Malé novinky o velkých věcech - Bezpečnost

Adobe se omlouvá za opravu 16 měsíců známé chyby

Adobe se o víkendu omlouvala za to, že dovolila aby 16 měsíců známá chyby ve flash přehrávači nebyla opravena, přestože došlo ke čtyřem aktualizacím tohoto přehrávače.

Chyba byla opravena až v beta verzi Flash Playeru 10.1 (který byl vypuštěn v listopadu), nicméně finální verze Flash Playeru 10.1 zatím není k dispozici.

Bezpečnostní specialista Metthew Dempsey chybu poprvé nahlásil 22. září 2008, podle veřejné databáze chyb Adobe. Při jejím zneužití může jakýkoliv prohlížeč používající Flash Player 9 a pozdější spadnout.

Ačkoliv samotné pády prohlížeče a jeho doplňků jsou relativně neškodné, jsou nedocenitelné pro útočníky, kteří jsou často schopni nalézt metodu jak spustit nežádoucí kód po pádu aplikace. Dempsey vytvořil stránku, která ukazuje proof-of-concept této chyby.

Podle zástupců Adobe došlo k tomu, že chyba byla označena k opravě až do Flash Playeru 10.1, místo aby byla implementována oprava už v aktuální verzi Flashe.

Nakonec to vypadá, že měl Steve Jobs pravdu, když konstatoval, že nebude podporovat Flash v iPhone a iPadu, protože je nebezpečný.

Příspěvků: 0 Komentovat článek "Adobe se omlouvá za opravu 16 měsíců známé chyby"  

Konec Apache web serveru ve verzi 1.3

Asi stojí za zmínku, že jeden z nejrozšířenějších web serverů právě ukončil svůj vývoj první verze. Vydáním verze 1.3.42 Apache Software Foundation zcela ukončila vývoj této větve a nadále se bude zaměřovat na vyšší verze tohoto populárního serveru. Předpokládá se však, že bezpečnostní aktualizace budou ještě chvíli dostupné.

Příspěvků: 0 Komentovat článek "Konec Apache web serveru ve verzi 1.3"  

Bezpečnostní aktualizace 2010-001

Apple včera vydal první bezpečnostní aktualizaci pro Leoparda a Snow Leoparda v tomto roce. Podívejme se tedy, co vše bylo vyřešeno.

CoreAudio

• CVE-ID: CVE-2010-0036
• Pro: Mac OS X 10.5.8,10.6.2 Server i klienta
• Dopad: Přehrání upraveného mp4 souboru může vést k pádu aplikace nebo spuštění nežádoucího kódu
• Popis: Při práci s mp4 soubory může dojít k přetečení bufferu. Přehrání upraveného mp4 souboru, který tuto chybu využívá pak může vést k pádu aplikace nebo ke spuštění nežádoucího kódu. Problém je vyřešen lepší kontrolou hranic. Poděkování za nahlášení patří Tobiasovi Kleinovi z trapkit.de.

CUPS

• CVE-ID: CVE-2009-3553
• Pro: Mac OS X 10.5.8,10.6.2 Server i klienta
• Dopad: Vzdálený útoční může způsobit pád aplikace cupsd
• Popis: V cupsd se používá připojení i po jeho uvolnění. Odesláním upraveného get-printer-jobs požadovku tak může útočník způsobit odmítnutí služby. Tento problém byl omezen díky automatickému restartu cupsd po jeho ukončení. Konkrétně však tento problém byl opraven lepší kontrolou používaných spojení.

Flash Player Plug-in

• CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
• Pro: Mac OS X 10.5.8,10.6.2 Server i klienta
• Dopad: Více chyb v Adobe Flash plug-inu
• Popis: Flash Player plug-in má několik chyb z nichž nejvážnější umožňuje spustit nežádoucí kód při prohlížení upravené www stránky. Problém je řešek aktualizací Flash Playeru na verzi 10.0.42. Další podrobnosti jsou k dispozici na stránkách adobe.com. Poděkování za nahlášení chyb patří následujícím lidem: Damian Put z TippingPoints Zero Day Initiative, Bing Liu z Fortinet's FortiGuard Global Security Research Team, Will Dormann z CERT, Manuel Caballero a Microsoft Vulnerability Research (MSVR).

ImageIO

• CVE-ID: CVE-2009-2285
• Pro: Mac OS X 10.5.8 server i klient
• Dopad: Zobrazení upraveného TIFF obrázku může vést k ukočení aplikace nebo spuštění nežádoucího kódu
• Popis: Přetečení bufferu v ImageIO při práci s TIFF obrázky může způsobit ukočení aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší kontrolou hranic. Pro systémy Mac OS X 10.6.2 byl problém vyřešen v Mac OS X 10.6.2.

Image RAW

• CVE-ID: CVE-2010-0037
• Pro: Mac OS X 10.5.8,10.6.2 Server i klienta
• Dopad: Zobrazení upraveného DNG obrázku může vést k pádu aplikace nebo spuštění nežádoucího kódu
• Popis: V kódu Image Raw existuje chyba přetečení bufferu u práce s DNG soubory. Zobrazení upraveného DNG souboru tak může způsobit pád aplikace nebo spuštění nežádoucího kódu. Problém je řešen pomocí lepší kontroly hranic. Poděkování patří Jasonu Carrovi z Carnegie Mellon Univerzity.

OpenSSL

• CVE-ID: CVE-2009-3555
• Pro: Mac OS X 10.5.8,10.6.2 Server i klienta
• Dopad: Utočník v privilegované síťové pozici může získávat data nebo měnit operace uvnitř relace chráněné SSL
• Popis: V SSL a TLS protokolech existuje chyba umožňující útok man-in-the-middle. Další podrobnosti jsou k dispozici na stránkách www.phonefactor.com. Změna vyjednávacího protokolu je na cestě uvnitř IETF. Aktualizace ruší vyjednávání OpenSSL jako preventivní opatření. Problém nezasahuje služby, které používají Secure Transport pokud nepodporují vyjednávání. Poděkování patří Stevovi Dispensovi a Marsh Ray z PhoneFactor, Inc. Je trochu smutné, že Apple přišel s řešením této chyby až 2 měsíce po jejím oznámení. Viz informace v tomto článku.

Příspěvků: 0 Komentovat článek "Bezpečnostní aktualizace 2010-001"  

Certifikované bezpečné flash disky byly cracknuty [2]

Kingston, SanDisk a Verbatim prodávají velmi podobné USB Flash disky s hardwarovým kódováním AES 256-bit, která by měla splňovat nejpřísnější bezpečnostní standardy. To je podloženo FIPS 140-2 Level 2 certifikací poskytnou americkým Národním Institutem pro Standardizaci a Technologie (NIST), který tyto disky ověřil pro používání s citlivými vládními daty. Bezpečnostní společnost SySS však nalezla velmi jednoduchý způsob, jak přistoupit ke kódovaným datům dokonce i bez vyžadovaného hesla.

Zmiňované USB flash disky kódují ukládaná dat pomocí prakticky neproniknutelného algoritmu AES 256. Takže hlavní vektor útoku je přes zadávání hesla pro de kryptování obsahu disku. Při analýze Windows programu, SySS bezpečnostní expert našel hrubou chybu, které si testeři nevšimli. Během úspěšné autorizační procedury program posílá stejné znaky disku po provedení různých kryptovacích operací - a to je případ všech těchto USB flash disků.

Přístup k diskům je tak velmi jednoduchý. SySS experti napsali malý program pro aktivní zadání hesla, který vždy zajistí, že je správný řetězec odeslán disku, nehledě na zadané heslo. Výsledkem je pak okamžitý přístup k disku. Touto chybou jsou zatížené disky jako Kingston DataTraveler BalckBox, SanDisk Cruzer Enterprise FIPS Edition a Verbatim Corporate Secure FIPS Edition.

Když byli výrobci informování o nejhorším možném scénáři, zachovali se každý jinak. Kingston začal odebírat příslušné produkty z trhu, zatímco SanDisk a Verbatim upozornili bezpečnostním buletinem na "potencionální narušení přístupu v ovládací aplikaci" a poskytl aktualizaci software. Když byli dotazování heise Security, Verbatim Europe prohlásil, že žádný z těchto disků nebyl prodáván v Evropě - a že nebude prodáván dokud chyba nebude opravena.

Skutečná otázka zůstala však nezodpovězena - jak mohli USB Flash disky obsahující tak závažnou bezpečnostní chybu získat jeden z nejvyšších bezpečnostních certifikátů pro kryptografické zařízení? A ještě jedna mnohem důležitější - jaká je hodnota certifikace, která selže při detekci takto zásadní chyby?

Příspěvků: 2 Komentovat článek "Certifikované bezpečné flash disky byly cracknuty"  

Problém roku 2000 pokračuje i v roce 2010

Deset let po "krizi" roku 2000 se stále objevují problémy s přelomem letopočtu. Tento rok jsou to čipy používané v bankovních kartách pro identifikaci účtů, které rok 2010 nenačítají správně, čímž znemožňují přístup k bankovním terminálům v Německu. 30 miliónů lidí tak od nového roku nemá přístup ke svému účtu. V Rakousku prodejní automaty přeskočily na rok 2010 a software Symantec network access control, který by měl kontrolovat spamy a viry nedávno kvůli stejnému problému selhal.

Příspěvků: 0 Komentovat článek "Problém roku 2000 pokračuje i v roce 2010"