<
1
2
3
4
5
6
7
8
9
10
>
>>
>|
26.10.2009 Audio i video VoIP hovory napíchnuty v reálném čase
Na hackerské konferenci Toorcon byly předvedeny nové funkce Open-source aplikace UCSniff tool umožňující odposlech voice-over-internet-protocol hovorů prováděných pomocí populárních aplikací pro iPhone. Už více než rok UCSniff tool poskytuje vše co jen hacker potřebuje k odposlechu takových hovorů, ale dodnes se jednalo o sestavení těchto rozhovorů až po jejich ukončení. Stejným způsobem mohou být zachyceny i video hovory. S nástupem iPhonu a jiných smartphonů velké množství lidí přešlo na VoIP technologie umožňující spojení prakticky zdarma pomocí datového připojení telefonu. Problém je ten, že mnoho aplikací, které toto umožňují nepodporuje jakékoli šifrování. Bez pochyb odposlech VoIP hovorů existuje stejně dlouho jako samotná technologie VoIP, UCSniff jen tuto práci značně ulehčuje. Podle vývojáře Jasona Ostroma se jedná o nástroj ulehčující testování zabezpečení sítí a pomáhající poskytovatelům bezpečnostních řešení držet krok s dobou. Více informací naleznete v článku na serveru The Register. -jbl-
21.10.2009 Oracle Critical Patch Update říjen 2009
Společnost Oracle vydala balík bezpečnostních záplat pro celkem 21 produktů. Kromě databáze se záplatují aplikační server, WebLogic, JRockit, E-Business Suite, AutoVue, Agile EDM, produkty PeopleSoft/JDE a Oracle Communications Order and Service Management. Bližší informace naleznete v původním oznámení výrobce. -mho-
14.10.2009 Microsoft uvolnil říjnové bezpečnostní záplaty
Pravidelná nadílka bezpečnostních záplat společnosti Microsoft vydávaná až na malé výjimky každé druhé úterý v měsíci přinesla celkem třináct kousků. Osm je označeno jako kritické, zbývající jsou důležité. 10 opravovaných zranitelností umožňuje vzdálené vykonání kódu. Seznam opravovaných produktů včetně bližších informací naleznete na stránkách Microsoftu. -mho-
11.10.2009 Adobe Reader/Acrobat, spuštění libovolného kódu
Byla nalezena kritická zranitelnost v Adobe Readeru i jeho placené verzi Adobe Acrobat, zneužitelná ke kompromitaci systému. Zranitelnost je zaviněna blíže nespecifikovanou chybou a v tuto chvíli je aktivně zneužívána. Ačkoli je chybu možné zneužít i tak, Adobe doporučuje blokovat používání JavaScriptu při prohlížení webu, udržovat databáze svého antivirového software aktuální. Proti zneužití jsou také chraněni uživatelé Windows Vista používající DEP (Data Execution Protection), což je systém ochrany proti spouštění kódu z paměti RAM. Adobe podle svého vyjádření plánuje chybu opravit při příležitosti vydání pravidelných záplat 13. října. Více na serveru Adobe.com. -jbl-
07.10.2009 Zveřejněn podvrh PayPal SSL klíče pro IE, Chrome, Safari
V pondělí byl hackery zveřejněn padělek SSL certifikátu pro PayPal, který využívá chyby v programovacím aplikaci CryptoAPI. Ta je využívána prohlížeči Internet Explorer, Google Chrome a Apple Safari pro Windows. Při použití falešného certifikátu všechny tři prohlížeče hlásí, že certifikát je v pořádku pro onĺine platby. V případě, kdy hackeři zkombinují zranitelnost v CryptoAPI s již déle dostupnou aplikací SSLSniff, je relativně snadné donutit prohlížeč zobrazit falešnou stránku bez jakýchkoliv varování, dokonce i když adresa začíná https. Mluvčí společnosti PayPal řekl, že bezpečnostní tým společnosti si je plně vědom zranitelnosti, a v součastnosti se snačí zajistit další zabezpečení, které by mohli nasadit. Zranitelnost byla zveřejněna v červenci na konferenci BlackHat, ale Microsoft ji zatím nepotvrdil, ani neopravil. Mluvčí softwarového giganta minulý týden známil, že jejich bezpečnostní tým ověruje možné zranitelnosti Windows, prezentované na BlackHatu, a společnost přijme potřebná bezpečnostní opatření aby ochránila své zákazníky. Více informací naleznete na webu TheRegister.co.uk. -jdo-
02.10.2009 Zranitelnost IE, Safari, Chrome
Devět týdnů poté, co hacker předvedl jak kopromitovat autentizační certifikát pro libovolnou webovou stránku, uživatelé Internet Exploreru a dalších aplikací zůstávají v ohrožení, protože Microsoft neopravil zranitelnost v rozhraní pro programování aplikací CryptoAPI. To způsobuje, že IE a další aplikace jsou závislé na kódu, který je možné obelstít falešnými SSL certifikáty. Chyba může způsobit to, že Google Chrome, Apple Safari pro Windows a Internet Explorer zobrazí podvodnou stránku bez jakéhokoliv varování. Naopak, v prohlížeči Firefox byla chyba odstraněna několik dní po zveřejnění zranitelnosti na konferenci BlackHat. V součastnosti není jisté, kdy bude zranitelnost opravena, Microsoft tvrdí, že prošetřuje zranitelnosti prezentované na BlackHatu, a jakmile skončí, přijme opatření nezbytná k ochraně svých zákazníků. -jdo-
29.09.2009 CuteFTP / Core FTP, Chyba ve zpracování popisku FTP serveru
Byla nalezena zranitelnost v programech CuteFTP a Core FTP. Ty totiž nedokáží zpracovat příliš dlouhé popisky u jednotlivých FTP serverů. Uživatel tak může například importovat seznam takových serverů, případně tento seznam obnovit ze zálohy a při pokusu připojit se na nějaký z nich zavinit přetečení paměti a umožnit tak spuštění libovolného kódu. Zranitelnost je potvrzena v CuteFTP ve verzi Home a Professional 8.3.3.0054 a Core FTP 2.1.1612. Více informací o zranitelnosti v CuteFTP naleznete zde a Core FTP zde. -jbl-
19.09.2009 PHP, několik zranitelností
V PHP bylo nalezeno větší množství zranitelností s dosud nespecifikovaným dopadem. Jedná se o chybu v ověřování certifikátů SSL, chybu ověření vstupu při práci s EXIF daty a jiné. Zranitelnosti byly ohlášeny ve verzích předcházejících 5.2.11. Více informací naleznete na PHP.net. -jbl-
17.09.2009 Zraniteľnosti v prehliadači Google Chrome a Opera
Podľa informačného serveru Secunia, vo webovom prehliadači Google Chrome boli objavené dve zraniteľnosti, ktoré môžu "pomôcť" potencionálnym útočníkmi obísť niektoré bezpečnostné nastavenia a spôsobiť tak útoky typu Cross-site scripting (XSS). Prvá chyba sa týka spracovania RSS a Atom feeds, ktorej zneužitie umožní útočníkom spustiť ľubovoľný HTML a taktiež skriptovací kód v prehliadači užívateľa. Druhá chyba zasa postihuje metódu "getSVGDocument", ktorej zneužitie umožní útočníkom obísť "Same-Origin-Policy" a taktiež spustiť ľubovoľný HTML a skriptovací kód v prehliadači. Podľa SecureThoughts.com, dané chyby taktiež postihujú aj internetový prehliadač Opera. Riešením daného problému je upgrade prehliadačov na najnovšiu verziu. Detailnejšie info o týchto chybách ako aj o riešení nájdete tu. -dra-
16.09.2009 Zraniteľnosť v Pidgin (Sun Solaris)
Spoločnosť Sun potvrdila informáciu o výskyte zraniteľnosti v Solaris, ktorá môže byť zneužitá na skompromitovanie celého zraniteľného systému. Keďže na konečnom riešení tohto problému sa ešte stále pracuje, k prevencii a zmierneniu následkov by mali zatiaľ prispieť opatrenia v podobe zmien nastavení ochrany v Pidgin, kde pre MSN účty ostanú povolené správy iba od užívateľov na aktuálnom zozname priateľov. Ďalšie info však už nájdete na stránkach výrobcu. -dra-
<<< novější starší >>>
26.10.2009 Audio i video VoIP hovory napíchnuty v reálném čase
Na hackerské konferenci Toorcon byly předvedeny nové funkce Open-source aplikace UCSniff tool umožňující odposlech voice-over-internet-protocol hovorů prováděných pomocí populárních aplikací pro iPhone. Už více než rok UCSniff tool poskytuje vše co jen hacker potřebuje k odposlechu takových hovorů, ale dodnes se jednalo o sestavení těchto rozhovorů až po jejich ukončení. Stejným způsobem mohou být zachyceny i video hovory. S nástupem iPhonu a jiných smartphonů velké množství lidí přešlo na VoIP technologie umožňující spojení prakticky zdarma pomocí datového připojení telefonu. Problém je ten, že mnoho aplikací, které toto umožňují nepodporuje jakékoli šifrování. Bez pochyb odposlech VoIP hovorů existuje stejně dlouho jako samotná technologie VoIP, UCSniff jen tuto práci značně ulehčuje. Podle vývojáře Jasona Ostroma se jedná o nástroj ulehčující testování zabezpečení sítí a pomáhající poskytovatelům bezpečnostních řešení držet krok s dobou. Více informací naleznete v článku na serveru The Register. -jbl-
21.10.2009 Oracle Critical Patch Update říjen 2009
Společnost Oracle vydala balík bezpečnostních záplat pro celkem 21 produktů. Kromě databáze se záplatují aplikační server, WebLogic, JRockit, E-Business Suite, AutoVue, Agile EDM, produkty PeopleSoft/JDE a Oracle Communications Order and Service Management. Bližší informace naleznete v původním oznámení výrobce. -mho-
14.10.2009 Microsoft uvolnil říjnové bezpečnostní záplaty
Pravidelná nadílka bezpečnostních záplat společnosti Microsoft vydávaná až na malé výjimky každé druhé úterý v měsíci přinesla celkem třináct kousků. Osm je označeno jako kritické, zbývající jsou důležité. 10 opravovaných zranitelností umožňuje vzdálené vykonání kódu. Seznam opravovaných produktů včetně bližších informací naleznete na stránkách Microsoftu. -mho-
11.10.2009 Adobe Reader/Acrobat, spuštění libovolného kódu
Byla nalezena kritická zranitelnost v Adobe Readeru i jeho placené verzi Adobe Acrobat, zneužitelná ke kompromitaci systému. Zranitelnost je zaviněna blíže nespecifikovanou chybou a v tuto chvíli je aktivně zneužívána. Ačkoli je chybu možné zneužít i tak, Adobe doporučuje blokovat používání JavaScriptu při prohlížení webu, udržovat databáze svého antivirového software aktuální. Proti zneužití jsou také chraněni uživatelé Windows Vista používající DEP (Data Execution Protection), což je systém ochrany proti spouštění kódu z paměti RAM. Adobe podle svého vyjádření plánuje chybu opravit při příležitosti vydání pravidelných záplat 13. října. Více na serveru Adobe.com. -jbl-
07.10.2009 Zveřejněn podvrh PayPal SSL klíče pro IE, Chrome, Safari
V pondělí byl hackery zveřejněn padělek SSL certifikátu pro PayPal, který využívá chyby v programovacím aplikaci CryptoAPI. Ta je využívána prohlížeči Internet Explorer, Google Chrome a Apple Safari pro Windows. Při použití falešného certifikátu všechny tři prohlížeče hlásí, že certifikát je v pořádku pro onĺine platby. V případě, kdy hackeři zkombinují zranitelnost v CryptoAPI s již déle dostupnou aplikací SSLSniff, je relativně snadné donutit prohlížeč zobrazit falešnou stránku bez jakýchkoliv varování, dokonce i když adresa začíná https. Mluvčí společnosti PayPal řekl, že bezpečnostní tým společnosti si je plně vědom zranitelnosti, a v součastnosti se snačí zajistit další zabezpečení, které by mohli nasadit. Zranitelnost byla zveřejněna v červenci na konferenci BlackHat, ale Microsoft ji zatím nepotvrdil, ani neopravil. Mluvčí softwarového giganta minulý týden známil, že jejich bezpečnostní tým ověruje možné zranitelnosti Windows, prezentované na BlackHatu, a společnost přijme potřebná bezpečnostní opatření aby ochránila své zákazníky. Více informací naleznete na webu TheRegister.co.uk. -jdo-
02.10.2009 Zranitelnost IE, Safari, Chrome
Devět týdnů poté, co hacker předvedl jak kopromitovat autentizační certifikát pro libovolnou webovou stránku, uživatelé Internet Exploreru a dalších aplikací zůstávají v ohrožení, protože Microsoft neopravil zranitelnost v rozhraní pro programování aplikací CryptoAPI. To způsobuje, že IE a další aplikace jsou závislé na kódu, který je možné obelstít falešnými SSL certifikáty. Chyba může způsobit to, že Google Chrome, Apple Safari pro Windows a Internet Explorer zobrazí podvodnou stránku bez jakéhokoliv varování. Naopak, v prohlížeči Firefox byla chyba odstraněna několik dní po zveřejnění zranitelnosti na konferenci BlackHat. V součastnosti není jisté, kdy bude zranitelnost opravena, Microsoft tvrdí, že prošetřuje zranitelnosti prezentované na BlackHatu, a jakmile skončí, přijme opatření nezbytná k ochraně svých zákazníků. -jdo-
29.09.2009 CuteFTP / Core FTP, Chyba ve zpracování popisku FTP serveru
Byla nalezena zranitelnost v programech CuteFTP a Core FTP. Ty totiž nedokáží zpracovat příliš dlouhé popisky u jednotlivých FTP serverů. Uživatel tak může například importovat seznam takových serverů, případně tento seznam obnovit ze zálohy a při pokusu připojit se na nějaký z nich zavinit přetečení paměti a umožnit tak spuštění libovolného kódu. Zranitelnost je potvrzena v CuteFTP ve verzi Home a Professional 8.3.3.0054 a Core FTP 2.1.1612. Více informací o zranitelnosti v CuteFTP naleznete zde a Core FTP zde. -jbl-
19.09.2009 PHP, několik zranitelností
V PHP bylo nalezeno větší množství zranitelností s dosud nespecifikovaným dopadem. Jedná se o chybu v ověřování certifikátů SSL, chybu ověření vstupu při práci s EXIF daty a jiné. Zranitelnosti byly ohlášeny ve verzích předcházejících 5.2.11. Více informací naleznete na PHP.net. -jbl-
17.09.2009 Zraniteľnosti v prehliadači Google Chrome a Opera
Podľa informačného serveru Secunia, vo webovom prehliadači Google Chrome boli objavené dve zraniteľnosti, ktoré môžu "pomôcť" potencionálnym útočníkmi obísť niektoré bezpečnostné nastavenia a spôsobiť tak útoky typu Cross-site scripting (XSS). Prvá chyba sa týka spracovania RSS a Atom feeds, ktorej zneužitie umožní útočníkom spustiť ľubovoľný HTML a taktiež skriptovací kód v prehliadači užívateľa. Druhá chyba zasa postihuje metódu "getSVGDocument", ktorej zneužitie umožní útočníkom obísť "Same-Origin-Policy" a taktiež spustiť ľubovoľný HTML a skriptovací kód v prehliadači. Podľa SecureThoughts.com, dané chyby taktiež postihujú aj internetový prehliadač Opera. Riešením daného problému je upgrade prehliadačov na najnovšiu verziu. Detailnejšie info o týchto chybách ako aj o riešení nájdete tu. -dra-
16.09.2009 Zraniteľnosť v Pidgin (Sun Solaris)
Spoločnosť Sun potvrdila informáciu o výskyte zraniteľnosti v Solaris, ktorá môže byť zneužitá na skompromitovanie celého zraniteľného systému. Keďže na konečnom riešení tohto problému sa ešte stále pracuje, k prevencii a zmierneniu následkov by mali zatiaľ prispieť opatrenia v podobe zmien nastavení ochrany v Pidgin, kde pre MSN účty ostanú povolené správy iba od užívateľov na aktuálnom zozname priateľov. Ďalšie info však už nájdete na stránkach výrobcu. -dra-
<<< novější starší >>>
