CDR SecUpdate za 13. týden – Google Chrome, Flash Player a Facebook reklamy
Týden 13 je za námi, je tedy čas na rekapitulaci událostí, které nám přinesl. Z oblasti zranitelností jsme zaznamenali problémy s Operou a Adobe Flash Player. Google Chrome se dočkal verze 18 a tato aktualizace opravuje 3 kritické zranitelnosti. Chrome s námi zůstane i v Novinkách, podíváme se na jeho problémové rozšíření, které napadá Facebook účet. Do Událostí zůstaneme na Facebooku a zhodnotíme bezpečnostní video varující před nebezpečným obsahem a nakonec zaskočíme do Británie, kde mají problémy s bezkontaktními kreditními kartami.
Objevené chyby v softwaru
Opera – Malá okna a překrývání obsahu
Týká se verzí: nižší, než Opera 11.61
Když je zobrazen stahovací dialog, měl by být vždy pro uživatele viditelný. Pokud je tento dialog zobrazen v dostatečně malém okně, uživatel nemusí zjistit, že tam je a pokud stiskne určitou sekvenci kláves, může dojít ke spuštění stahovaného souboru.
Dialogy, jako je stahovací dialog, jsou většinou zobrazeny nahoře na stránce – tím je zajištěno, že uživatel o dialogu ví. V některých případech nebyla politika v Opeře dostatečně dobře implementována, což umožňuje určitému obsahu překrýt dialog. Tehdy by kliknutí na obsah stránky bylo místo toho klinutí na dialog. Útočník by tak mohl donutit uživatele k nebezpečným činnostem jako je spuštění binárního souboru.
Nejnovější update Opery opravuje ještě další tři zranitelnosti s nižší prioritou.
Adobe Flash Player – kritické zranitelnosti
Týká se verzí: nižší, než 11.2.202.228
Update na nejvyšší verzi opravuje kritické zranitelnosti v Adobe Flash Player 11.1.102.63. Tyto zranitelnosti mohou způsobit pád a potenciálně umožnit útočníkovi převzít kontrolu nad systémem.
Google Chrome – patch devíti zranitelností na verzi 18
Týká se verzí: nižší, než Chrome 18
Google vydal po týdnu novou verzi svého prohlížeče Chrome. 28. 3. 2012 pustil tuto verzi do kanálu Stable (stabilní) a umožnil tak upgrade uživatelských verzí na verzi 18. Nová verze opravuje devět zranitelností včetně tří s vysokou prioritou. Atte Kettunen objevil v pořadí další zranitelnost typu use-after-free (viz naše minulé SecUpdaty) a dostal odměnu $1000.
Nejnovější verze obsahuje také aktualizovanou verzi Flash Playeru, který umožňuje aktualizace na pozadí, bez interakce uživatele.
Novinky
Chrome rozšíření nabourává profily Facebooku
Kaspersky objevil rozšíření Google Chrome, které předstírá, že je instalační balíček Flash Playeru a přitom stahuje trojského koně, který píše do profilu oběti a automaticky dává "To se mi líbí" na určitých Facebook stránkách. Dále posílá přátelům oběti odkazy na stažení stejného trojského koně. Automatické "To se mi líbí" je součástí výdělku kyberkriminálníků, kteří si nechávají platit od zájemců o zviditelnění na Facebooku pomocí "lajků".
Google stahuje malware pryč z obchodu stejně rychle, jako do něj kriminálníci přidávají další varianty havěti. Výzkumník Fabio Assolini doporučuje: "Buďte opatrní při používání Facebooku. A dvakrát se zamyslete, než stáhnete rozšíření Google Chrome."
Události
Facebook varuje uživatele před Adwarem
Facebook vydal ve čtvrtek video pro stovky miliónů svých uživatelů ohledně nebezpečí adware programů, která lákají uživatele a slibují nové vymoženosti Facebooku. Za účelem zvýšení bezpečnosti uživatelů vydala Facebook Security Group video, které popisuje praktiky některých firem, jako je přesvědčování uživatelů k instalaci add-onů, které zaplní Facebook účet reklamou. Video také obsahuje postupy pro odstranění adwaru přes vypínání pluginů, toolbarů a add-onů prohlížeče.
Facebook dále vydal seznam programů obsahujících adware. Objevují se zde poměrně známá jména jako Facetheme.com, Pagerage.com a Pagemood.com.
Upravený telefon přečte informace o kreditní kartě z peněženky
Mobilní telefon se speciálním softwarem dokáže přečíst na dálku informace z bezkontaktních karet Barclays Visa i Lloyds Visa a bankovní experti se domnívají, že lze přečíst všechny bezkontaktní Visa karty. Software dokáže získat z karty celé jméno, číslo a datum expirace. Možná si říkáte, že je to málo, ale pokusy Channel 4 News ukázaly, že kupříkladu Amazonu na provedení objednávky tyto informace stačí.
Konkrétně v Británii je kolem 19 miliónů bezkontaktních karet a počet účtů u Barclays dosahuje hodnoty 13 miliónů. Je všeobecně známé, že se data přenášejí z karty nešifrovaná, ale samotná by neměla být použitelná bez čísla CVV na druhé straně karty. "Pokud jsou dodržovány dostatečné úrovně zabezpečení během platby, nemělo by být možné transakcí zneužívat. Budeme pokračovat v práci s vydavateli karet a s obchodními subjekty, abychom zajistili zákazníkům potřebnou úroveň zabezpečení proti podvodům," řekl mluvčí.
Na internetu však existují stovky webů, které nepožadují troj-číselné CVV k průběhu transakce. Tyto weby jsou právě využívány podvodníky, kteří zneužívají nedostatečnosti bezpečnostních politik.
Držitelé karet, kteří se bojí o své finance, mohou zakoupit speciální peněženky, které tuto techniku prakticky znemožňují.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Diskuse ke článku CDR SecUpdate za 13. týden – Google Chrome, Flash Player a Facebook reklamy