CDR SecUpdate za 20. týden – Google Chrome 19, krádež historie prohlížeče a nová verze trojana Zeus
Obsahem bezpečnostního bulletinu s titulkem Týden 20 budou zejména internetové prohlížeče. Google vydal novou verzi Chrome 19, která opravuje dvacetjedna zranitelností, nezapomeňte aktualizovat.
Na internetu se objevily dva nové nástroje k zisku historie prohlížeče od francouzského vývojáře DarkCoderSC. Webům může hrozit nebezpečí z útoků odepření služby vydáním nového nástroje HULK DDoS Tool. Čtěte sekci Novinky níže v článku. Nakonec se podíváme na nebezpečí, které hrozí uživatelům světových služeb jako Google a Facebook. Čtěte Události.
Chyby v softwaru
Chrome – četné zranitelnosti
Týká se verzí: nižší, než Chrome 19
Společnost Google vydala novou verzi svého prohlížeče – Chrome 19. Zbavuje tak svého prohlížeče více než 20 zranitelností obsahujících 8 s vysokým rizikem. Za upozornění na zranitelnosti zaplatil Google objevitelům $7,500. Toto je relativně velký patch v porovnání s aktualizacemi, které Google vydal v poslední době, doporučujeme aktualizaci.
Mezi zranitelnosti patří tradiční use-after-free a také out-of-bounds zápis související s PDF.
Novinky
Hulk DDoS Tool
Světové a české weby možná čeká nový typ útoků odepření služby (DoS). Na internetu se objevil nový nástroj z dílny bezpečnostního profesionála Barryho Shteimana s přiléhavým názvem HULK DDoS Tool. HULK (http Unbearable Load King) se trochu liší od podobných nástrojů hlavně tím, že jednoduše nesejme server obřím objemem TCP SYN požadavků a podobných, lehce předvídatelných paketů. Místo toho HULK vygeneruje určitý počet unikátních požadavků, u kterých nelze jednoduše odhadnout systém a vyfiltrovat je. Obrana proti množství unikátních paketů pak může být mnohem složitější. (Z osobní zkušenosti můžu konstatovat, že většině českých webů to může být jedno, protože se neubrání ani klasickému DoS útoku.)
"Pomocí Python enginů jsem napsal skript, který generuje šikovně vytvořené http požadavky jeden za druhým a generuje tak slušnou zátěž na webserver, kterému eventuálně dojdou prostředky. […] Hlavní koncept nástroje HULK je generování unikátních požadavků a tedy vyhnutí se vyrovnávacích enginů. To bude mít vliv přímo na zátěž serveru," komentuje nástroj jeho vývojář.
Více informací naleznete na webu Sectorix.com.
Orion Browser history dumper v1.0
Francouzský kodér DarkCoderSC na další softwarovou novinku nenechal dlouho čekat. Jeho nový forenzní program dokáže získat historii z většiny populárních prohlížečů včetně Internet Exploreru, Firefoxu, Chrome, Opery a dalších. Stačí jen zadat na cílovém systému jméno výsledného výstupu a nechat program pracovat.
Program pracuje v řádkovém rozhraní, na rozdíl od BFT, viz níže. Více informací o tomto nástroji naleznete na webu projektu.
Browser Forensic Tool v2.0
Před týdnem vydal stejný vývojář velmi podobný nástroj s plnohodnotným grafickým rozhraním. Během několika sekund dokáže program nalézt hesla uložená v nejpoužívanějších prohlížečích.
BFT dokáže dokonce hledat na základě zadaných klíčových slov řetězce v historii procházení. Více informací můžete najít na oficiálním webu projektu.
Události
Nová varianta viru Zeus P2P cílí na populární weby
Uživatelé Hotmailu, Facebooku, Googlu a Yahoo by si měli dávat pozor na nebezpečné nabídky nových možností plateb kreditními kartami.
Dříve tento týden ohlásil Amit Klein (CTO Trusteeru) nález nové peer-to-peer varianty trojského koně Zeus, který využívá důvěrných vztahů a známých značek k přesvědčování uživatelů k registraci k bezpečnějším transakcím kreditní kartou. Na každém webů je útok prováděn trochu jinak.
V útoku, který využívá popularity Facebooku, žádají útočníci citlivé údaje ohledně kreditní karty a slibují finanční výhody.
V útoku proti Google Mailu, Hotmailu a Yahoo nabízí Zeus nové způsoby autentikace do služby 3D Secure. Útočníci si dokonce propůjčili logo Verified by Visa and MasterCard SecureCode.
Celý článek si můžete přečíst na webu Trusteer.com.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.