CDR SecUpdate 3 - Obama: v pozměněné formě budeme špehovat dál, jinak to nejde
Barack Obama se v pátek veřejně vyjádřil k budoucnosti špionážních programů NSA. Jeho gesto zní jasně - k žádné zásadní změně nedojde, programy potřebujeme tak, jak jsou.
Chyby v softwaru
Adobe Úterý aktualizací (patch tuesday)
Týká se: Adobe Flash Player, Acrobat, Reader
Adobe ve třetím týdnu nového roku vydává aktualizace svého oblíbeného programu Flash Player, Adobe Acrobat a Adobe Reader. Všechny chyby, které patch opravuje, byly označeny jako závažné, očekávají se v budoucnu exploity, pokud jste tak ještě neučinili, doporučujeme co nejrychlejší aktualizaci na nejnovější verze Flash Playeru a Readeru.
Kritické díry v Javě - První Oracle CPU v roce 2014
Týká se: většinou Java 7u45 a 6u65
Začátek roku sice nebyl tak horký, jako ten v roce 2013, ale přesto jsme se dočkali aktualizací od databázové firmy Oracle pro platformu Java. Patch opravuje 36 zranitelností v Javě, z toho jich je 34 zneužitelných vzdáleně a celých 5 z nich dostalo od Oraclu nejvyšší závažnost (známka 10.0), dalších pět pak závažnost 9.3.
Nové verze dostávají také MySQL server, komponenta z Oracle Financial Services Software nazývaná FLEXCUBE a mimo jiné také Oracle Fusion Middleware.
Doporučujeme zejména aplikovat aktualizace Javy, což můžete udělat i samostatně z dedikovaného webu (aktuální verze k datu publikace článku je 7u51).
Novinky a Události
Windows XP bude mít aktualizace malwarových signatur až do 2015
Možná se nám to zdálo jako termín v nedohlednu, ale konec oficiální podpory Microsoftu pro svůj operační systém Windows XP se nenávratně a neúprosně blíží. Microsoft stanovil datum ukončení podpory na 8. duben 2014 a ještě na poslední chvíli minulý týden učinil vstřícné gesto posledním "opozdilcům" s migrací. Ohlásil na svém blogu, že až do 14. června 2015 bude pro své bezpečnostní produkty vyvíjet aktualizace malwarových signatur.
Pro běžné uživatele to jsou známé Microsoft Security Essentials, pro enterprise uživatele se to pak týká produktů System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection a Windows Intune běžících na Windows XP.
Ukončení podpory XP podle Microsoftu znamená, že po osmém dubnu 2014 uživatelé XP nebudou dostávat "bezpečnostní aktualizace non-security hotfixy, zdarma nebo placené možnosti podpory, nebo online aktualizace technického obsahu od Microsoftu".
I když je to zajímavé gesto, nedoporučujeme zůstávat na platformě XP déle, než bude nezbytně nutné, migrace by měly touto dobou probíhat v plném proudu. Připravili jsme si pro vás za tímto účelem zajímavou anketu umístěnou níže pod článkem ohledně migrace na novější systémy Microsoftu. Díky za hlasy!
Obama komentuje špionážní programy NSA: Pokračujeme dál
Minulý týden přinesl relativně zásadní milník v kauze whistleblower Edward Snowden vs. americká NSA. Prezident Spojených států Barack Obama totiž minulý pátek promluvil o budoucnosti špionážních programů NSA a mimo jiné také o kontroverzní kolekci metadat telefonních operátorů, které agentura sbírá.
Obama však světu poslal jednoznačné gesto slovy: "Věřím, že je důležité, aby byla zachována schopnost tohoto programu tak, jak byla navržena." Podle Threatpost.com Obama naznačil několik kontrolních mechanismů a omezení pro několik kontroverznějších špionážních programů, zejména pak pro systém schraňování metadat o telefonních hovorech, ale většinu své řeči věnoval popisu proč tyto programy fungují a proč je existující dohledový systém drží na uzdě.
Mnoho právníků zasazených o telekomunikační soukromí a různých vládních představitelů odsoudilo tuto řeč, jako pouze formální projev, který nemá s pravdou mnoho společného, ale z projevu prezidenta je jasné, že mnoho klíčových vládních představitelů naopak podporuje tuto cestu a nevidí potřebu k reformám.
Minulou neděli se k celé věci vyjádřily dvě povolané osoby z Intelligence Committees - Mike Rogers a Diane Feinstein - a oba s navrženým postupem souhlasili. Předsedkyně House Intelligence Committee, které dohlíží na špionážní programy, se na otázku, zda budou programy v budoucnu funkční, vyjádřila jasně: "Nemyslím si, že se to stane, a veřím, že jsou [špionážní programy] nezbytné a vhodné. [...] Souhlasili bychom s ním [s prezidentem]. NSA jsou profesionálové. Jsou prověřováni a pod pečlivým dohledem."
Senátorka se pak pustila do trochu nebezpečnějších vod, když označila NSA jako vlastně méně zasahující do soukromí než soukromé americké firmy. "Když se podíváte na to, co sbírají firmy, vláda najednou vůbec nevypadá jako hlavní viník," pronesla Feinstein. Mnoho odpůrců špionážních programů to považuje za příměr neodpovídající realitě, protože soukromé firmy dávají mnohem větší důraz na informování zákazníků o různých formách sledování. Podle nich není vláda navíc žádná komerční organizace a ze své podstaty by měla svým občanům pomáhat.
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
Díly CDR Security Update SPECIÁL
V jaké fázi je migrace z Windows XP u vás doma či ve vaší firmě?
Zdroje:
Jiří Moos (Google+)
Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.
