Actinet zpravodajství

Yahoo! Axis rozšíření Chrome, únik privátního klíče

25.05.2012 07:15 Společnost Yahoo! vydala novou verzi svého rozšíření Axis pro prohlížeče Chrome, Firefox a Internet Explorer. Díky nepozornosti při vydání Axis pro Chrome je možné stáhnout tuto verzi i se souborem obsahujícím privátní klíč, který Yahoo! používá pro digitální podpis svých rozšíření. To může mít za následek situaci, kdy libovolný autor může podepsat svá rozšíření jako Yahoo! a od nicnetušícího uživatele tak například sbírat citlivé údaje. Zatím není jasné jak bude společnost tento problém řešit. Lze předpokládat zneplatnění starého certifikátu a zavedení nového, to s sebou však přináší další problémy, kdy je jen těžko ověřitelný pravý zdroj nových verzí rozšíření. Více informací naleznete zde.

Falešný Instagram, Trojský kůň pro Android

22.05.2012 06:01 Na internetu se objevila neoficiální verze aplikace pro populární službu Instagram, mířená na uživatele Androidu. Její tvůrci se vyhýbají hlavním distribučním kanálům typu Google Play Android marketplace a aplikaci šíří hlavně přes různá fóra. Její instalace bude mít za následek odesílání sms na prémiová čísla, generující zisk jejich majitelům, a to bez účasti uživatele. Malware byl zaznamenán různými bezpečnostními společnostmi zabývajícími se Androidem, jako například Sophos, který momentálně nakažené soubory identifikuje jako „Andr/Boxer-F“. Geometricky se zvyšující výskyt podobných hrozeb znamená, že uživatelé Androidu musí být čím dál více na pozoru, zvláště při používání neoficiálních distribučních kanálů. Více informací naleznete v originálním článku na nakedsecurity.sophos.com.

Zraniteľnosť v CMS a S/MIME

15.05.2012 04:41 Šifrovacie štandardy správ pre OpenSSL: CMS , PKCS#7 a S/MIME obsahujú zraniteľnosť, ktorá môže byť úspešne zneužitá Bleichenbacherovým útokom, známym ako "útok miliónov správ" . Ostatné SSL/TLS aplikácie, ktoré nepoužívajú dešifrovacie kódy PKCS#7 a CMS, daným problémom postihnuté nie sú. Riešením je upgrade na OpenSSL 1.0.0h alebo 0.9.8u. Viac info nájdete tu.

Kritická zraniteľnosť v Samba

12.05.2012 04:01 Tým Samba uvoľnil verzie 3.6.4, 3.5.14 a 3.4.16 s už opravenou kritickou zraniteľnosťou. Jedná sa o chybu v generátore kódov pre RPC , kde potenciálny útočník pomocou "špeciálne" upraveného RPC dokáže spustiť ľubovoľný kód, s administrátorskými právami ako "root" a to z anonymného pripojenia. Keďže pre zneužitie danej chyby nie je potrebné autentifikované pripojenie, ide o veľmi závažnú zraniteľnosť a užívatelia či distribútori by mali vo vlastnom záujme aplikovať opravný patch, či upgradovať inštaláciu Samba. Zraniteľnosť sa týka v. 3.6.3 a všetkých predchádzajúcich verzií. Viac info už nájdete tu.

Zranitelnost v aplikaci Google Wallet na smartphonech

09.05.2012 03:30 Byla nalezena zranitelnost v aplikaci Google Wallet. Aplikace totiž dovoluje, při vymazání stávajících nastavení, zvolit nový pin ke službě jen na základě informace, z jakého telefonu je ke službě přistupováno. Pokud tedy byl Váš telefon s touto aplikací například odcizen, nový uživatel Vás může od Google Wallet odříznout během pár vteřin. Druhý problém, v mnoha ohledech ještě větší, tkví v samotném 4-místném PIN kódu. Aplikace Wallet totiž ukládá zašifrovaný hash kód vygenerovaný na základě tohoto PIN. Případnému útočníkovi tak tedy stačí vyzkoušet všechny možné kombinace 4 čísel , aby tak získal přístup k vašemu účtu, aniž by jste to museli nutně zjistit. Více informací naleznete v originálním článku na serveru theregister.co.uk.

Jak FBI zatkla 19-letého hackera, který zveřejnil odposlech jejich telefonátů

09.05.2012 03:30 Ars techhnika zveřejnila pozadí, jak došlo k získání záznamu z konferenčního hovoru agentů FBI. Jeden z nich používal účet GMail, který monitoroval hacker a když se v něm objevily údaje pro připojení ke konferenčními hovoru s datem a časem konání, hacker toho využil. S úlovkem se pochlubil ale jinému hackerovi, který byl pod 24-hodinovým dohledem FBI.

Adobe Flash Player, několik zranitelností

09.05.2012 03:30 V aplikaci Adobe Flash Player bylo nalezeno větší množství zranitelností. Mimo jiné se jedná o chybu při zpracování souborů MP4 a chybu v ovladači ActiveX, které mohou způsobit poškození obsahu paměti. Další problémy nebyly blíže specifikovány, ale údajně mohou dovolovat spuštění libovolného kódu a obcházení bezpečnostních opatření. Jedna z těchto zranitelností, která je momentálně aktivně zneužívána, spočívá ve špatném ošetření vstupu před vrácením uživateli, což může dovolovat spuštění libovolného skriptu nebo HTML kódu v kontextu navštívené stránky. Adobe vydalo novou verzi software, která tyto problémy opravuje. Více informací naleznete v originálním článku výrobce.

Mac OS X Lion může ukládat nezašifrovaná hesla

06.05.2012 23:15 V některých případech update na OS X Lion 10.7.3 zapne logování do souboru, do kterého se zapisují mimo jiné i nezašifrovaná hesla všech uživatelů, kteří se od updatu přihlásili. Chyba může postihnout uživatele, kteří používal před přechodem na OS X Lion k šifrování domovského adresáře FileVault a během upgrade nepřešli na FileVault verze 2. Uživatelé, kteří používají FileVault 2, nejsou ovlivněni. Detailnější popis najdete zde.

Aktualizace pro vmWare ESX 4.1

05.05.2012 08:36 Pro vmWare ESX 4.1 byla zveřejněna aktualizace, která obsahuje bezpečnostní chybu ve zpracování NFS protokolu. Případný útočník může na postiženém serveru vzdáleně vykonat kód.

Nová varianta Flashbacku využívá chybu Javy

05.05.2012 02:50 Tento trojský kůň využívá kritickou chybu Javy, kvůli které nepotřebuje ani zadat od uživatele administrátorské heslo k napadení počítače. Tato závažná chyba v Jave již byla opravena, ale nikoli pro uživatele OS X, pro něž vydává updaty Javy sama společnost Apple, nikoliv Oracle. Tento flashback je také schopen obejít vestavěnou ochranu proti malware v OS X. Pro uživateke OS X je tedy nejlepším řešením do vydání opravného patche vypnout Javu. Detailnější informace najdete na arstechnica.com.

Jaká data o svých uživatelích ukládá Twitter

03.05.2012 08:08 Anne Helmond z New Media Research požádala Twitter o zaslání všech dat, které o ní ukládá na svých serverech. Využila k tomu Evropského práva a reakce společnosti byla vstřícná. Co všechno získala popisuje na svém blogu.