<
1
2
3
4
5
6
7
8
9
10
>
>>
>|
26.08.2009 avast! Home/Professional, Navýšení oprávnění
Byla nalezena zranitelnost v antivirovém software avast! ve verzích Home i Professional, která může být zneužita lokálními uživateli k získání vyšších oprávnění. Zranitelnost je zaviněna chybou v ovladači „aswMon“ při zpracování IOCTL (Input-Output control), což může být zneužito ke spuštění libovolného kódu pomocí speciálně vytvořeného IOCTL. Zranitelnost byla ohlášena ve verzi 4.8.1335, ostatní verze mohou chybu obsahovat taktéž. Více informací naleznete na serveru Secunia.com. -jbl-
23.08.2009 Top 500 najhorších hesiel všetkých čias
Od samého začiatku, od kedy sa začali používať heslá vôbec, ľudia hneď zistili, že mnoho z nich používa úplne tie isté heslá stále znova a znova, a dokonca ešte aj s rovnakými pravopisnými chybami. Ľudia sú takí predvídateľní, že hackeri zostavili zoznam najbežnejšie používaných hesiel a začali ho využívať k svojej "práci". Na demonštráciu ľudskej predvídateľnosti nám poslúži nasledujúci zoznam 500 najčastejších hesiel. Keď sa heslo, ktoré momentálne používate objavilo na tomto zozname, prosím, zmeňte si ho čo najskôr. Majte totiž na pamäti, že každé heslo uvedené na zozname, už používajú stovky, ak nie tisíce iných ľudí. Samozrejme, nachádzajú sa tam aj zaujímavé heslá, ktoré nám ukazujú ako sa človek snaží byť chytrý, ale aj ľudská múdrosť je predvídateľná. Ako príklad uvádzam pár týchto "chytrých" hesiel:
ncc1701 - Číslo vesmírnej loďe Starship Enterprise (Star Trek)
thx1138 - Meno prvého filmu režírovaného Georgeom Lucasom, 1971 - remake jeho predošlého študentského projektu
qazwsx - Jednoduchý vzorec napísaný na typickej klávesnici
666666 - Šesť šestiek
7777777 - Sedem sedmičiek
ou812 - Názov albumu od skupiny Van Halen (1988)
8675309 - Číslo zmienené v pesničke od Tommyho Tutonea (1982). Táto pieseň má údajne na svedomí tisíce a tisíce volaní nejakej "Jenny", ktorej číslo je 867-5309
"...Približne jeden človek z deviatich používa aspoň jedno z hesiel uvedených v tejto tabulke 500 najčastejších hesiel. A jeden z každých 50 ľudí používa heslo z top 20 najhorsích hesiel všetkých dôb..." -dra-
22.08.2009 Padělání důkazů založených na DNA
Noviny NY Times oznámily, že vědci nalezli způsob, jak uměle vytvořit padělky krve a slin obsahující DNA osoby jiné něž byl dárce, nebo dokonce vytvořit vzorek DNA jen za přístupu k DNA profilu této osoby v databázi. Tato skutečnost podrývá věrohodnost metody, která byla považována za nezvratný, mnohdy rozhodující důkaz v mnoha případech posledních let. Vzorky mohou být vyrobeny dvěma způsoby. První vyžaduje pravý, i kdyby nepatrný vzorek DNA například z vlasu. Ten je pak “zesílen„ a je z něj vyrobeno větší množství DNA za použití tzv. Celogenomové amplifikace. Druhá metoda pak závisí na DNA profilech, uložených v databázích např. policie ve formě sérií čísel a písmen odpovídajících variacím 13ti bodů v lidském genomu. Vědci naklonovali malé úseky reprezentující běžné varianty každého takového bodu. K přípravě falešné DNA jim nyní tedy stačí jen smíchat příslušné kousky dohromady. DNA je přitom mnohem jednodušší umístit na místo činu než otisky prstů.
Podle nových zpráv serveru Slashdot.org jistá skupina Izraelských vědců přišla na způsob jak odlišit pravé a padělané vzorky DNA. Otázkou však zůstává zdali nebylo podobných podvodů užito již dříve. Více informací naleznete zde a v navazujícím článku zde. -jbl-
22.08.2009 Chyby postihujúce Pidgin a iné IM klienty
Užívatelia Pidgin a iných alternatívnych IM klientov by si mali v dôsledku odhalenia veľmi závažných bezpečnostných chýb, neodkladne update-ovať tento software. Tieto zraniteľnosti v Pidgin, Finch, Adium, Meebo a Gaim priamo vychádzajú z chýb v Libpurple, programátorskej knižnice, ktorá umožňuje multi-protokolové pripojenie, ktoré využíva vačšina IM klientov. Tieto chyby sa nachádzajú v programovej funkcii, ktorá zabezpečuje prijímanie/odosielanie správ z MSN siete. Za daným objavom stojí CORE Security a bližšie informácie nájdete tu. Riešenie pre tento problém je update verzie Libpurple (verzia 2.5.9 a novšia). Pre Pidgin je lepší celý update na 2.5.9, ako je vysvetlené tu. -dra-
12.08.2009 Zranitelnost nejpoužívanějších prohlížečů
První zmínka o zranitelnosti v prohlížeči Mozilla byla oznámena společností Microsoft na začátku června. Následně byla chyba zjištěna i u prohlížečů Chrome, Opera, Safari a Internet Explorer. Jedná se o chybu, která umožňuje útočníkovi pozměnit spojení bez vědomí uživatele - tzv. man-in-the-middle útok. Více podrobností na stránkách h-online.com. -jba-
10.08.2009 Nedostatky v XML ohrožují obrovské množství aplikací
Byly zjistěny kritické chyby v open-source softwaru implementujícím tzv. Extensible Markup Language (XML) v obrovském množství aplikací, mnohdy používanými bankami, internetovými obchody a spotřebiteli samotnými. Chyby objevené výzkumníky finského Codenomiconu se objevují prakticky v každé dostupné open-source XML knihovně. Některé mohou dokonce dovolovat spuštění libovolného kódu ze strany útočníka. Více informací naleznete zde. -jbl-
06.08.2009 Apple opravuje chyby v Mac, ktorých hlavným spúšťačom sú súbory s obrázkom
V stredu 05. 08. 2008, spoločnosť Apple vydala patche, ktoré opravia 18 bezpečnostných dier v operačnom systéme Mac OS X. Zneužitie až siedmych z nich totiž umožní útočníkom nadiaľku prevziať úplnu kontrolu nad strojom, pričom ničnetušiaci užívateľ nemusí urobiť nič viac, ako len zobraziť takto "špeciálne upravený" obrázok. Za piatimi z "obrázkových" chýb stoja diery v Mac aplikácii ImageIO Framework a ďalšie dve má na svedomí ColorSync a jeho komponent, známy ako ImageRAW. Dané zraniteľnosti vytvárajú ideálne podmienky pre útočníkov, ktorí pomocou takto "prerobených" PNG, OpenEXR a RAW súborov nadiaľku spustia zákerne upravený kód. Ďalšie záplaty opravujú zraniteľnosti v OS X kernel, prihlasovacom okne a ostatných častiach operačného systému, ktorých zneužitie ma taktiež za následok spustenie ľubovoľne upraveného kódu. Posledná z chýb sa nachádza v komponente známom ako XQuery, ktorý obsahuje škodný kód a následne ho implementuje do dát, založných na XML štandardoch. Pred podobnou zraniteľnosťou v open-source XML knižniciach, ktorá postihuje enormné množstvo aplikácii, varovali fínsky výskumíci už minulú stredu, ale ešte dnes nie je jasné, či sú tieto chyby nejako prepojené. Opravné záplaty, ktoré prichádzajú ako časť OS X 10.5.8, tiež riešia chyby a problémy v MobileMe. Viac podrobností, ako aj konkrétne popisy a riešenia už však nájdete priamo na stránkach výrobcu -dra-
05.08.2009 Patche pro Mozilla Firefox, zranitelnosti Thunderbird, SeaMonkey a NSS
Mozilla vydala opravné patche pro Firefox, které opravují čtyři kritické chyby, včetně jedné odhalené minulý týden, která útočníkům umožňovala vytvoření univerzálního certifikátu, díky kterému Firefox ověřil veškeré webové stránky a nevyždoval po uživateli potvrzení bezpečnostního certifikátu. Jeden z výzkumníků, kteří zranitelnost objevili, Moxie Marlinspike uvádí, že většina softwaru, která používá SSL je také zranitelná, takže můžeme očekávat další patche. Zranitelnosti byly opraveny ve verzích 3.5 a 3.0.13, zranitelné jsou i další produkty Mozilly - Thunderbird, SeaMonkey a NSS. Pro ně se patche připravují. Vice informací naleznete na webu TheRegister.co.uk, případně na webu Mozilla.com. -jdo-
05.08.2009 Zranitelnosti Cisco IOS
Cisco vydalo opravn0 patche na dvě DoS zranitelnosti Cisco IOS. Napadnutelné jsou pouze verze které používají podporou RFC4893 ("BGP Support for Four-octet AS Number Space"). Více informací naleznete v oznámení výrobce. -jdo-
04.08.2009 Zranitelnost Apple iPhone OS
Byla potvrzena zranitelnost Apple iPhone OS 1.0 až 3.0, která umožňuje útočníkovi spustit v telefonu libovolný kod pomocí odeslání upravené SMS zprávy. Chyba je opravena ve verzi 3.0.1. Více informací naleznete na stránkách Apple.com, nebo v původním oznámení zranitelnosti. -jdo-
<<< novější starší >>>
26.08.2009 avast! Home/Professional, Navýšení oprávnění
Byla nalezena zranitelnost v antivirovém software avast! ve verzích Home i Professional, která může být zneužita lokálními uživateli k získání vyšších oprávnění. Zranitelnost je zaviněna chybou v ovladači „aswMon“ při zpracování IOCTL (Input-Output control), což může být zneužito ke spuštění libovolného kódu pomocí speciálně vytvořeného IOCTL. Zranitelnost byla ohlášena ve verzi 4.8.1335, ostatní verze mohou chybu obsahovat taktéž. Více informací naleznete na serveru Secunia.com. -jbl-
23.08.2009 Top 500 najhorších hesiel všetkých čias
Od samého začiatku, od kedy sa začali používať heslá vôbec, ľudia hneď zistili, že mnoho z nich používa úplne tie isté heslá stále znova a znova, a dokonca ešte aj s rovnakými pravopisnými chybami. Ľudia sú takí predvídateľní, že hackeri zostavili zoznam najbežnejšie používaných hesiel a začali ho využívať k svojej "práci". Na demonštráciu ľudskej predvídateľnosti nám poslúži nasledujúci zoznam 500 najčastejších hesiel. Keď sa heslo, ktoré momentálne používate objavilo na tomto zozname, prosím, zmeňte si ho čo najskôr. Majte totiž na pamäti, že každé heslo uvedené na zozname, už používajú stovky, ak nie tisíce iných ľudí. Samozrejme, nachádzajú sa tam aj zaujímavé heslá, ktoré nám ukazujú ako sa človek snaží byť chytrý, ale aj ľudská múdrosť je predvídateľná. Ako príklad uvádzam pár týchto "chytrých" hesiel:
ncc1701 - Číslo vesmírnej loďe Starship Enterprise (Star Trek)
thx1138 - Meno prvého filmu režírovaného Georgeom Lucasom, 1971 - remake jeho predošlého študentského projektu
qazwsx - Jednoduchý vzorec napísaný na typickej klávesnici
666666 - Šesť šestiek
7777777 - Sedem sedmičiek
ou812 - Názov albumu od skupiny Van Halen (1988)
8675309 - Číslo zmienené v pesničke od Tommyho Tutonea (1982). Táto pieseň má údajne na svedomí tisíce a tisíce volaní nejakej "Jenny", ktorej číslo je 867-5309
"...Približne jeden človek z deviatich používa aspoň jedno z hesiel uvedených v tejto tabulke 500 najčastejších hesiel. A jeden z každých 50 ľudí používa heslo z top 20 najhorsích hesiel všetkých dôb..." -dra-
22.08.2009 Padělání důkazů založených na DNA
Noviny NY Times oznámily, že vědci nalezli způsob, jak uměle vytvořit padělky krve a slin obsahující DNA osoby jiné něž byl dárce, nebo dokonce vytvořit vzorek DNA jen za přístupu k DNA profilu této osoby v databázi. Tato skutečnost podrývá věrohodnost metody, která byla považována za nezvratný, mnohdy rozhodující důkaz v mnoha případech posledních let. Vzorky mohou být vyrobeny dvěma způsoby. První vyžaduje pravý, i kdyby nepatrný vzorek DNA například z vlasu. Ten je pak “zesílen„ a je z něj vyrobeno větší množství DNA za použití tzv. Celogenomové amplifikace. Druhá metoda pak závisí na DNA profilech, uložených v databázích např. policie ve formě sérií čísel a písmen odpovídajících variacím 13ti bodů v lidském genomu. Vědci naklonovali malé úseky reprezentující běžné varianty každého takového bodu. K přípravě falešné DNA jim nyní tedy stačí jen smíchat příslušné kousky dohromady. DNA je přitom mnohem jednodušší umístit na místo činu než otisky prstů.
Podle nových zpráv serveru Slashdot.org jistá skupina Izraelských vědců přišla na způsob jak odlišit pravé a padělané vzorky DNA. Otázkou však zůstává zdali nebylo podobných podvodů užito již dříve. Více informací naleznete zde a v navazujícím článku zde. -jbl-
22.08.2009 Chyby postihujúce Pidgin a iné IM klienty
Užívatelia Pidgin a iných alternatívnych IM klientov by si mali v dôsledku odhalenia veľmi závažných bezpečnostných chýb, neodkladne update-ovať tento software. Tieto zraniteľnosti v Pidgin, Finch, Adium, Meebo a Gaim priamo vychádzajú z chýb v Libpurple, programátorskej knižnice, ktorá umožňuje multi-protokolové pripojenie, ktoré využíva vačšina IM klientov. Tieto chyby sa nachádzajú v programovej funkcii, ktorá zabezpečuje prijímanie/odosielanie správ z MSN siete. Za daným objavom stojí CORE Security a bližšie informácie nájdete tu. Riešenie pre tento problém je update verzie Libpurple (verzia 2.5.9 a novšia). Pre Pidgin je lepší celý update na 2.5.9, ako je vysvetlené tu. -dra-
12.08.2009 Zranitelnost nejpoužívanějších prohlížečů
První zmínka o zranitelnosti v prohlížeči Mozilla byla oznámena společností Microsoft na začátku června. Následně byla chyba zjištěna i u prohlížečů Chrome, Opera, Safari a Internet Explorer. Jedná se o chybu, která umožňuje útočníkovi pozměnit spojení bez vědomí uživatele - tzv. man-in-the-middle útok. Více podrobností na stránkách h-online.com. -jba-
10.08.2009 Nedostatky v XML ohrožují obrovské množství aplikací
Byly zjistěny kritické chyby v open-source softwaru implementujícím tzv. Extensible Markup Language (XML) v obrovském množství aplikací, mnohdy používanými bankami, internetovými obchody a spotřebiteli samotnými. Chyby objevené výzkumníky finského Codenomiconu se objevují prakticky v každé dostupné open-source XML knihovně. Některé mohou dokonce dovolovat spuštění libovolného kódu ze strany útočníka. Více informací naleznete zde. -jbl-
06.08.2009 Apple opravuje chyby v Mac, ktorých hlavným spúšťačom sú súbory s obrázkom
V stredu 05. 08. 2008, spoločnosť Apple vydala patche, ktoré opravia 18 bezpečnostných dier v operačnom systéme Mac OS X. Zneužitie až siedmych z nich totiž umožní útočníkom nadiaľku prevziať úplnu kontrolu nad strojom, pričom ničnetušiaci užívateľ nemusí urobiť nič viac, ako len zobraziť takto "špeciálne upravený" obrázok. Za piatimi z "obrázkových" chýb stoja diery v Mac aplikácii ImageIO Framework a ďalšie dve má na svedomí ColorSync a jeho komponent, známy ako ImageRAW. Dané zraniteľnosti vytvárajú ideálne podmienky pre útočníkov, ktorí pomocou takto "prerobených" PNG, OpenEXR a RAW súborov nadiaľku spustia zákerne upravený kód. Ďalšie záplaty opravujú zraniteľnosti v OS X kernel, prihlasovacom okne a ostatných častiach operačného systému, ktorých zneužitie ma taktiež za následok spustenie ľubovoľne upraveného kódu. Posledná z chýb sa nachádza v komponente známom ako XQuery, ktorý obsahuje škodný kód a následne ho implementuje do dát, založných na XML štandardoch. Pred podobnou zraniteľnosťou v open-source XML knižniciach, ktorá postihuje enormné množstvo aplikácii, varovali fínsky výskumíci už minulú stredu, ale ešte dnes nie je jasné, či sú tieto chyby nejako prepojené. Opravné záplaty, ktoré prichádzajú ako časť OS X 10.5.8, tiež riešia chyby a problémy v MobileMe. Viac podrobností, ako aj konkrétne popisy a riešenia už však nájdete priamo na stránkach výrobcu -dra-
05.08.2009 Patche pro Mozilla Firefox, zranitelnosti Thunderbird, SeaMonkey a NSS
Mozilla vydala opravné patche pro Firefox, které opravují čtyři kritické chyby, včetně jedné odhalené minulý týden, která útočníkům umožňovala vytvoření univerzálního certifikátu, díky kterému Firefox ověřil veškeré webové stránky a nevyždoval po uživateli potvrzení bezpečnostního certifikátu. Jeden z výzkumníků, kteří zranitelnost objevili, Moxie Marlinspike uvádí, že většina softwaru, která používá SSL je také zranitelná, takže můžeme očekávat další patche. Zranitelnosti byly opraveny ve verzích 3.5 a 3.0.13, zranitelné jsou i další produkty Mozilly - Thunderbird, SeaMonkey a NSS. Pro ně se patche připravují. Vice informací naleznete na webu TheRegister.co.uk, případně na webu Mozilla.com. -jdo-
05.08.2009 Zranitelnosti Cisco IOS
Cisco vydalo opravn0 patche na dvě DoS zranitelnosti Cisco IOS. Napadnutelné jsou pouze verze které používají podporou RFC4893 ("BGP Support for Four-octet AS Number Space"). Více informací naleznete v oznámení výrobce. -jdo-
04.08.2009 Zranitelnost Apple iPhone OS
Byla potvrzena zranitelnost Apple iPhone OS 1.0 až 3.0, která umožňuje útočníkovi spustit v telefonu libovolný kod pomocí odeslání upravené SMS zprávy. Chyba je opravena ve verzi 3.0.1. Více informací naleznete na stránkách Apple.com, nebo v původním oznámení zranitelnosti. -jdo-
<<< novější starší >>>
