Týden v bezpečnosti - 19. týden
(10. 5. 2013) Vítejte v souhrnu událostí v internetové bezpečnosti za uplynulý týden.
Kritická zranitelnost v Internet Exploreru 8
Internet Explorer 8 se i přes svůj věk stále drží na čele nejpoužívanějších prohlížečů, bezpečný však příliš není. Minulý týden byla nalezena zranitelnost nultého dne, která útočníkovi dovoluje spuštění jeho kódu. Zranitelnost byla prokazatelně zneužita a podle Computerworld a článku Microsoft admits zero-day bug in IE8, pledges patch byla použita i k útoku na americké nukleární výzkumníky. Jek uvádí článek Microsoft plasters IE8 hole abused in nuke lab PC meltdown, vydal Microsoft dočasnou opravu, ale kompletní záplata zřejmě přijde v rámci pravidelných aktualizací 14. května. Informace o vydání opravy naleznete na webu Microsoft Technet Blog.
Novější verze Internet Exploreru nejsou zranitelností ohroženy, takže řešením je i upgrade na novější verzi programu. Nejnovější zranitelnost Internet Exploreru komentuje i společnost Qualys na svém blogu.
Registrátor Name.com cílem útoku
The Register v článku Domain registrar attacked, customer passwords reset informuje o útoku na registrátora domén Name.com. Provozovatel údajně zaznamenal krádež dat a resetoval proto hesla všech zákazníků. Článek cituje domněnku společnosti o tom, že útočník chtěl získat přístup ke konkrétnímu uživatelskému účtu.
Name.com útok přiznal na Twitteru. I přes krádež citlivých dat se o ně zákazníci nemusí obávat, protože byly zašifrované. Name.com uvádí, že bylo použito šifrování RSA o síle 4096 bitů a privátní klíče nebyly ukradeny a není tedy možné data dešifrovat.
Německé ministerstvo vyhodilo zavirované počítače
The Register v článku German govt DUMPS 170 NEW PCs riddled with Conficker informuje o zajímavé kauze z roku 2010, týkající se německého Ministerstva vzdělání a výzkumu.
V německém centru pro školení učitelů bylo nakaženo 170 počítačů; na vině byl známý červ Conficker. Místo očekávaného odvirování však byly počítače vyhozeny a nahrazeny novými. Tato kratochvíle stála něměcké daňové poplatníky 187 tisíc eur. Odvirování mělo dle provedeného auditu stát o 57 000 eur méně.
Červ Conficker je antivirovým firmám znám od roku 2008 a pro ochranu před ním postačují základní antivirové a zálohovací produkty, které zjevně ministerstvo nepoužilo.
Vydána nová zpráva SSL Pulse
Odborníci z Qualys (SSL Labs) vydali novou zprávu a stavu zabezpečení internetu a použití SSL protokolu. Zkoumají zabezpečení více než 170 tisíc populárních serverů. Výsledky můžete nalézt na webu sdružení Trustworthy Internet.
Celkově dochází k pomalému zlepšování zabezpečení a implementace SSL protokolu. Více než polovina testovaných webů (57 %) využívajících SSL certifikát ho používá výborně a v testu SSL Labs obdrželi nejlepší známku A.
Certifikáty s rozšířeným EV ověřením byly přítomny na téměř 9 % testovaných webů. Všechny testované weby podporují protokoly SSLv3 a TLS 1.0, podpora novějších verzí TLS je však nízká. Celá čtvrtina webů ještě stále podporuje zastaralý protokol SSLv2.
Vyzkoušejte si i vy test SSL Labs. Zjistěte, zda-li i vy máte rezervy v použití SSL certifikátu a zda-li ho využíváte na maximum.
Zadejte název domény pro test SSL zabezpečení:
Přejeme vám krásný víkend.
Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pátek.
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz
Přidat komentář
Přehled komentářů
Napište první komentář!