<
1
2
3
4
5
6
7
8
9
10
>
>>
>|
16.08.2010 Krátke heslá sú „beznádejne nepostačujúce“, tvrdia odborníci
S neustále rastúcim výkonom grafických procesorov rastie aj vyspelosť programov na "lámanie" hesiel. Čo v praxi znamená, že aj starostlivo zvolené heslo, ktoré však disponuje menším počtom znakov, bezproblémov podľahne útoku "hrubou silou" (útoky využívajúce systematické testovanie všetkých možných kombinácií znakov).
Heslá, ktoré obsahujú menej ako sedem znakov budú čoskoro z bezpečnostného hľadiska úplne nevyhovujúce a to aj napriek tomu, že obsahujú alfanumerické znaky a taktiež aj rôzne symboly. Počítačoví experti z Georgia Tech Research Institute, zaoberajúci sa aj touto problematikou, odporúčajú heslá najmenej 12 znakov dlhé. Dlhšie heslá síce útokom hrubou silou odolávajú dlhšie, ale pár znakov navyše samozrejme nestačí. Slovníky s ľahko-uhadnuteľnými (zle zvolenými) heslami, s ktorými password-crack programy pracujú sa taktiež rozrastajú a v niektorých prípadoch si poradia aj s 20 znakovým komplexným heslom. Viac informácií už však nájdete na stránkach informačného portálu The Register. -dra-
03.08.2010 Windows, out-of band aktualizace
Microsoft včera vydal bezpečnostní aktualizaci mimo standardní aktualizační cyklus. Tato záplata opravuje bezpečnostní chybu ze security bulletin č.MS10-046. Jedná se o zranitelnost, jejíž zneužití umožňuje útočníkovi převzít kontrolu nad vzdáleným počítačem. Chyba se týká všech podporovaných systémů Windows. Více informací naleznete zde. -jba-
29.07.2010 Vyhledávač Google korunován na “krále malware “
Barakuda Labs provedla velkou studii vyhledávačů Bing, Google, Yahoo! a Twitter. Záměrem studie bylo analyzovat trendy témata populárních vyhledávačů s cílem určit témata používaná distributory malware. V případě Googlu bylo dvakrát víc malware než bylo nalezeno u Binq, Yahoo! a Twitter dohromady. Více než polovina malware byla zjištěna v době mezi 04:00 až 10:00 GMT. Pro stažení kompletní zkoušky Barakuda Labs 2010 navštivte stránky barracudalabs.com. -jba-
28.07.2010 Zranitelnost IBM Tivoli Directory Server DB2
Byla nalezena chyba v IBM Tivoli Directory Server, která může být zneužita k odhalení citlivých informací. Chyba se vyskytuje ve verzi 6.1. Řešením je prozatimní fix 6.1.0.4-TIV-ITDS-IF0006 nebo APAR IO12776. Více informací naleznete na stránkách výrobce. -jba-
27.07.2010 Napadení počítačů skrz kritickou chybu ve Windows
Autoři virů začali zneužívat neopravenou chybu ve Windows s cílem vytvořit malware. Chyba je obsažena ve všech operačních systémech od Windows 2000 a Windows XP SP2 (jejichž podpora právě končí) až po Windows 7, včetně beta verze Windows 7 SP1. Bezpečnostní firma Eset informovalo o výskytu dvou malware kmenů, které zneužívají bezpečnostní chybu pomocí souborů zástupců (lnk). Zranitelnost je právě v jejich zpracování. V případě, že uživatel otevře složku obsahující tento soubor, může dojít k automatickému spuštění malwaru v této složce. Chyba je zneužitelná přes média USB flash, síťové disky a WebDAV. Microsoft vydal dočasná bezpečnostní opatření. Více informací naleznete zde. -jba-
23.07.2010 Zneužití osobních dat přes prohlížeč Safari
Prohližeč Safari verze 4 a 5 obsahuje zajímavou chybu v automatickém vyplňování údajů na webových formulářích. Webová stránka si může zjistit data uživatele, jako například jméno, email, apod. tak, že si tato data zákeřně zjistí přes Safari z osobních kontaktů. Není tedy nutné, aby uživatel někdy vůbec tato data v prozlížeči zadal. Je možné, že bude zveřejněn k chybě v Safari proof of concept, objevitel chyby nese nelibě, že se mu dosud Apple neozval k jeho nahlšení chyby. -zte-
22.07.2010 Mozilla Firefox update
Mozilla vydala novú verziu Firefox (3.6.7), ktorá opravuje 14 bezpečnostných dier a až 8 z nich sú označené ako kritické. Najzávažnejšie nedostatky sa týkajú napríklad spracovania zákerne "upravených" PNG obrázkov a ďalších bezpečnostných rizík, ktoré umožňujú potencionálnym útočníkom spustiť ľubovoľný kód. Ďalej tento update taktiež rieši problémy stability prehliadača. To, s čím si však ani tým bezpečnostných odborníkov neporadí, sú nepoučiteľní užívatelia, ktorí aj naďalej klikajú na podvodné odkazy a otvárajú podozrivý obsah stránok. Viac informácií už však nájdete na stránkach výrobcu. -dra-
21.07.2010 Chyba může vystavit miliony uživatelů útokům
Miliony běžných routerů pro domácí použití mají nedostatky umožňující nabourání se do domácích sítí, případně zneužívání uživatelovy identity na webových službách. Plné zveřejnění příčin je naplánované později tento měsíc, chyba však souvisí s tzv. DNS rebindingem, což je technika rozšiřující pole působnosti webových skriptů i mimo jejich vlastní server. Údajně však byla nalezena nová variace na tento útok, kdy webová stránka spouští skript, který má za následek to, že uživatelova IP adresa je brána jako alternativní IP adresa samotného serveru a tím pádem na ni mohou působit skripty, které jinak mohou pracovat pouze v rámci serveru. Komplexnější verze tohoto útoku pak využívají chyb v samotných routerech, případně toho, že uživatelé mnohdy nechávají na svých routerech implicitní hesla. Na blogu forbes.com naleznete seznam testovaných routerů, jejich výsledky a další detaily útoku. Doporučuje se zkontrolovat aktuálnost firmware vašeho routeru a v žádném případě nepoužívat implicitně nastavené heslo. -dra-
21.07.2010 Apple iTunes, zranitelnost Buffer Overflow
Portál SecurityTracker informoval o zranitelnosti v iTunes. Vzdálený uživatel může vytvořit zákeřnú 'itpc:' URL, která při načtení u cílového uživatele, vyvolá chybu "buffer overflow" (přetečení zásobníku) a umožní spuštění libovolného kódu na cílovém systému. Tento kód bude běžet s oprávněními cílového uživatele. Pro více informací navštivte stránky výrobce. -dra-
14.07.2010 Počet bezpečnostných chýb prudko stúpa; Apple na prvom mieste
Štatistiky portálu Secunia ukázali, že počet zraniteľností a rôznych bezpečnostných chýb objavených v prvej polovici roku 2010 už takmer dosiahol hodnoty zaznamenané za celý rok 2009. V tabuľkách suverénne vedie spoločnosť Apple a na ďalších "medajlových" pozíciach sa umiestnili spoločnosti Oracle a Microsoft. Medzi rokmi 2007 až 2009 sa výskyt chýb takmer zdvojnásobil, z 220 na 420 prípadov a Secunia už teraz predpovedá ďalšie takmer zdvojnásobenie - na odhadovaných 760 prípadov. Hlavná príčína tohto prudkého nárastu, podľa Secunie, už nevychádza priamo z chybovosti operačných systémov, ale jedná sa hlavne o bezpečnostné chyby v aplikáciách vyvinutých "treťou stranou" (third-party software). Diagnostika a samotná oprava týchto zraniteľností je z tohto dôvodu oveľa komplikovanejšia. Kompletnú štúdiu vypracovanú portálom Secunia nájdete v tomto PDF. -dra-
<<< novější starší >>>
16.08.2010 Krátke heslá sú „beznádejne nepostačujúce“, tvrdia odborníci
S neustále rastúcim výkonom grafických procesorov rastie aj vyspelosť programov na "lámanie" hesiel. Čo v praxi znamená, že aj starostlivo zvolené heslo, ktoré však disponuje menším počtom znakov, bezproblémov podľahne útoku "hrubou silou" (útoky využívajúce systematické testovanie všetkých možných kombinácií znakov).
Heslá, ktoré obsahujú menej ako sedem znakov budú čoskoro z bezpečnostného hľadiska úplne nevyhovujúce a to aj napriek tomu, že obsahujú alfanumerické znaky a taktiež aj rôzne symboly. Počítačoví experti z Georgia Tech Research Institute, zaoberajúci sa aj touto problematikou, odporúčajú heslá najmenej 12 znakov dlhé. Dlhšie heslá síce útokom hrubou silou odolávajú dlhšie, ale pár znakov navyše samozrejme nestačí. Slovníky s ľahko-uhadnuteľnými (zle zvolenými) heslami, s ktorými password-crack programy pracujú sa taktiež rozrastajú a v niektorých prípadoch si poradia aj s 20 znakovým komplexným heslom. Viac informácií už však nájdete na stránkach informačného portálu The Register. -dra-
03.08.2010 Windows, out-of band aktualizace
Microsoft včera vydal bezpečnostní aktualizaci mimo standardní aktualizační cyklus. Tato záplata opravuje bezpečnostní chybu ze security bulletin č.MS10-046. Jedná se o zranitelnost, jejíž zneužití umožňuje útočníkovi převzít kontrolu nad vzdáleným počítačem. Chyba se týká všech podporovaných systémů Windows. Více informací naleznete zde. -jba-
29.07.2010 Vyhledávač Google korunován na “krále malware “
Barakuda Labs provedla velkou studii vyhledávačů Bing, Google, Yahoo! a Twitter. Záměrem studie bylo analyzovat trendy témata populárních vyhledávačů s cílem určit témata používaná distributory malware. V případě Googlu bylo dvakrát víc malware než bylo nalezeno u Binq, Yahoo! a Twitter dohromady. Více než polovina malware byla zjištěna v době mezi 04:00 až 10:00 GMT. Pro stažení kompletní zkoušky Barakuda Labs 2010 navštivte stránky barracudalabs.com. -jba-
28.07.2010 Zranitelnost IBM Tivoli Directory Server DB2
Byla nalezena chyba v IBM Tivoli Directory Server, která může být zneužita k odhalení citlivých informací. Chyba se vyskytuje ve verzi 6.1. Řešením je prozatimní fix 6.1.0.4-TIV-ITDS-IF0006 nebo APAR IO12776. Více informací naleznete na stránkách výrobce. -jba-
27.07.2010 Napadení počítačů skrz kritickou chybu ve Windows
Autoři virů začali zneužívat neopravenou chybu ve Windows s cílem vytvořit malware. Chyba je obsažena ve všech operačních systémech od Windows 2000 a Windows XP SP2 (jejichž podpora právě končí) až po Windows 7, včetně beta verze Windows 7 SP1. Bezpečnostní firma Eset informovalo o výskytu dvou malware kmenů, které zneužívají bezpečnostní chybu pomocí souborů zástupců (lnk). Zranitelnost je právě v jejich zpracování. V případě, že uživatel otevře složku obsahující tento soubor, může dojít k automatickému spuštění malwaru v této složce. Chyba je zneužitelná přes média USB flash, síťové disky a WebDAV. Microsoft vydal dočasná bezpečnostní opatření. Více informací naleznete zde. -jba-
23.07.2010 Zneužití osobních dat přes prohlížeč Safari
Prohližeč Safari verze 4 a 5 obsahuje zajímavou chybu v automatickém vyplňování údajů na webových formulářích. Webová stránka si může zjistit data uživatele, jako například jméno, email, apod. tak, že si tato data zákeřně zjistí přes Safari z osobních kontaktů. Není tedy nutné, aby uživatel někdy vůbec tato data v prozlížeči zadal. Je možné, že bude zveřejněn k chybě v Safari proof of concept, objevitel chyby nese nelibě, že se mu dosud Apple neozval k jeho nahlšení chyby. -zte-
22.07.2010 Mozilla Firefox update
Mozilla vydala novú verziu Firefox (3.6.7), ktorá opravuje 14 bezpečnostných dier a až 8 z nich sú označené ako kritické. Najzávažnejšie nedostatky sa týkajú napríklad spracovania zákerne "upravených" PNG obrázkov a ďalších bezpečnostných rizík, ktoré umožňujú potencionálnym útočníkom spustiť ľubovoľný kód. Ďalej tento update taktiež rieši problémy stability prehliadača. To, s čím si však ani tým bezpečnostných odborníkov neporadí, sú nepoučiteľní užívatelia, ktorí aj naďalej klikajú na podvodné odkazy a otvárajú podozrivý obsah stránok. Viac informácií už však nájdete na stránkach výrobcu. -dra-
21.07.2010 Chyba může vystavit miliony uživatelů útokům
Miliony běžných routerů pro domácí použití mají nedostatky umožňující nabourání se do domácích sítí, případně zneužívání uživatelovy identity na webových službách. Plné zveřejnění příčin je naplánované později tento měsíc, chyba však souvisí s tzv. DNS rebindingem, což je technika rozšiřující pole působnosti webových skriptů i mimo jejich vlastní server. Údajně však byla nalezena nová variace na tento útok, kdy webová stránka spouští skript, který má za následek to, že uživatelova IP adresa je brána jako alternativní IP adresa samotného serveru a tím pádem na ni mohou působit skripty, které jinak mohou pracovat pouze v rámci serveru. Komplexnější verze tohoto útoku pak využívají chyb v samotných routerech, případně toho, že uživatelé mnohdy nechávají na svých routerech implicitní hesla. Na blogu forbes.com naleznete seznam testovaných routerů, jejich výsledky a další detaily útoku. Doporučuje se zkontrolovat aktuálnost firmware vašeho routeru a v žádném případě nepoužívat implicitně nastavené heslo. -dra-
21.07.2010 Apple iTunes, zranitelnost Buffer Overflow
Portál SecurityTracker informoval o zranitelnosti v iTunes. Vzdálený uživatel může vytvořit zákeřnú 'itpc:' URL, která při načtení u cílového uživatele, vyvolá chybu "buffer overflow" (přetečení zásobníku) a umožní spuštění libovolného kódu na cílovém systému. Tento kód bude běžet s oprávněními cílového uživatele. Pro více informací navštivte stránky výrobce. -dra-
14.07.2010 Počet bezpečnostných chýb prudko stúpa; Apple na prvom mieste
Štatistiky portálu Secunia ukázali, že počet zraniteľností a rôznych bezpečnostných chýb objavených v prvej polovici roku 2010 už takmer dosiahol hodnoty zaznamenané za celý rok 2009. V tabuľkách suverénne vedie spoločnosť Apple a na ďalších "medajlových" pozíciach sa umiestnili spoločnosti Oracle a Microsoft. Medzi rokmi 2007 až 2009 sa výskyt chýb takmer zdvojnásobil, z 220 na 420 prípadov a Secunia už teraz predpovedá ďalšie takmer zdvojnásobenie - na odhadovaných 760 prípadov. Hlavná príčína tohto prudkého nárastu, podľa Secunie, už nevychádza priamo z chybovosti operačných systémov, ale jedná sa hlavne o bezpečnostné chyby v aplikáciách vyvinutých "treťou stranou" (third-party software). Diagnostika a samotná oprava týchto zraniteľností je z tohto dôvodu oveľa komplikovanejšia. Kompletnú štúdiu vypracovanú portálom Secunia nájdete v tomto PDF. -dra-
<<< novější starší >>>
