Új tech trendek és egyebek...

ÚJTECHKOR...

Augusztusi sebezhetőség hullás

A hackerek megtalálhatták az új Szaúd-Arábiát?

2019. augusztus 27. - GABOR2

Gazdag termés volt sebezhetőségi hírekből, mindenki válogathat magának belőle, mert mindenféle volt. Persze ez megtévesztő, mert mindig van egy csomó sebezhetőség ami nem kerül a hírekbe, de a hackerek használják őket, de valamiért most túladagolás volt belőle a médiában.

Úgyhogy nézzük is meg az elsőt. Ez egy gyönyörű példány. Megmutatja, hogy az a narratíva, hogy "ha majd jönnek az újabb technológiák, verziók majd minden sokkal biztonságosabb lesz" mennyire nem igaz már megint.

"Újabb sebezhetőségeket találtak a szuperbiztonságosnak hitt új Wi-Fi protokollban, a WPA3-ban"

"Miután tavasszal két biztonsági szakértő már bejelentette, hogy sikerült megtörniük az addig szuperbiztonságosnak hitt WPA3 szabványt, a napokban a protokoll újabb gyengeségeire derült fény. Ezek ráadásul a felfedezők szerint pont azoknak a "javításoknak" köszönhetők, amiket a gyártók a korábban azonosított sebezhetőségek lezárására építettek be az új Wi-Fi-s szabványba."

Á még ilyen bonusz is van benne, a korábbi javítások miatt lettek újabb sebezhetőségek, mestermű.

Valahogy megint az van, hogy maga a biztonsági megoldás a probléma maga:

"Ironikus módon az új gyengeségeket pont a Wi-Fi hálózat védelmét biztosítani hivatott titkos kulcsot generáló algoritmus erősítésének kísérlete okozza."

Aztán itt van egy másik speciális állatfaj. Maga a cég nyit meg már korábban lezárt rést, vajon miért? Csak nem valami titkosszolgálati közös móka eredményeképpen?

"Óriási biztonsági bakot lőtt az Apple - megint törhetők lettek az iPhone-ok"

"az Apple kizárólag magának, illetve egy biztonsági szempontból igen súlyos bakijának köszönheti. A cég ugyanis valamilyen okból az iOS legújabb, 12.4-es verziójában ismét megnyitott egy olyan biztonsági rést, amit anno a 12.3-as verzióban már lezárt - és ez tette lehetővé az akár legújabb frissítésekkel is ellátott iPhone-ok megtörését, szinte bárki számára."

Aztán vannak sebezhetőségek amik azért különlegesek, mert mondjuk az adott cég valamiért úgy dönt, hogy nem foltozza be. Például:

"Évek óta javítatlan hibán keresztül hackelhetők meg az iPhone-ok"

Első a biztonság nem igaz?

"Az Apple által már több év óta ismert hiba kihasználásával lehet meghackelni az iPhone-okat - derült ki a napokban megrendezésre került Def Con 27 biztonsági konferencián. A sebezhetőség létezéséről az almás vállalat már legalább 2015 óta tud, de mindaddig nem zárta le azt, mert azt hitte: az nem jelent valós fenyegetést felhasználóira."

"A cég azért esett ebbe a hibába..."

Az majd a cikkből kiderül.

De hasonlót tesz egy másik cég is. Igen, úgy tűnik ez az Augusztus az ilyen ritka állatfajták párzási ideje.

"Nem hajlandó javítani az Intel a processzoraiban talált újabb veszélyes hibát"

Csak semmi pánik , a felhőket más módon is simán ki lehet rabolni, de azért így is:

"Az újonnan ismertté vált sebezhetőség a még tavalyi év elején azonosított Spectre típusú biztonsági rések családjában tartozik, viszont az utóbbiakra korábban kiadott mikrokód-frissítések nem képesek kihasználását meggátolni. Így rajta keresztül támadók zavartalanul lophatnak bizalmas adatokat a megtámadott gépekről: jelszavakat, hitelkártya-számokat vagy titkosítókulcsokat, amik felhasználásával aztán persze akár adatok manipulálására vagy kártevők telepítésére is lehetőségük adódhat."

És megintcsak látszik, hogy ezek a cégek milyen felelősek, hogy első számukra a biztonság:

"A hibáról a felfedezők az Intel-t már egy évvel ezelőtt értesítették, a chipgyártó azonban közölte, hogy bár ismert számára a probléma, arra nem áll szándékában foltot kiadni. "

"így végül a közelmúltban a Microsoft adott ki egy foltot annak érdekében, hogy azt mégse tudják kihasználni."

Sebaj mint írtam, még van pár módja annak, hogy ennek ellenére átjáróház legyen minden felhő.

Talán ugyanennek a részletesebb híre ez.

NVIDIA is adott ki sebezhetőségekre javításokat.

"Kritikus biztonsági rések miatt meghajtófrissítést javasol az NVIDIA"

Ráadásul az ilyen fajta hibákból olyan sok lehet, hogy a hackerek a processzorok olajmezeje után megtalálhatták az új Szaúd-Arábiát sebezhetőségi szempontból, legalábbis erről született egy cikk.

"Komoly sebezhetőségek rejtőznek rengeteg eszközillesztőben"

"A hardverekre vonatkozó sebezhetőségeken már meg sem lepődik az ember, hiszen bármennyire is nagyot robbant anno a Spectre és a Meltdown, manapság már a többség szívverése egyáltalán nem gyorsul egy újabb spekulatív végrehajtást kihasználó biztonsági rés bejelentésénél. Az Eclypsium azonban egy olyan területet boncolgat, amely a hardveres sebezhetőségekhez hasonló veszélyeket rejt, azzal a különbséggel persze, hogy ezeket igen jól lehet javítani sebességvesztés nélkül is."

"Az Eclypsium friss beszámolója szerint – amelyről a DEF CON előadást is tartottak – az eszközillesztőben komoly sebezhetőségek rejtőznek, amelyekkel a támadók ring 3-nál, vagyis az adminisztrátor szintjénél is magasabb jogokat szerezhetnek, akár ring 0 szintig is le lehet jutni. Utóbbi gyakorlatilag a kernel szintje, ahova a gyártók képesek meghajtókat telepíteni."

A Microsoft megint "jó" munkát végzet tudhatjuk meg:

"Elméletben mindennek klappolnia kellene, hiszen a Microsoftnak konkrét előírása van a biztonság érdekében, de a gyakorlatban lesújtó a helyzet."

"Az Eclypsium a kutatása minimum 20 ismert céget talált, amelyek sebezhető meghajtókat kínáltak a hardvereikhez, és ami a legérdekesebb, hogy ezek akár Microsoft hitelesítéssel is rendelkeztek, vagyis a felhasználó joggal hihetné, hogy ezek biztonságosak. Ugyanakkor a vizsgált és sebezhető eszközillesztőkön, különböző támadási módokkal, felhasználói módból lehet magasabb jogosultsági szinteket szerezni. Tehát tulajdonképpen egy malware képes szkennelni az adott gépet sebezhető meghajtók után kutatva, és megtalálva a réseket, azokat ki tudja használni, akár adatlopásra, akár az érintett hardver firmware-jének módosítására is. Utóbbi eléggé veszélyes, mert gyakorlatilag az operációs rendszer újratelepítésével sem szűnik meg a probléma, hiszen az ártó szándékú kód már beírta magát a hardver firmware-jébe."

Hatalmas olajmezőról van szó:

"Az Eclypsium szerint az érintett cégek között van az ASRock, az ASUS, az ATI (AMD), a Biostar, az EVGA, a Getac, a Gigabyte, a Huawei, az Insyde, az Intel, az MSI, az NVIDIA, a Phoenix Technologies, a Realtek, a SuperMicro, illetve a Toshiba, de még többen is, csak bizonyos vállalatokat nem lepleztek le, mivel szabályozott környezettben tovább tart a javítás biztosítása, így nem lenne célszerű a támadók tudtára hozni, hogy mely rendszerek lehetnek sebezhetők. "

Aztán természetesen szinte már nem is lehet, hogy ne jöjjön egy ilyen hír. Egy olyan sebezhetőségre is leltek, ami valahogy már megint ez van... figyelmen kívül hagyta a felhasználók privát szféráját védő beállításokat.

"Két adatszivárogtató bugot javított a Twitter"

"A vállalat több esetben a felhasználók beállításait figyelmen kívül hagyva továbbította adataikat hirdetőpartnerei felé."

Fenevigyeel, már megint... de ha már itt vannak ezek az adatok, hát használjuk.

Egy szomorú hír a játékokat kedvelőknek:

"Súlyos biztonsági rés van a Steam kliensében - és nincs javítás rá"

"Azok a gépek amiken megtalálható a Valve Steam kliense, könnyedén hackerek áldozatává válhatnak - derült ki a hét közepén. Az ismert online játékáruház szoftvere ugyanis egy súlyos sebezhetőséget tartalmaz, aminek kihasználásával akár a gépek feletti ellenőrzést is át lehet venni."

"A problémát a Steam Client Service nevű rendszerszolgáltatása képezi, illetve az, hogy annak telepítője bizonyos, a szolgáltatáshoz kapcsolódó registry-kulcsokra túl megengedő biztonsági korlátokat állít be. Emiatt utóbbiakat gyakorlatilag tetszőleges, az adott gépén futó szoftver módosíthatja, és ráveheti a rendszert arra, hogy a Steam-é helyett az ő kódját töltse be, ami aztán a lehető legmagasabb jogosultságok mellett fut majd a gépen."

Ez is egyfajta problémamegoldás... ha nem tudod megoldani, mond azt, hogy az nem is probléma, vagy kusshadj meg mint a felhős cégek amikor a processzor sebezhetőségekről van szó.

A súlyos biztonsági résről annak felfedezője azt állítja, hogy már több mint egy hónapja értesítette a Valve-ot, ami azonban visszautasította, hogy sebezhetőségnek tekintse az és kijavítsa. 

"A szakértő emiatt döntött a hiba részleteinek nyilvánosságra hozatala mellett - aminek hátránya azonban, hogy most azt már bárki kihasználhatja, mivel lezárására egyáltalán nem érhető még el javítófolt.

A Valve ugyan a héten is kiadott egy frissítést a Steam klienshez, ez azonban még mindig tartalmazza a szóban forgó sebezhetőséget."

Aztán következő versenyzőnk itt van egy nagyon szép javíthatatlan sebezhetőség:

"Javíthatatlan sebezhetőséget találtak a Xilinx Zynq UltraScale+ fejlesztésekben"

Ez egy díjnyertes sebezhetőség, mert amilyen javíthatatlan olyan fontos rendszerekbe menne:

"A hardveres biztonsági rések utáni kutatás nem állt le, de ezúttal nem az egyes processzorok spekulatív végrehajtása okoz bajt, hanem a Xilinx Zynq UltraScale+ fejlesztéseken belül talált az F-Secure két olyan sebezhetőséget, amelyeket szoftveresen nem is lehet javítani. Ez azért elég nagy probléma, mert az említett sorozatba tartozó rendszerchipeket a gyártó autókba és repülőkbe, továbbá katonai és ipari felhasználásra is szánja."

Vajon mi fog győzni a nagy csatában, a rövidtávú profit hajhászás, vagy az órdító biztonsági hiányosság miatti "köszönöm, ezt a szart nem".

Aztán egy hír ami mutatja, hogy a sebezhetőségek száma annyi mint égen a csillag, mégha nem is reklámozzák őket, és persze hiába foltoztak be most sokat, még sokkal több vár ránk.

"Brutális mennyiségű biztonsági hibát javít az új Android 10"

Persze ha úgy jönnek a javítások, hogy csak a legújabb verzióra, akkor az fel veti a kérdést, hogy...

"A Google egyelőre nem közölte, hogy a hibák közül hány érinti az Android korábbi kiadásait is, azt viszont igen, hogy nincs tudomásuk arról, hogy a közel kétszáz sebezhetőség bármelyikét kihasználnák jelenleg az Android-felhasználók megtámadására, amit a cég szerint a Google Play platform biztonsági rendszere egyébként is erősen korlátozna."

Legalább lesznek akik hamarabb akarnak váltani.

Aztán a végére legalább annyi jó jusson, hogy azt írják, hogy régebbi termékeket érint csak:

"Biztonsági résre bukkantak régebbi Lenovo notebookokban"

"Nagyon komoly biztonsági résre bukkant a Pen Test Partners a Lenovo Solution Center nevű alkalmazásban, amely korábban alapértelmezetten telepítésre került a kínai cég notebookjaira – a korábban itt a 2011-2018 közötti periódusra vonatkozik, tehát akár még egy mostanában vásárolt noteszgép is érintett lehet."

A megoldás tehát adott, válaszd az új terméket.

"a cég által kiadott közlemény arra hívja fel a felhasználók figyelmét, hogy a cég által már nem támogatott szoftvert a lehető leggyorsabban távolítsák el számítógépükről, és helyette a 2018 áprilisában kiadott Lenovo Vantage vagy Lenovo Diagnostics programokat használják."

Persze igazából a legújabb verziókban is vár ránk sok-sok új sebezhetőség, amiket titokban már lehet ki is használnak, úgyhogy ez igazából csak egy álmegoldás.

Elképzelem, hogy amikor kiépül az ipari IoT, önvezető autók stb. milyen klassz lesz majd az a hír, hogy upppsz... javíthatatlan hiba van, amíg nem lesz az összes hardver cserélve addig is... addig is mi lesz?

A sebezhetőségek olyanok a számítástechnikában mint a végtelen, kifogyhatatlan tenger. Éppen ezért fontos dolgokat rábízni nem túl okos dolog.

 

 

A bejegyzés trackback címe:

https://ujtechkor.blog.hu/api/trackback/id/tr2115027466

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.