Týden v bezpečnosti - 27 - 28. týden

(14. 7. 2014) Přinášíme vám další souhrn událostí v internetové bezpečnosti za uplynulé dva týdny.

Google odhalil a zablokoval falešné SSL certifikáty

Google a jeho tým bezpečnostních odborníků odhalil a (ve svém prohlížeči) zablokovali falešné SSL certifikáty vydané Indickým National Informatics Centre (NIC). Tato organizace vlastní Intermediate certifikát a může tak vydávat certifikáty zákazníkům. Certifikáty byly vydány pro Google domény a služby; mohly být zneužity ke kyber-špionáži a Man-in-the-middle útokům.

Více informací najdete v původním článku Google blocked unauthorized digital certificates issued by NIC India a na blogu Google Security týmu  Maintaining digital certificate security. Google tým zvyšuje bezpečnost svých uživatelů i tzv. Public Key Pinningem; v prohlížeči jsou na Whitelistu (povolený seznam) konkrétní veřejné klíče autorit, a pokud dojde v použití jiného, certifikát ho zablokuje. Detaily o této funkci Public key pinning najdete na blogu Imperial Violet v článku Public key pinning.

LibreSSL vychází ve verzi 2.0 a zeštíhleno o 48 %

V dubnu jsme vás informovali o novém projektu (forku) OpenSSL, do kterého se pustili autoři OpenBSD. Nyní přichází s prvním "zeštíhlovacím" vydáním LibreSSL a tvrdí, že se jim podařilo původní kód zredukovat o celých 48 %. Více o uvedení nové verze najdete v článku LibreSSL ships first portable version, now up to 48% less huge!. 

LibreSSL uvedením této verze začíná oficiálně podporovat i operační systémy OS X, FreeBSD, Solaris a Linux.

Pravidelné záplaty a aktualizace

V minulém týdnu bylo i dobře známé záplatovací úterý a Microsoft vydal aktualizace pro své produkty. Celkově vydal šest záplat, z nich dvě byly kritické. Aktualizace se zejména věnovaly Internet Exploreru, ve kterém opravily 23 zranitelností. Většina z nich se týkala vzdáleného spuštění kódu.

Adobe rovněž vydal aktualizace, tentokrát pro Flash Player a Adobe AIR. Krom jiných zranitelností opravují i exploit Rosetta, jehož popis najdete v databází zranitelností pod označením CVE-2014-4671.

Apple také vydal aktualizace pro své produkty. Jeho harmonogram je však nepravidelný. Souhrnu aktualizací a jejich četnosti se věnuje článek Apple ships updates, including Snow Leopard (ONLY KIDDING!)‏. Kromě Safari byly zaktualizovány i další produkty, jako Apple TV, iOS a OS X Maverics. 

Google zlepšuje zabezpečení e-mailů použitím OpenPGP

Google vytvořil doplněk pro prohlížeč Chrome, který pracuje na bázi OpenPGP a pomáhá šifrovat e-maily. Informuje o tom článek Google looks to make OpenPGP easier for Gmail users. Jeho snaha reaguje na fakt, že většina e-mailů dnes není při přenosu šifrovaná, a servery nepoužívají ani základní zabezpečení, které jim protokol TLS umožňuje využít.

Doplněk nazvaný end-to-end (kompatibilní s OpenPGP) bude e-maily před odesláním v prohlížeči šifrovat. Chcete-li ho využít, musíte ho zkompilovat ze zdrojového kódu, který si můžete stáhnotu od Google.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět za týden.