CDR SecUpdate za 10. týden – Flash Player, Chrome a mobilní bezpečnost
Týden s pořadovým číslem 10 je za námi a je čas rekapitulovat události, které nám přinesl. Předně to byly nově objevené zranitelnosti v Adobe Flash Player (podrobnosti níže), nezapomeňte aktualizovat na verzi 11.1.102.63. Další kritická aktualizace se týká Google Chrome, který hned jako první podlehl na soutěži Pwn2Own. Podíváme se také na nový iOS 5.1 a pokračující analýzy červa Duqu. Pro další informace čtěte Události.
Jak napovídá nadpis, sekci Novinky tento týden tvoří příspěvky ze světa mobilních technologií. Podíváme se na online skener aplikací pro Android a velký test antivirových řešení.
Chyby označené jako kritické centrem HP TippingPoint
Adobe Flash Player – četné zranitelnosti
Adobe vydal aktualizaci pro několik bezpečnostních zranitelností ve svém Flash Playeru. Jedná se o blíže nespecifikované možné zneužití paměti a chyby v manipulaci s datovými typy integer. Útočník by mohl tyto chyby zneužít v případě, že přesvědčí cíl k navštívení nebezpečného webu. Toto zneužití může vyústit ve spuštění libovolného kódu na cílovém počítači.
Google Chrome – četné zranitelnosti
Týká se verzí: Google Chrome 17.0.963.65 a nižší
Google Chrome podlehl jako první na soutěži Pwn2Own (viz Události), proto Google vydává okamžitě aktualizace opravující nebezpečné chyby. Mezi objevené zranitelnosti patří use-after-free v manipulaci se SVG a HTML, bad cast (http://www.securityfocus.com/bid/47830) a také přetečení bufferu. Detaily zranitelností jsou neznámé, ale je možné, že by útočník mohl po přinucení oběti navštívit nebezpečný web zneužít těchto chyb a spustit libovolný kód na jeho počítači.
Novinky
Mobilní sandbox pro Androidí aplikace
Se zajímavou myšlenkou přišli vědci z Norimberské univerzity. Vytvořili automatický systém pro antivirovou kontrolu aplikací pro OS Android. Na webu projektu - www.mobile-sandbox.com - můžete nahrát soubor, který projde statickou analýzou na podezřelý kód. K analýze používají populární systém VirusTotal a je možné si buď nechat zobrazit výsledky testu přímo v jejich veřejné databázi, nebo si je nechat poslat na soukromý mail.
Celý projekt je stále ve fázi vývoje, nicméně určitě stojí za vyzkoušení. Sám jsem dosud neměl možnost vyzkoušet systém přímo na Androidu a budeme rádi, podělíte-li se s námi o zkušenosti v komentářích.
Události
Google Chrome podlehl jako první na soutěži Pwn2Own 2012. Mnozí měli Google Chrome za nejbezpečnější prohlížeč, který nelze prolomit. Na minulém ročníku CanSecWest Pwn2Own odolal Chrome jako jediný. Francouzští specialisté z bezpečnostní firmy VUPEN však světu dokázali, že žádný prohlížeč není dokonalý a podařilo se jim hacknout nejnovější verzi Chrome na 64-bitovém Windows 7 SP1.
Zakladatel firmy a šéf výzkumu Chaouki Bekrar prohlásil, že pro nalezení zranitelností a napsání exploitů potřeboval jeho tým šest týdnů. „Museli jsme použít dvě zranitelnosti. První abychom obešli DEP [Omezení spouštění dat na Windows] a ASLR na Windows a druhou abychom prolomili sandbox Chrome.“ Bekrar ale odmítl říct, jestli jejich exploit využil nějaký software třetí strany.
„Chtěli jsme ukázat, že Chrome není neprolomitelný. Minulý rok jsme viděli mnoho novinových titulků, že nikdo Chrome nedostane. Chtěli jsme se ujistit, že bude letos první, který podlehne.“ Objasnil svoje plány Bekrar.
I když byl velmi pyšný na svůj tým, nezapomněl upozornit na vysokou bezpečnostní úroveň prohlížeče, zejména na anti-exploit mechanismus. „Sandbox Chrome je ten nejzabezpečenější ze všech. Není vůbec jednoduché vytvořit exploit, který dokáže zneužít všechny jeho obranné mechanismy. Mohu říci, že Chrome je jeden z nejbezpečnějších prohlížečů.“
Firma Apple vydala novou verzi operačního systému – iOS 5.1. Bezpečnostní experti se shodují na důležitosti této aktualizace, protože opravuje chyby webového prohlížeče Safari, SIM card bug, který při správném zasunutí a vysunutí SIM karty zpřístupnil hovory a kontakty bez znalosti bezpečnostního kódu, a další. (http://support.apple.com/kb/HT5192)
Ruská společnost Kaspersky analyzuje Duqu. Zdá se, že je napsán v neznámém programovacím jazyce. Červ Duqu (jméno podle předpony „DQ“) byl poprvé zaznamenán v září 2011. Od té doby se bezpečnostní odborníci snaží porozumět jeho fungovaní. Ze studií firmy Symantec vyplývá, že Duqu je nástupce vysoce sofistikovaného červa Stuxnet (studie níže). Specialisté Kaspersky provedli další analýzu a objevili části kódu, které určitě nejsou napsané v C++, jako zbytek projektu. Vzhledem k rozsáhlosti celého frameworku se experti domnívají, že na jeho vývoji spolupracovalo několik týmů.
Na konci analýzy žádají odbornou veřejnost o pomoc při rozpoznávání jazyka a rozvíjí se slibná diskuze. Padají návrhy jako Simple Object Orientation pro C (SOO), protože projekt je kompletně objektově orientovaný. Diskuzi můžete sledovat pod článkem na webu securelist.com.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Diskuse ke článku CDR SecUpdate za 10. týden – Flash Player, Chrome a mobilní bezpečnost