| יום רביעי, 16 בפברואר 2011 | יב' באדר א' תשע"א | |
|
|
|
| |
 |
פרצות אבטחה חמורות וטלאים קריטיים ממיקרוסופט, Adobe, אורקל וסיסקו
|
| |
 |
גבוהה מאוד
|
| |
 |
מיידית (ר' המלצות להתנהגות בהמשך) |
|
|
|
|
|
|
|
|
ללקוחותינו שלום,
|
אין כמו להתחיל את היום בבדיחה טובה אז לפני התראות ואירועי אבטחת מידע, בדיחה קצרה להתחלת היום בחיוך:
מדענים צרפתים חפרו לעומק 1,000 מטר ומצאו סימנים לכבלי נחושת מלפני כ-1,000 שנה. הצרפתים הגיעו למסקנה שכבר לפני הרבה דורות היתה לצרפתים הקדמונים רשת טלפוניה. המדענים האנגלים, שלא רצו לפגר אחרי הצרפתים, החליטו לחפור לעומק של 2,000 מטר. ההודעה לעיתונות לא איחרה להגיע ואמרה בחגיגיות: "ארכיאולוגים אנגלים מצאו שרידים של כבלים אופטיים מלפני 2,000 שנה מה שמצביע שכבר אז היו לאנגלים רשתות מתקדמות". לא עבר שבוע ונצפתה מודעה בעיתון ישראלי: "אחרי חפירות בעומק של 5,000 מטר בירושלים לא מצאו הארכיאולוגים שום דבר. המסקנה: כבר לפני 5,000 שנה השתמשו העברים הקדמונים ברשתות אלחוטיות..." (נשמח לקבל מכם בדיחות)
וחזרה למציאות...
כהרגלה בכל חודש, שיחררה בשבוע שעבר (8.2) מיקרוסופט את סט העדכונים החודשי שלה, שכלל 12 טלאי אבטחה חשובים. שלושה עדכונים הוגדרו ברמת סיכון "קריטית" ותשעה נוספים הוגדרו כ"חשובים", בעיקר עקב חוסר העקביות בנסיונות מימוש הפרצות.
Adobe מפרסמת מידע על 30 פגיעויות שונות במגוון אפליקציות פופולריות, עבור כולן פורסם גם תיקון אבטחה מתאים. כל הפגיעויות עלולות לאפשר גישה למשאבי המערכת ממחשב מרוחק, לאחר ניצול מוצלח.
חברת CISCO פרסמה 24 פרצות ב-4 מוצרים שונים, בהם Cisco IOS, ASA5500. עבור אחת מהפרצות עדיין לא קיים טלאי אבטחה אולם ניתן להקשות על ניצולה על-ידי שינויי תצורה מתאימים.
חבילת עדכונים קריטיים גדולה שוחררה גם על-ידי Oracle עבור מגוון תוכנות, והיא כוללת 28 טלאי אבטחה הנחלקים בין 24 מוצרים מגרסאות שונות.
באופן כללי, דירוג רמת החומרה של פגיעות מסוימת על-ידי היצרן מושפע ממספר גורמים, כגון:
- פוטנציאל הניצול של הפגיעות
- תוצאותיו המשוערות ועקביות קבלת התוצאות בפועל
- נפיצות האפליקציה המכילה את הפגיעות
- חשיבותה של האפליקציה בארגון
אנו ממליצים לבחון לעומק את האפליקציות המכילות את הפגיעויות שפורסמו ואת פריסתן בארגון שלכם, מכיוון שלעיתים תתכן אי-התאמה בין רמת החומרה המיוחסת לפגיעות על-ידי היצרן לבין משמעות הפגיעות בארגון שלכם.
בברכה,
צוות איי פי וי סקיוריטי בע"מ
|
|
|
|
|
|
 |
מיקרוסופט |
|
|
|
|
|
כאמור סט העדכונים של חודש פברואר פורסם בשבוע שעבר (8.2) וכלל 12 טלאים בדרגת סיכון "חשוב" ומעלה, מתוכם 3 בדרגה "קריטית".
שלושת העדכונים שהוגדרו כ"קריטיים" באים כדי לתקן פגיעויות הניתנות למימוש ברוב מערכות ההפעלה מבית מיקרוסופט, אולם באחד מהם (MS11-003) ניצול מוצלח של הפגיעות תלוי בגרסה המותקנת של דפדפן ה-IE. מקריאת הנתונים עולה פרט מעניין, והוא שדווקא הגרסאות העדכניות יותר של דפדפן ה-IE חושפות מערכות הפעלה נוספות לניצול הפגיעות שהתגלתה.
שני העדכונים הקריטיים האחרים (MS11-006, MS11-007) באים כדי לתקן פגיעויות במנגנון יצירת ה-"thumbnail image" ובדרייבר הפונטים "OpenType" בהתאמה.
כל הפגיעויות שהוגדרו ברמת סיכון "קריטית" מאפשרות לאחר ניצול הרצת קוד ממחשב מרוחק.
שאר העדכונים שהוגדרו ברמת סיכון "חשובה" רלוונטיים עבור שורה ארוכה של מערכות הפעלה ושירותים מבית מיקרוסופט, כגון שרת ה-FTP ב-IIS7.0-7.5, מערך ה-AD ב-Server2003 ועוד. למרות שגם כאן מרבית הפגיעויות מאפשרות הרצת קוד זדוני לאחר ניצול - אחוזי ההצלחה נמוכים ואינם עקביים.
את הSecurity Bulletin המלא של מיקרוסופט ניתן לקרוא כאן:
http://www.microsoft.com/technet/security/bulletin/ms11-feb.mspx
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Adobe |
|
|
|
|
|
במהלך החודש פרסמה חברת Adobe 30 פגיעויות קריטיות ברמות שונות במוצריה. בין התוכנות ניתן למצוא את: Adobe Acrobat, Adobe Reader, Shockwave Player, Flash Player ואחרות כאשר למעשה כמעט כל גרסאות התוכנות השונות מושפעות מפרצות אלו.
ניצול הפרצות יכול להתבצע לדוגמה על-ידי הכנת קובץ PDF ופתיחתו על-ידי הקורבן או באמצעות הקמת אתר זדוני שאפילו ביקור "רגיל" בו יפגע במשתמשים.
מידע נוסף ניתן למצוא באתר החברה, במאמרים הבאים:
http://secunia.com/advisories/43207/
http://secunia.com/advisories/43267/ (אותן פרצות, אולם התוכנות הפגיעות שונות)
|
|
|
|
|
|
|
|
|
|
סיסקו |
|
|
|
|
|
|
|
|
|
|
|
|
אורקל |
|
|
|
|
|
28 פרצות שונות, מספר מועט יחסית, במגוון תוכנות שוחררו בעדכון החודשי מבית Oracle (Oracle CPU). רשימת התוכנות הפגיעות כוללת את Oracle Database, Oracle Secure Backup, Oracle PeopleSoft Enterprise, ואחרות.
רוב הפגיעויות שנמצאו קיבלו את דירוג הסיכון "Highly Critical" והשפעותיהן נעות בין גישה למשאבי המערכת, מניפולציה אפשרית של נתונים קיימים, חשיפת מידע רגיש ועוד. בצד החיובי ניתן לראות כי מרבית הפגיעויות שפורסמו לא ניתנות לניצול ממחשב מרוחק.
כל התיקונים הרלוונטיים לפרצות הנ"ל זמינים להורדה והתקנה כטלאי אבטחה נפרדים. כמו תמיד, אורקל ממליצה באופן ברור להתקין בהקדם את טלאי האבטחה, ולא להטמיע פתרונות "workarounds" שונים למרות זמינותם.
מידע ואפשרויות תיקון לגבי כ"א מהפגיעויות ניתן למצוא כאן:
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
עדכון קצר מאיי פי וי סקיוריטי |
|
|
|
|
"ענן השקט שלך" - Security Auditing As a Service
שירות ניטור והתראה העונה על דרישות תקנים כגון: iSOX, SOX, PCI-DSS
לפרטים נא מלאו את הטופס בלינק זה ונציגינו יחזרו אליכם תוך 24 שעות.
נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.
שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- alerts@ipvsecurity.com
להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!
הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.
הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.
|
|
|
|
|
|
|
|
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2011) © |
|
 |
ארכיון התראות
תגובות (0)
הוסף תגובה