MS12-023 se týká Internet Exploreru a adresuje 5 soukromě ohlášených zranitelností. Pokud by útočník zneužil těchto chyb, mohl by získat práva stávajícího uživatele systému.

Velmi zajímavou zranitelnost opravuje patch MS12-024, týká se totiž Windows Authenticode – funkce, která ověřuje podpisy přenosných spustitelných souborů (portable executable – PE). Díky této bezpečnostní díře je možné připojit k oficiálně podepsanému souboru nepodepsaný obsah. Útočník tak může při úspěšném zneužití chyby vytvořit validně podepsanou aplikaci, která po spuštění provede na systému oběti libovolný kód. To by mohlo způsobit úplné ovládnutí systému. Tato zranitelnost je také známá jako "WinVerifyTrust Signature Validation Vulnerability".

Poslední kritická aktualizace MS12-025 se týká .Net frameworku. Pokud by uživatel navštívil stránku se speciálně upravenou aplikací XBAP, mohlo by dojít ke vzdálenému spuštění kódu.

Doporučujeme uživatelům z bezpečnostních důvodů nainstalovat všech 6 patchů. Můžete tak učinit přes Windows Update. Současně s tím upozorňujeme, že Windows Vista přestává být součástí kanálu "mainstream" aktualizací – společnosti budou muset platit za "non-security hotfixes" a podobné služby. Bezpečnostní aktualizace pro Windows Vista by měly být dostupné po následujících pět let.

Novinky ohledně Flashback (Flashfake) trojanu

target map - cdrsec

Také firma Kaspersky potvrzuje, co dříve zjistil Dr.Web – součástí botnetu trojského koně Flashfake je více než 600 000 počítačů. Jedná se o první větší rozšíření trojských koňů na systému Mac OS v historii. Chyba byla pravděpodobně na straně Apple, protože firma vydala aktualizace Javy, které opravují tuto chybu, teprve nedávno.

V současné době existují aktualizace, které detekují a odstraní nejrozšířenější verze Flashback trojanu. Současně s tím patch zakáže automatické spuštění Java appletů. Uživatel může tuto funkci znovu zapnout, ale pokud delší dobu systém nezaznamená spuštění Java appletu, znovu funkci automaticky zakáže.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Zdroje: 

Microsoft Technet #1 a #2, cve #1 a #2, Adobe

Jiří Moos (Google+)

Jirka Moos je zástupce šéfredaktora CDR.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 15. týden – Microsoft a Adobe Patch Tuesday, Samba a Flashback trojan

Pondělí, 16 Duben 2012 - 17:56 | Jiří Moos | Těžko říct, jak bývá zvykem není k dispozici...
Pondělí, 16 Duben 2012 - 12:37 | Izak | SAMBA ... jen je skoda, ze se tam nedoctu, zda je...
Pondělí, 16 Duben 2012 - 09:49 | Swordfish | Řekl bych, že ten obrázek co ilustruje rozšíření...

Zobrazit diskusi