Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Wraz z najnowszym zestawem poprawek Microsoft załatał 63 dziury w swoim oprogramowaniu. Koncern dostarczył łaty na krytyczne dziury dla Windows, Edge, IE oraz pakietu Office. Poprawił też błąd zero-day w SharePoincie.

Jednym z najpoważniejszych poprawionych błędów jest zestaw pięciu dziur występujących w komponentach graficznych systemów Windows i Windows Server. Pozwalają one na zdalne wykonanie złośliwego kodu. Ataku można dokonać za pomocą spreparowanych fontów, a o powadze sytuacji niech świadczy fakt, że w niektórych przypadkach wystarczy, by fonty zostały umieszczone na witrynie, którą odwiedzi ofiara.

W przeglądarkach Edge oraz IE załatano 10 wspólnych błędów umożliwiających wywołanie błędów w podsystemie pamięci i zdalne wykonanie złośliwego skryptu. Dodatkowe cztery tego typu dziury występowały w samym IE. Luki, dzięki którym możliwe było zdalne wykonanie kodu występowały też w VBScript oraz Excelu, a w aplikacjach przetwarzających format .RTF poprawiono błąd pozwalający na kradzież informacji.

Ciekawostką jest też załatanie błędu w bezprzewodowej klawiaturze Wireless 850 Keyboard. Dziura pozwala na ominięcie zabezpieczeń oraz przechwycenie i wstrzyknięcie pakietów przesyłanych pomiędzy klawiaturą a komputerem.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Niewykluczone, że Microsoft ponownie znajdzie się na celowniku urzędników. Jak zapewne niektórzy pamiętają, w przeszłości koncern z Redmond dość często miał kłopoty z amerykańskimi i europejskimi urzędami. Jednak w ostatnich latach działania urzędników skupiały się przede wszystkim na Facebooku, Amazonie, Google'u czy Apple'u. Postępowanie Microsoftu nie budziło zastrzeżeń, wydawało się, że firma ani nie wykorzystuje swojej rynkowej pozycji, ani nie narusza prawa.
      Jednak te czasy mogą właśnie odchodzić do przeszłości. Unia Europejska wysyła sygnały, że j Windows 10 oraz Office naruszają przepisy GDPR regulujące kwestie prywatności. Konsekwencje śledztwa w UE mogą być zaś na tyle poważne, że nie można wykluczyć, iż działaniami Microsoftu zajmą się też odpowiednie władze w USA.
      Wątpliwości europejskich urzędników budzi sposób zbierania informacji przez Windows 10. Pytania pojawiały się już przed uchwaleniem GDPR w marcu ubiegłego roku.
      Na przykład w 2017 roku holenderska Agencja Ochrony Danych uznała, że sposób zbierania danych telemetrycznych przez Windows 10 narusza prawo. Koncern nie został ukarany, ale nakazano mu zmianę sposobu zbierania danych. Microsoft wprowadził żądane zmiany w kwietniu 2018 roku. Udostępniono wówczas m.in. Diagnostic Data Viewer, a koncern ogłosił, że narzędzie to czyni zbieranie danych w pełni transparentnym.
      Pojawiły się jednak głosy,że Diagnostic Data Viewer niczego nie czyni bardziej przejrzystym. Jego użytkownik otrzymuje bowiem długą listę niewiele mówiących informacji, takich jak „TelClinetSynthetic.PdcNetworkActivation_4” czy „Microsoft.Windows.App.Browser.IEFrameProcessAttached”. Kliknięcie na tak opisane pozycje wyświetla użytkownikowi kod, który trudno jest analizować nawet specjalistom.
      Holendrzy zabrali się za analizowanie informacji, jakie użytkownik może uzyskać dzięki Diagnostic Data Viewer i doszli do wniosku, że narzędzie spełnia wymagania, jakie postawili Microsoftowi. Zauważyli jednak coś jeszcze. Narzędzie pokazało bowiem, że Microsoft zdalnie zbiera jeszcze inne dane użytkowników. To zaś oznacza, że firma nadal może naruszać przepisy, stwierdzili przedstawiciele Agencji Ochrony Informacji. Holendrzy powiadomili o sprawie irlandzki Komitet Ochrony Danych, gdyż to właśnie w Irlandii mieści się europejska kwatera główna Microsoftu. To Irlandczycy mają zbadać, czy Microsoft narusza GDPR.
      Na razie sprawa nie wygląda dla Microsoftu korzystnie. Holendrzy stwierdzili odkryli bowiem, że Microsoft zbiera dane diagnostyczne i niediagnostyczne. Chcielibyśmy wiedzieć, czy zbieranie danych niediagnostycznych jest konieczne i czy użytkownicy są o tym w jasnym sposób informowani.
      Jeśli europejskie urzędy stwierdzą, że Microsoft narusza przepisy, to koncernowi może grozić grzywna sięgająca nawet 4 miliardów dolarów. Jeśli zaś europejskie urzędy dojdą do wniosku, że Microsoft narusza przepisy, to koncernowi może grozić podobne postępowanie w USA, zarówno przed Kongresem jak i przed władzami poszczególnych stanów, które tworzą własne przepisy dotyczące prywatności. Ostatnie problemy z amerykańskimi

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Bluetooth Special Interest Group wydała oficjalne ostrzeżenie, w którym informuje o istnieniu dziury dającej napastnikowi dostęp do klucza szyfrującego i innych krytycznych informacji. Ich zdobycie pozwala na przeprowadzenie ataku na urządzenie ofiary.
      Błąd został odkryty przez Center for IT-Security, Privacy and Accountability (CISPA), które natychmiast poinformowało o tym Bluetooth oraz takie firmy jak Amazon, Apple, Cisco, Intel czy Microsoft.
      Luka ochrzczona KNOB (Key Negotiation of Bluetooth) występuje w urządzeniach z Bluetooth Classic w wersji od 1.0 do 5.1. Narażone na atak są więc urządzenia z BR/EDR, a te, które wykorzystują Bluetooth Low Energy (BLE), jak np. słuchawki AirPods, są bezpieczne.
      Jak ostrzegają specjaliści, szczególnie narażone są smartfony, a przede wszystkim proces parowania urządzeń, który może zostać zakłócony przez napastnika. Ten, po zdobyciu klucza, może przechwytywać dane wymieniane pomiędzy sparowanymi urządzeniami.
      Na szczęście, ze względu na zasięg Bluetooth, atak jest o tyle mało prawdopodobnny, że napastnik musi znajdować się w pobliżu. Jeśli jednak już przechwyci komunikację pomiędzy urządzeniami, to ich właściciele nie będą w stanie tego zauważyć.
      Na razie wiadomo, że Apple, Microsoft, Blackberry, Cisco i Google opublikowały odpowiednie łaty oraz porady, w jaki sposób uchronić się przed atakiem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Firma Check Point Software Technologies znalazła błędy w aplikacji WhatsApp. Pozwalają one napastnikowi na zmianę  wiadomości odbieranych i wysyłanych z aplikacji. Ataku można dokonać na trzy różne sposoby. Dwie z nich, w tym jedna już poprawiona, pozwalają na zmianę nadawcy lub odbiorcy informacji, a trzecia umożliwia całkowitą zmianę treści.
      Zespół pracujący przy WhatsApp został poinformowany o błędach już w 2018 roku. Do dzisiaj poprawiono tylko jeden z nich.
      Przedstawiciele Facebooka oświadczyli, że błąd jest związany ze strukturą i architekturą komunikatora, a nie z jego systemami bezpieczeństwa. Specjaliści z Check Point współpracują blisko w zespołem zajmującym się WhatsApp. Obie strony przyznają, że zastosowane w aplikacji mechanizmy bezpieczeństwa utrudniają poprawienie błędów.
      Głównym powodem do zmartwień jest fakt, że aplikacja jest używana przez olbrzymią liczbę osób, a tego typu błędy pozwalają na rozprzestrzenianie propagandy i fałszywych informacji. Nie dalej jak przed dwoma miesiącami WhatsApp było krytykowanie za rozpowszechnianie linków do fake newsów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
×
×
  • Create New...