Shellshock a jiné kritické zranitelnosti

(29. 9. 2014) Přinášíme vám další souhrn nedávných událostí v internetové bezpečnosti.

Zranitelnost Shellshock čekala na odhalení 20 let

Shellshock je mediální "cool" název pro zranitelnost v bashi (GNU Bourne Again Shell - unixový příkazový řádek), která zůstala neobjevena celých 20 let. Týká se unixových systémů, které bash využívají; takových jsou na světě stovky milionů. Zranitelný je bash od verze 1.13 po 4.3.

Principem zranitelnosti je možnost vzdáleného spuštění kódu, anglicky označovaného jako Remote Code Execution. Útočník může na vašem počítači vzdáleně spustit svůj škodlivý kód. Detailní analýzu najdete například v článku Díra v bashi, které si 20 let nikdo nevšiml na Root.cz.

Řešením zranitelnosti je update programu na novou a opravenou verzi. Zranitelnost svého serveru můžete zkontrolovat například na webu shellshocker.net. Instalaci opravy důrazně doporučuji, protože chyba je už v praxi zneužívána malwarem.

Mozilla opravila chybu v NSS knihovně

NSS knihovny od Mozilly se používají pro šifrování. Kromě Firefoxu je používá i řada jiných aplikací, například Google Chrome, nebo OpenOffice.

Zmíněný bug způsobil chybu při ověření podpisů u TLS/SSL spojení. Právě kryptografické ověření podpisu certifikátu je důležité pro důvěryhodnost spojení a vyloučení falešného certifikátu.

Detaily chyby najdete v článku Mozilla fixes "phishing friendly" cryptographic bug in Firefox and Thunderbird. Bylo opravena v poslední aktualizaci Firefoxu 32.0.3.

Hack eBay účtu v jedné minutě

eBay, populární aukční server, byl minimálně 4 měsíce zranitelný a umožňoval útočníkovi během minuty hacknout libovolný uživatelský účet. Zranitelnost popsal a v praxi předvedl egyptský hacker Yasser H. Ali. Detaily útoku najdete v článku Hacking any eBay Account in Just 1 Minute.

Android L bude defaultně šifrovat uživatelská data, iOS to umí od verze 8

Nejpopulárnější mobilní systém na světě bude od nové verze L defaultně šifrovat uživatelská data. Android to umí už několik let, ale vždy bylo nutné funkci zapnout manuálně. To se nyní změní, a bude stejně jako iOS 8 uživatelská data šifrovat automaticky.

Studie přináší detailní pohled na blackmarkety

Blackmarket je ilegální internetový obchod, který většinou není veřejně dostupný, ale je naopak skrytý běžným smrtelníkům. Pokud vás téma ilegálního obchodu na internetu zajímá, doporučuji Markets for Cybercrime Tools and Stolen Data.

Studie vás na 85 stranách seznámí nejen s nabídkou těchto obchodů; je komplexním průvodcem v této oblasti internetu.