Microsoft i Adobe vydal aktualizace pro kritické bezpečnostní díry

týká se verzí: Adobe Flash Player nižší než 15.0.0.223, Adobe Air, Microsoft Windows, Internet Explorer, makra Microsoft Office, .NET

Minulý týden jsme obdrželi tučnou nadílku aktualizací od vývojářů Microsoftu. Celkem 14 patchů adresuje chyby napříč portfoliem firmy, za nejdůležitější můžeme označit záplatu chyby nultého dne, kterou hackeři zneužívají na internetu, a také fix pro velmi nebezpečnou vzdáleně zneužitelnou díru (CVSS skóre 9,3) ve všech verzích Windows (od Win95).

Tuto chybu z kategorie vzácnějších úlovků objevili analytici z týmu IBM X-Force a ohlásili ji Microsoftu. Nyní existuje patch, tým z IBM se tedy rozhodl detaily o chybě publikovat ve svém příspěvku na blogu SecurityIntelligence. Manažer X-Force Robert Freeman zejména podotýká, že je možné díky chybě obejít bezpečnostní mechanismus Enhanced Protected Mode, jenž chrání Internet Explorer 11. Stejně tak je možné vyšachovat microsoftí analytický nástroj EMET, který administrátoři často využívají v nouzi nejvyšší, kdy hrozí nebezpečí a patch je v nedohlednu. Chyba se může přeneseně dotknout také maker z Microsoft Office, v dokumentu však musí uživatel pro funkcionalitu exploitu makra explicitně povolit.

Mimo hromady aktualizací (jeden bulletin pro IE záplatuje dokonce 17 různých chyb prohlížeče) byl ale minulý týden jiný než ostatní ještě z jiného pohledu. Microsoft totiž původně ohlásil 16 bulletinů, dvěma ale ze záhadného důvodu do popisu u vydání připsal pouze “datum vydání bude potvrzeno”. Někdy se stane, že Microsoft ohlášenou aktualizaci nevydá, ale v tom případě většinou vymaže záznam ze seznamu patchů. Aktuální situaci hodnotí Chris Goettl z firmy Shavlik slovy: “Může to znamenat, že vyjdou tento měsíc, ale ne dnes. Podle předběžných upozornění ze strany Microsoftu jde nejspíš o bulletiny týkající se operačního systému a Exchange.”

Adobe rozhodně také nezahálí, vzhledem k 18 bezpečnostním chybám ve Flash Playeru a Adobe AIR, které minulý týden dosáhly aktualizace, by to ani nebylo žádoucí. Aktuální verze Flashe je 15.0.0.223, vaší nainstalovanou zkontrolujete jednoduše na webu Adobe, kde stáhnete i také případnou aktualizaci (jen pozor na potenciálně nechtěný McAfee Security Scan).

V USA špehují ze vzduchu pomocí letadel

The Wall Street Journal představil světu techniku lokalizace mobilních telefonů přes chytrou krabičku přezdívanou Dirtbox. Tu umisťuje US Marshal Service především na Cessny, lehké vrtulové letouny s dobrou pohyblivostí. Dirtbox pak ze vzduchu funguje jako telekomunikační věž, kterou využívají mobilní telefony k připojení do sítě operátora. Na základě komunikace Dirtbox a telefonu pak systém dokáže určit pozici zdroje signálu cca na 3 metry a to i uvnitř budov.

Princip samotný není nic nového, GSM Interceptory se používají již dlouhou dobu, a to zejména k odchycení obsahu komunikace mobilního telefonu. Během operace dojde defacto k útoku man-in-the-middle, během kterého systém přesvědčí telefon, že je pro něj z hlediska komunikace výhodnější pracovat přes něj než přes věž operátora (která může mít menší signál, je dál atd.). Systémem zachycená data pak putují zpět do oficiální sítě operátora. Dirtbox v kombinaci s letadlem je však mnohem rychlejší řešení a bezpečnější, než posílat na místo dodávku na kolech plnou lidí a vybavení. Díky této technologii se podařilo podle WSJ vypátrat například nejmenované drogové bosse, operuje také ve válečných zónách.

Kontroverzi vzbuzuje ale zejména princip skenování všech mobilních zdrojů signálu, což se dotýká i běžných občanů. Podle WSJ je navázané spojení, které neodpovídá specifikaci podezřelého, po zisku IMEI přerušeno, ale nikdo vám nezaručí, že během zásahu tato neodpovídající IMEI nebudou uložena do protokolu a zařazena mezi podezřelé. Systém komunikuje s telefonem i když jej uživatel zrovna nepoužívá, jde totiž o běžnou funkcionalitu telefonu v rámci práce s mobilní sítí. Podle nejmenovaného zdroje Wall Street Journal je práce Dirtboxu naprosto legální.

Název Dirtbox vznikl podle firmy Digital Receiver Technology, Inc., která patří firmě Boeing a vyrábí výše popsaná zařízení. Tato zařízení do budoucna nemusí převážet Cessny, ale například výkonné drony či quadkoptéry, které nenesou riziko úmrtí pilota.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Na ruském trhu s platebními kartami se točí přes 14 miliard

• Bugzilla umožňovala deset let odhalit citlivé zranitelnosti

• Funkce v bashové zahradě po dvaceti letech, opět úřaduje

Díly CDR Security Update SPECIÁL

• Jak jsme přišli o soukromí - IT bezpečnost 2013 - shrnutí a pohled do budoucna

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentizace