CDR SecUpdate za 39. týden – Další díra v řešetu jménem Java? Facebook útoky a jak zabezpečit váš účet
Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
Vítejte u CDR bezpečnostní aktualizace pro 1. 10. V dnešním díle se podíváme na další chyby v Javě, Poláci si dali záležet a objevili jich několik desítek, čtěte Chyby v softwaru. Kaspersky vydal další díl svých instruktážních videí, dnes o zabezpečení Facebook účtu, my přidáváme příklad Facebook podvodu z praxe. Čtěte Novinky a Události níže v článku.
Chyby v softwaru
Java 5, 6, 7 - četné zranitelnosti
Týká se verzí: Java SE 5 Update 22, Java SE 6 Update 35, Java 7 Update 7 na Windows 7 na prohlížečích Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421, Opera 12.02, Safari 5.1.7
Další zneužitelné chyby v Javě na sebe nenechaly dlouho čekat. V tomto případě není situace tak žhavá jako na konci srpna tohoto roku, kdy hackeři díry zneužívali k počítačovým útokům bez vědomí antivirových společností. Polská firma Security explorations zveřejnila výsledky tříměsíční bezpečnostní analýzy Javy se zaměřením na hledání chyb. Práce vyústila v objevení několika desítek chyb, z nichž některé umožňují tzv. útěk ze sandboxu virtuálního stroje Javy (Java VM sandbox escape) a zisk kontroly nad operačním systémem.
Detaily o zranitelnosti nebyly zveřejněny a společně s proof-of-concept kódy dorazily do Oraclu. Velkou váhu těmto chybám přesto přikládám hlavně kvůli faktu, že se týkají obou hlavních vývojových větví Javy a jejich nejnovějších verzí. To je poměrně kritická skutečnost, uvědomíme-li si, že Java v současnosti běží zhruba na 1,1 miliardě desktopů.
Pravidelnému čtenáři CDR Security Update může připadat, že struktura Javy se dnes podobá struktuře ementálu. To však jednoznačně vyvrací odpověď Security explorations na otázku, zda je jednoduché obejít zabezpečení Javy:
"Java je jedna z nejzajímavějších a nejlépe zabezpečených technologií, se kterou jsme se setkali. Navzdory všeobecnému mínění není tak jednoduché se do Javy dostat."
Oracle zatím žádnou aktualizaci neohlásil, a pokud chcete mít větší jistotu zabezpečeného počítače, raději Javu zakažte, stejným způsobem, jako je popsán v tomto díle.
Internet Explorer – zranitelnost nultého dne typu use-after-free
Týká se verzí: Internet Explorer 6 – 9 na Windows XP, Vista, 7, Windows Server 2003 a 2008
Této zranitelnosti jsem věnoval část minulého dílu. Útočníci chybu v Internet Exploreru zneužívají k počítačovým útokům například skrz lákání na nebezpečné weby, jak jsem ukazoval ve videu zde. Silně doporučuji aktualizaci přes Windows Update, která chybu záplatuje.
Novinky
Zabezpečení Facebooku před hackery
Jak se hladina počtu uživatelů Facebooku začíná blížit jedné miliardě, přibývá i podvodníků, kteří využívají této masovosti k realizaci nejrůznějších počítačových útoků a podvodů. Odborníci z laboratoří Kaspersky se proto rozhodli vydat instruktážní video demonstrující krok po kroku nastavení účtu pro zajištění vysoké bezpečnosti.
Video popisuje mimo jiné nastavení šifrovaného přenosu dat do výchozího nastavení, autentizaci pomocí telefonu a správu důvěryhodných zařízení.
Události
Nový útok na uživatele Facebooku
V návaznosti na zabezpečování Facebook účtu a jako motivaci přidám nový podvodný útok z praxe. Přijde vám zpráva (v tomto konkrétním případě soukromá zpráva na Twitteru), že někdo publikoval video, které vás může před přáteli a světem ztrapnit. Po kliknutí na odkaz na video dojde k přesměrování na web podobný YouTube s údajným videopřehrávačem.
Pro spuštění videa však žádají podvodníci stažení programu Flash player, který je prý nutný k přehrání videa. Nejedná se však o nic jiného, než o trojského koně, který může zpřístupnit váš systém útočníkům zvenčí.
Konference Future of Cyber bude v říjnu součástí výstavy Voják budoucnosti (Future soldier)
17. – 18. října 2012 proběhne v pražských Letňanech výstava nejmodernější vojenské techniky Future soldier organizovaná Ministerstvem obrany ČR, českou pobočkou organizace AFCEA a dalšími. Součástí výstavy je odborná bezpečnostní konference Future of Cyber, která bude unikátním zdrojem informací o celosvětovém stavu počítačové bezpečnosti na nejvyšší vojenské úrovni. Výstava je zdarma, vstup na konferenci je platný po registraci a zaplacení registračního poplatku.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
Díly CDR Security Update SPECIÁL
Jiří Moos (Google+)
Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.
