Vítejte u dalšího dílu CDR Security Update, dnes zakončujeme rok běhu tohoto týdeníku pořadovým číslem 7. V úvodu se podíváme na novinky ohledně zranitelností v Adobe Flash, čtěte Chyby v softwaru. Facebook dostal "ránu Javou" od neznámých útočníků, stopy vedou do Číny. Na novém iOS 6.1 je možné obejít heslo pro uzamčení telefonu a dostat se k citlivým datům, více se dozvíte v Událostech níže v článku.

Chyby v softwaru

Chyby nultého dne v Adobe Flash

Týká se verzí: Adobe Flash 11.5.502.146 na Windows a OS X, ostatní platformy viz zde

Minulý týden byly na programu dvě chyby nultého dne v Adobe Flash. Firma Adobe zareagovala vydáním aktualizace a první nebezpečí mohlo být zažehnáno. Pokud ještě nemáte novou 11.6.602, aktualizujte co nejdříve.

Analýzy z poslední doby odhalují rafinovanost exploitu (kódu zneužívající díru) použitého pro tyto chyby. Exploit funguje perfektně na Windows 7 a dokáže bezproblému obejít ASLR i DEP. I když je použitá technika typická pro nabourávání Flash Playeru, není na něj limitována a lze ji zneužít i jinde. Další technické detaily popisuje zajímavě Haifei Li v dokumentu "Sestřelujeme haldu vektorem" [PDF].

Nejspíš se tedy s něčím podobným setkáme v budoucnu, uvidíme, jak se situací zahýbá plánovaná funkcionalita MS Office nižší než 2010, která donutí program dotázat se uživatele před spuštěním SWF obsahu.

Další čtivo o zranitelnostech v Adobe Flash:

• Kasperskyho Securelist: Používá HackingTeam 0-days od Vupenu?

• KrebsOnSecurity na téma Adobe Flash zranitelnosti

• AlienVault: Adobe aktualizuje dvě zranitelnosti zneužívané na internetu

Události

Java se nevyhnula ani Facebooku - schytal to zaměstnanecký počítač

Podle všeho minulý měsíc neznámý útočník infikoval několik počítačů zaměstnanců největší sociální sítě. Vyšetřování ukazuje, že pravděpodobně využil v té době neaktualizované díry v Javě. Oficiální vyjádření ujišťuje uživatele, že jejich data nebyla kompromitována.

Tento problém ukazuje, že ani bezpečnostně velmi vyspělé společnosti jakou Facebook bez pochyby je, zůstávají poměrně bezmocné v případě zranitelností nultého dne, kdy neexistuje patch na nebezpečnou díru do systému. Taková situace může nechat stranou všechny bezpečnostní politiky týkající se aktualizací a obvykle vyřadí ze hry i sofistikovaný obranný software. Jediná cesta k úspěchu je potom schopnost předvídat.

Obcházíme heslo na iOS 6.1

Na internetu se objevil dokumentovaný postup, podle kterého lze úspěšně obejít heslo na nejnovějším Apple mobilním operačním systému iOS 6.1. Rafinovanou kombinací stisků kláves a tlačítek lze během několika sekund zpřístupnit adresář, hlasovou zprávu a fotografie v telefonu. Pro útočníka tak není problém z napadeného iPhonu provádět telefonáty a editovat kontakty.

Postup zveřejnil uživatel videosdebarraquito na YouTube. Podle demonstrace, která je volně dostupná, zahrnuje celá akce několikanásobné stisknutí power/sleep tlačítka a také využití možnosti tísňového volání bez nutnosti odemknout telefon. Podle všeho ale není nutné pro "hack" nového iOS 6.1 přímo volat na krizovou linku :-), postačíte si s potvrzením čísla a okamžitým zavěšením.

Možná si vzpomínáte na bug, který obsahoval iOS 5.1, umožňující podobné prolomení ochrany heslem. Psali jsme o něm minulý rok v desátém díle. Tenkrát se jednalo o chybu spojenou s nestandardním vysunováním SIM karty. Apple si tedy celé faux pas svého jinak poměrně bezpečného systému zopakoval přesně o jednu úroveň systému později.

Završen rok CDR Security Update - jak se povedl?

Dnešní díl ukončuje první rok "provozu" CDR Security Update. Bezpečnostní týdeník získal věrné čtenáře, se kterými často komunikujeme v diskuzích. Statistiky ukazují, že si díly udržují velmi nadprůměrný čas pobytu čtenářů, který několikrát přesáhl v průměru 10 minut. Z toho usuzuji, že moje práce má smysl a osvěta v oblasti IT bezpečnosti zde přistála na úrodné půdě. Rád bych vám za přízeň poděkoval a věřím, že rok následující bude ještě úspěšnější!

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Výše zmiňované chyby nultého dne v Adobe Flash

• Autentizace pomocí hardwarového klíče a bez hesla - budoucnost Google?

• Autoři speciálního malwaru Gozi dopadeni

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace