- Aktualizace -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Microsoft vydal novinkami nejnapěchovanější Windows 10 Insider Preview za dlouhou dobu

9.6.2017 CNEWS.cz Aktualizace
Na co se můžete těšit? Více nového designu, zase zajímavější Edge a pak na milion drobností.

Na pokračování programu Windows Insider jsme si museli počkat celé tři týdny. Čekání za to stálo, protože nové sestavení přináší spoustu novinek. Připomínám, že původně chtěl Microsoft nové vydání Windows 10 Insider Preview nabídnout v minulém týdnu, jenže se něco nepovedlo a k počítačům a mobilům zamířilo interní sestavení 16212. Toto fiasko nám aspoň pomohlo odhalit kousek budoucnosti.

Včera večer na počítače a tablety zamířil Windows 10 Insider Preview build 16215, na smartphony pak Windows 10 Mobile Insider Preview build 15222. Obě sestavení jsou dostupná pouze prostřednictvím Fast ringu.

Nový design a další vylepšení Centra akcí a nabídky Start

Nejviditelnější novinku představuje předělání dalších prvků do designu Fluent. Proto pokud máte aktivní průhlednost, bude nabídka Start průsvitná ve stylu nového designu. Start se plynuleji přepíná do tabletového režimu, především ale v neceloobrazovkovém režimu poskytuje více možností, jak změnit její velikost. Pryč je úprava velikostí ve vybraných stupních, navíc lze měnit velikost úhlopříčně.

Centrum akcí je přehlednější a zapadá do nového designového stylu
Centrum akcí je přehlednější a zapadá do nového designového stylu (Foto: Microsoft)
Co se estetiky týče, výrazně upraveno bylo Centrum akcí. Kromě toho, že je rovněž přepracováno do nového designu, na pohled jiným způsobem prezentuje zmeškaná oznámení. Seskupuje je podle aplikace nebo typu zařízení. První zkušenost napovídá, že je to změna k lepšímu a že bude Centrum přehlednější, ale na velká hodnocení je zatím brzy.

Zaplňování děr v Edgi

Co Microsoft nezmiňuje? Adresní řádek je vždy bílý, nikoli šedivý.
Prohlížeč nastupující Internet Explorer není špatný, ale stále není dostatečně dobrý, abychom jej doporučovali pro náročnější použití. Microsoft do něj v této verzi konečně přidává možnost připnout weby na hlavní panel. To uměl už Internet Explorer a patřil jsem k těm, kteří poslední dva roky volali po tom, aby se připínání naučil také Edge.

Osobně jsem volal také po celoobrazovkovém režimu, který vyvoláte mj. klávesovou zkratkou F11. Trvalo to jen dva roky a tato banální funkce je v Edgi konečně dostupná. (Tedy, pro většinu lidí bude dostupná až během podzimu.) Prohlížeč se dále zlepšil v práci s e-knihami. V těch si teď zvýrazníte důležité pasáže – k dispozici jsou čtyři barvy, dále podtrhování i komentáře. Více zvýrazňovačů je k ruce i při práci s dokumenty v PDF.

Kdo pracuje s poznámkovým aparátem, bude s Edgem o kousek spokojenější
Kdo pracuje s poznámkovým aparátem, bude s Edgem o kousek spokojenější (Foto: Microsoft)
Z malých novinek ještě zbývá zmínit možnost zavřít okno prohlížeče i ve chvíli, kdy je zobrazen nějaký javascriptový dialog. Z kontextové nabídky panelů můžete přidat aktuálně otevřené stránky k oblíbeným položkám (do nové složky). Animace otevření a zavření panelu jsou plynulejší, obnova relace je chytřejší. Když se prohlížeč spouští kvůli otevření odkazu, přepne vás rovnou na nový odkaz.

Ruční psaní

Mnoho novinek je spojených s ručním psaním. Ty ovšem využije minorita uživatelů a uživatelek – tablet s Windows není zdaleka tak běžný jako počítač s Windows, natož pak tablet s digitálním perem. Psát můžete do nového panelu, který automaticky uvolňuje místo pro další text a nechá vás psaním opravovat chyby v textu převedeném do digitální podoby. Můžete také hledat ztracené pero podobně ztracený počítač. Novinek je více, dočtete se o nich na blogu Windows Experience.

Klávesnice

Microsoft se věnoval také psaní pomocí klasické hardwarové klávesnice. I s ní se snadno otevřete nabídku emoji, stačí zmáčknout klávesy Win+. nebo Win+;. Pomocí klávesnice lze pohodlně ovládat kompletní proces výběru a vložení emoji. Jen zatím platí, že tato novinka není dostupná na klávesnici v jiných jazycích, jen v americké angličtině.

Jak předeslalo omylem uvolněné sestavení 16212, Microsoft pracoval na nové softwarové klávesnici. Jedná se o klávesnici vycházející ze SwiftKey, takže nabízí možnost psát pohybem prstu. Tento koncept už dříve nabízel v mobilní edici Windows, nově je ale stejná možnost dostupná také na počítačích a tabletech.

Nová klávesnice mj. nabízí chytřejší návrhy
Nová klávesnice mj. nabízí chytřejší návrhy (Foto: Microsoft)
Klávesnice dále slibuje chytřejší návrhy slov (zatím ale jen pro americkou angličtinu) a pohodlnější vkládání emoji. Dále vznikla malá verze klávesnice vhodná pro psaní jednou rukou. Dokonce je k dispozici diktování, takže bude text automaticky přepisován. Ani tato funkce není dostupná v českém prostředí.

Další novinky

Seznam novinek je dnes skoro nekonečně dlouhý, takže dál to vezmeme zkratkovitě:

Sdílení se dočkalo dalšího rozšíření. Nyní nabízí ke zkopírování odkaz, pokud tedy hodláte sdílet webovou stránku či aplikaci ze Storu.
Univerzální aplikace jako Groove nebo Fotografie už nebudou ignorovat lokálně uložené soubory. Při prohledání úložiště vám relevantní soubory nabídnou k importu.
Byla zlepšena spolehlivost a pár drobností ve funkci My People.
Po ručním vypnutí či zapnutí Nočního osvětlení dojde k rychlejšímu barevnému přechodu. Totéž platí pro restart zařízení.
Byly přidány nové možnosti nastavení přehrávání videí, včetně určení, zda preferujete kvalitu, nebo raději delší běh na akumulátor.
V Nastavení můžete změnit asociovat podle programu. To dosud šlo jen v Ovládacích panelech. V Nastavení jste mohli měnit asociace s jednotlivými příponami.
Nastavení profilu sítě (veřejná či soukromá) je viditelnější.
Přehled bezdrátových sítí obsahuje kontextovou nabídku, odkud můžete rychle pracovat se sítěmi.
Windows Update vám umožní sledovat stav instalace jednotlivých aktualizací a aplikovaných zásad.
Pár vylepšení se dotklo herního panelu (lze snímat obrazovku v režimu HDR).
Došlo i na vylepšení pro vývojářskou komunitu.
Jako vždy byly zlepšeny funkce pro handicapované. (Přibyly i barevné filtry obrazu, které značně rozšiřují původní režim vysokého kontrastu.)
V tomto sestavení opět funguje stahování jazykových balíčků, zato nefunguje stahování funkcí, které můžete dodatečně zapnout. To se týká např. frameworku .NET nebo aktivace vývojářského režimu. Pokud cokoli podobného požadujete, proveďte instalaci před upgradem na sestavení 16215. Kompletní seznam novinek, oprav a známých chyb naleznete na blogu Windows Experience. (Mobily opět čeká jen pár oprav.)

Google Chrome automaticky blokovat škodlivý stažení

6.11.2013 Aktualizace

Google plánuje přidat novou funkci svého prohlížeče Chrome, který bude blokovat škodlivý stahování automaticky, pomáhá předcházet drive-by download a druh malwaru, který jezdí spolu s údajně legitimní software.

Nový přírůstek do Chrome už je ve vývoji frontě, objevit se ve společnosti Kanárských kanál, který je nejdříve vývoj verze k dispozici. Tato funkce je určena k ochraně uživatele proti druhu malware, který je často nainstalován s vědomím uživatelů, a provést změny svých strojů nebo nainstalovat jiné škodlivé komponenty, jako jsou keyloggery a trojské koně.

Díky této nové funkce povolena, bude Chrome zobrazí uživatelům malé oznámení v dolní části okna prohlížeče, který je upozorňuje, že stahování bylo zablokováno automaticky.

"V současné Kanárských stavět Chrome, budeme automaticky blokovat stahování malwaru, který se zachytí. Pokud vidíte tuto zprávu v sekci ke stažení zásobníku v dolní části obrazovky, můžete kliknout na "Odmítnout" vědět Chrome se snaží udržet v bezpečí, "Linus Upson, viceprezident společnosti Google, uvedl na svém blogu vysvětluje změny.

"Toto je navíc k 10.000 nových stránkách jsme vlajky na den s Bezpečné prohlížení , která se používá v Chrome a další prohlížeče, aby více než 1 miliarda internetových uživatelů v bezpečí. "

Spolu s přidáním automatické blokování škodlivého stažení, nadcházející verze Chrome bude také mít funkci, která se vrátit zpět prohlížeče uživatelů nastavení do původního stavu pouhým stisknutím tlačítka. To může pomoci uživatelům zotavit se z malware, který mění nastavení prohlížeče, obnoví domovských stránkách a brání uživatelům "od odstranění plugin nebo rozšíření.

"Zlí hoši přimět vás k instalaci a spuštění tohoto druhu softwaru, neboť shrnují s něčím budete chtít, stejně jako bezplatné spořiče obrazovky, videa nebo plugin-ironický má bezpečnostní aktualizace . Tyto škodlivé programy se maskují, takže nebudete vědět, že tam jsou a mohou změnit domovskou stránku, nebo injekci reklamy na stránkách, které procházíte. Horší je, že blokují vaši schopnost změnit své nastavení a zpět, aby se těžké odinstalovat, udržet si v pasti nežádoucího stavu, "řekl Upson.

"Jsme kroky, které vám pomohou, včetně přidání "reset nastavení prohlížeče" tlačítko v poslední aktualizaci Chrome, který vám umožňuje snadno vrátit Chrome z výroby čerstvém stavu. Můžete je najít v "Advanced Settings" v nastavení Chrome. "

Oracle Čtvrtletní aktualizace obsahuje opravy pro 50 dálku spustitelné chyby Java
16.10.2013 Zranitelnosti | Update

V úterý se poprvé byly Java aktualizace zabezpečení součástí čtvrtletního Oracle Critical Patch Aktualizace - a stejně rychle, Java neztrácel čas zvedat se jako nejlepší starost o Oracle adminy a odborníků v oblasti bezpečnosti.

Z 51 záplat Java uvolněných, 50 umožnit vzdálené spuštění kódu a 20 dostali nejvyšší hodnocení kritičnosti Oracle.

"Většina chyb se soustředí na straně klienta v jazyce Java, tedy ve stolních / notebook nasazení, s nejčastější způsob útoku je prohlížení internetu a škodlivé webové stránky, ale tam jsou dvě vysoce kritické chyby, které se rovněž vztahují na serverové nasazení," řekl Qualys CTO Wolfgang Kandek.

Uživatelé jsou vyzýváni, aby okamžitě upgradovat na verzi Java 7 Update 45; Java 6 instalace jsou také citlivé na téměř tucet kritických chyb, odborníci a dodal, že uživatelé by se měli vyhnout umožňuje plug-in zcela nebo izolovat Java 6 strojů.

"V ideálním případě budou uživatelé vypnout Java plugin, pokud to není výslovně nutné a spusťte jej pouze v prohlížeči, který můžete použít pouze pro ty, jednu nebo dvě stránky, které vyžadují plugin," řekl Ross Barrett, vedoucí bezpečnostní inženýr Rapid7. "Jinak, spouštět aplikace Java v nejvíce omezeném režimu a umožňují pouze podepsané applety z bílé památek zapsaných ke spuštění."

Java 6, je však již nejsou podporovány společností Oracle a bezpečnostních záplat nejsou vyvíjeny.

"Doporučené akce pro Java 6 zde je upgrade na Java 7, pokud je to možné," řekl Kandek. "Pokud nelze upgradovat, bych doporučil izolovat stroj, který potřebuje Java 6 běží a nepoužívejte jej k jiným činnostem, které se připojují do Internetu, jako je například e-mail a prohlížení."

Odborníci připomínají, že uživatelé i nejnovější Java aktualizace také zahrnuje podepsání kódu omezení a pop-upy varování uživatelů, které nepodepsané aplety Java představovat bezpečnostní riziko, a že nebudou provádět automaticky ve výchozím nastavení.

Známý Java chyba lovec Adam Gowdiak řekl Threatpost, že opravy i ztvrdlé interakce LiveConnet kódu, prohlížeč, funkce, která umožňuje applety komunikovat s motorem javascript v prohlížeči a Java Rich Internet Applications.

"Díky této souvislosti jsou některé další varovné dialogy se uživateli zobrazí před umožňující volání z JavaScriptu Java," Gowdiak a dodal, že Oracle také oprava a reflexní API zranitelnost podal na společnost.

Na straně serveru byly záplatované CVE-2013-5782 a CVE-2013-5830. Chyby byly nalezeny v Oracle JRockit, Java Virtual Machine postaven do jejího Oracle Fusion Middleware.

"Kromě oprav Java, nic jiného, ​​vyskočí za mimořádně zajímavé," řekl Barrett Rapid7 je.

Celkově lze říci, že jsou 127 skvrny na CPU Oracle, které se dotýkají většina z produktové řady Oracle. Kromě zranitelností Java, jen jiná chyba blíží stejnou úroveň kritičnosti je MySQL Enterprise Monitor, ale to není vzdálené spuštění chyba. MySQL Enterprise Monitor je real-time management rozhraní, které bdí nad databází MySQL pro výkon, dostupnost a bezpečnost.

Databáze manažeři by měli být informováni o čtyři záplaty pro RDBMS Oracle, z nichž všechny jsou vzdáleně zneužít, když poukazuje na to, že Kandek Oracle databáze nejsou vystaveny na internetu.

K dispozici je 17 záplaty pro Oracle Fusion Middleware, tucet z nich jsou vzdáleně zneužít. Zvenčí v dokumentu komponentní Fusion používá také v Microsoft Exchange instalace je také oprava v této aktualizaci. Funkce získal nějakou pozornost s aktualizací Microsoft srpna Patch Tuesday . Útočník by mohl získat vzdálený přístup nalákat uživatele k otevření nebezpečného souboru s aplikací Outlook Web Access.

Oracle také vydal tucet záplaty pro své řady Sun produktu, včetně chyby v modulu Sun SPARC správu serveru, které by mohly poskytnout útočníkovi přístup k řadě důležitých funkcí pro správu.

Zbývající opravy chyby řeší bezpečnost v produktu Oracle Enterprise Manager Grid Control, řada podnikových aplikací Oracle, včetně dodavatelského řetězce, PeopleSoft, Siebel a iLearning, průmysl, finanční a Primavera Apps.

Udělejte si čas a vyjadřuje, jak Microsoft Patch Tuesday Ukázalo 10

2.10.2013 Zranitelnosti | Aktualizace
andrew_stormsDne 09.10.2003 společnost Microsoft oznámila, že nový bezpečnostní opravou proces, který by skončil být katalyzátorem pro významnou změnu v komunitě informační bezpečnosti. Před deseti lety, program byl oznámen tiskové zprávy, které slibovalo

"Zlepšení procesů patch management, politik a technologií, které pomáhají zákazníkům zůstat až do dnešního dne a bezpečný."
"Globální vzdělávací programy poskytnout lepší pokyny a nástroje pro zajištění systémů."
V tiskové zprávě , generální ředitel společnosti Steve Ballmer řekl: "Náš cíl je jednoduchý: dostat naši zákazníci zajistit a udržet je v bezpečí. Naším cílem je chránit naše zákazníky před rostoucí vlně kriminálních útoků. "

Ti z nás pracuje v bezpečnostním průmyslu nebo firemní informační bezpečnosti odpovědnost viděl jako přímá reakce od známého Trustworthy Computing poznámky z pera Billa Gatese v lednu 2002. Známky byly jasné. Microsoft byl konfrontován s vážným dilematem. Jeho software byl prošpikovaný bezpečnostních děr, které byly, které mají přímý negativní dopad na bezpečnost svých zákazníků, dostupnosti a soukromí. V podnikové IT, Microsoft se rychle dostal svou vlastní přezdívku "nutné zlo." IT manažeři byli nuceni používat software společnosti Microsoft pro své obchodní funkce, ale to přišlo za cenu vážných bezpečnostních rizik.

Ať už jste líbí nebo pohrdání Microsoft, nové iniciativy v oblasti bezpečnosti začala před 10 lety vytvořil velkou vlnu změn v našem oboru informační bezpečnosti.

Pro začátek, Microsoft dokázal bezpečnostní komunity, že komunikace je klíčovým kamenem vztahy s dodavateli. Nikdo nemá rád přiznat, že mají bezpečnostní problémy. Microsoft vzal skok nejen přiznat, že měl problém, ale také zavazuje poskytovat průběžné komunikaci se svými zákazníky a na všech výpočetních uživatelům. Microsoft začal blogovat o bezpečnostních otázkách a také se pustil do závažných odchozích komunikačních kampaní zaměřených na informování uživatelů.

Microsoft ukázal, že komunikace a vztahy jsou obousměrné. Powerhouse nakonec začal ve věku, kdy to přijali stejnou komunitu lidí, kteří byli zodpovědné za vyhledávání a veřejně uvolňovat bezpečnostní díry v softwaru. V současné době zveřejnění závažných bezpečnostních děr Microsoft je nyní výjimkou.

Také plánování zdrojů je tabulka podíly v podniku IT svět. Být nákladové středisko moc nepomůže, ale má tradičně nedostatečně a nedoceněný. Co je podnikové IT nebo bezpečnostní manažer dělat, když jejich primární prameny dodavatele softwaru na nich kritické opravy zabezpečení pomocí do-or-die následky? Historicky, a tak i dnes, mnoho z probíhajících projektů se snížil na rychle přerozdělit zdroje do okamžiku kritické opravy zabezpečení. Život ve světě neustálého přerušení poškozuje morálku dokončení všech plánovaných projektů.

Pomocí nového Microsoft konzistentní načasování verzi záplaty, podnikové IT může záviset na plánu a alokovat zdroje odpovídajícím způsobem. Měsíční cyklus záplatování brzy stal se lépe známý jako Patch Tuesday. Později v roce splatnosti modelu Microsoftu, bylo by to zavést moderní oznamovací službu. Víme, že dnes ve čtvrtek před Patch Tuesday, kdy jsme obdrželi vysoké úrovni úryvek o tom, co očekávat příští týden.

Microsoft také ukázal hodnotu konzistence jinými způsoby. Například Microsoft vzal brzy odvážný krok definovat své hodnocení bezpečnostnímu významu a dělal definice veřejnosti. Dokonce i Microsoft bulletinu zabezpečení textový formát a úseky byly dodány v jednotném formátu, který odborníci na bezpečnost si zvykli spoléhat. Bezpečnost lidí, jako je opakovatelné a spolehlivé systémy. Microsoft vydal právě to.

Třikrát hurá na Patch Tuesday. Je to každé druhé úterý v měsíci, že jsme oba láska a nenávist. Před deseti lety, Patch Tuesday iniciativy vytvořil hluboký přínos pro všechny společnosti, spotřebitele tím, že je snazší udržet systémy skvrny a bezpečnější. V té době, myšlenka se zdálo tak cizí, ale od té doby získal tolik po jiných výrobců, jako je Cisco, Adobe a Oracle následovaly. Strávit jen pět minut dnes a zvážit, kde budeš dnes bez Microsoft přičemž skok před 10 lety.

Bdělý Aktualizace softwaru a jeho informační řešení ochrany

27.9.2013 Aktualizace | Bezpečnost

Bděte Software vydala RightsWATCH 5.0, který rozšiřuje bezpečný tok informací v organizaci a automaticky uplatňovat podnikové zásady zabezpečení, aniž by uživatelé museli učinit rozhodnutí nebo dělat práci navíc. Tím je zajištěno, že utajované informace mohou být použity platnými uživateli kdekoliv, i když jsou mimo bezpečné perimetru sítě a používání BYOD zařízení.

"Bděte vybudovala velmi pěkné řešení na vrcholu práv Microsoft Management (RMS) platformy. Bděte klasifikace a rozšíření pro správu zásad na serveru RMS a jeho aplikací Microsoft Office klientem dobře integrovaný, a poskytují několik důležitých funkcí pro uživatele i IT správcům pomoci urychlit přijetí, usnadnění nasazení a chrání stále širší rozsah dat v podniku, "vysvětluje Dan Plastina, Microsoft Rights Management Services správce skupiny. "Myriad úniku dat události nám ukázaly, že je to prostě nestačí k zajištění perimetru sítě. S příchodem Bring Your Own Device technologie, jako jsou chytré telefony a tablety, schopnost kontrolovat hraniční sítě a omezit tak informace mohou jít, je prakticky mrtvý, "vysvětluje Rui Melo Biscaia, ředitel vývoje produktů v pozorným Software. "RightsWATCH 5.0 dále rozšiřuje schopnost produkovat a konzumovat Microsoft RMS chráněného obsahu na širokou škálu mobilních zařízení, nyní zpřístupňuje plně vybavený e-mailový klient pro Android OS zařízení, jakož i stávající iOS a Blackberry platformy, "přidal Biscaia. Nejnovější verze RightsWATCH data-centric Protection Suite podporuje bezpečnou spolupráci v moderním podniku, rozšířením interoperabilitu mezi RMS a SharePoint pro povinné klasifikaci dat a ochranu, stejně jako použití dynamicky obsah a kontext povědomí DLP pravidel na e-maily, i když jsou vytvořeny pomocí aplikace Outlook Web rozhraní pro přístup. Ve shodě s verzemi Microsoft a cestovní mapy, RightsWATCH je nyní plně kompatibilní s nejaktuálnější verzí systému Windows, Office, SharePoint a Windows Server.

Více lahůdky Apple Security košíku aktualizace!

18. září 2013. Aktualizace

APPLE-SA-2013-09-18-3
Aktualizace OS X, který řeší situace, kdy je hostname v osvědčení nejsou kontrolovány proti skutečné hostitele. Tato chyba znamená, že kdokoli s platným certifikátem může vydávat se za jinou řadu - spousta útočných aplikací v této, v kombinaci s MITM nebo DNS útočníkům

APPLE-SA-2013-09-18-2
Absolutní TON aktualizace pro IOS, který by měl být žádným překvapením, v nové verzi. Mezi hlavní výhody patří aktualizace do kořenové certifikáty, opravy kódu pro využití otázek před škodlivým PDF a videosekvence a bypass pro heslo povolený limit, což škodlivý app hrubou silou přístroj odemknout kód.
Také některé zábavné opravy pro několik cross-site skriptovací vydá do Webkit (která je poskytovatelem funkcí prohlížeče v IOS)

Útoky na Patří přetečení zásobníku, chybí na hranice kontroly a některé zábavné útoky režimu jádra!

Jako vždy, dávejte pozor na podrobné údaje o bezpečnosti Page Apple Update naleznete zde ==> http://support.apple.com/kb/HT1222

Apple DDOS? Ne, jen aktualizace sestupuje!

18. září 2013. Aktualizace | OS

Množství tisku, že Jablka IOS 7 aktualizace dostali dnes má nezamýšlený důsledek - každý se zdá být tahem dolů v okamžiku, vidí, že je to k dispozici.

To je spouštění IPS senzorů a způsobuje skutečné DOS podmínky v důsledku dotčené provozu - nezamýšlené "Apple - zooka"

SWA, jeden z našich manipulátory, znamená, že to může být snadno vyřešen jeden vysílací domény tím, že Apple ukládání do mezipaměti služby na jediném Serveru OSX v síti. Klienti si jej Bonjour a jednu stahovat služby všem klientům. (Díky za screenshot SWA)

Nejsem si jistý, jak to ovlivňuje se s funkcí zjišťování služeb v mDNS - pokud má někdo informace na toto téma bychom ocenit váš pohled na pole poznámky pro tento příběh!

Obecně platí, že právě umožňuje to je dost, ale pokročilá nastavení pro ukládání do mezipaměti serveru najdete zde ==> http://support.apple.com/kb/HT5590

Cisco DCNM Aktualizace Vydáno

18. září 2013. Aktualizace

Budeme i nadále vidět webových aplikací nasazených na správu datových center funkcí. A je mi líto, ale budeme i nadále vidět bezpečnostní problémy v těchto aplikacích - některé z nich tak jednoduché, rychle proletí s Burp nebo Zap by červených označte jej.

V tomto tématu dnes Cisco příspěvků aktualizace DCNM (Cisco Prime Data Center Network Manager). Řešené otázky nejsou tak jednoduché, jak jsem popsal výše (ty jsou mnohem komplexnější než jednoduché skenování pro detekci nebo využívat), ale oni přece zahrnují vzdálené spuštění příkazu a ověření obejít - dvě věci, které většina lidí by měl mít problémy v datovém centru sítě Manažer.

Poradní je zde ==> http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130918-dcnm

Jako obvykle, je platný zakázka na služby nutné pro získání aktualizace. Moji klienti mají Cisco smlouvy, ale nejsem si jistý, jak nadšený jsem, že budete muset platit výživné opravit bezpečnostní otázky tak zásadní.

Apple IOS 7 - Připravte se na náraz!

18. září 2013. OS | Aktualizace

Apple IOS 7 je dnes k dispozici (právě odeslali ve skutečnosti). Zatímco hlavní tlak na to, je podpora nových platforem iPhone, můžeme očekávat, funkční a bezpečnostní změny, které mají vliv na všechny iOS platformy, mezi nimi:

na licencování app
app na nastavení VPN
na klíče app šifrování
jediný SignOn (Co by mohlo pokazit s tím?)
a lepší MDM (Mobile Device Management) Funkce - očekáváme upgrady pro Vaše firemní MDM platformy někdy opravdu brzy, a očekávají, že vedení bude chtít to aplikovat co nejdříve!
Další informace o těchto funkcích zde - http://www.apple.com/ios/business/

Jsem si jistý, některé z těchto nových funkcí stojí příběh, to vše na vlastní pěst - zůstaňte naladěni!

Všichni jsme viděli na příval app aktualizací během posledních několika týdnů, kdy každý dostane jejich aplikace připraveni na nový OS. Před aktualizací, měli byste si zkontrolovat, že všechny vaše aplikace bude podporovat nový operační systém. Například, i nadále používat jako aplikaci Stanza čtenáře na můj beletrie knihovny. Vzhledem k tomu, že byl oficiálně přestěhoval do nepodporovaného stavu Amazon, myslím, že je chytrý pro mě (konečně) změnit čtenáře, než jsem aktualizovat.

Tato aktualizace je na zajímavě strávený čas na pár mých klientů. Vzhledem k tomu, jít do BYOD modelu, nyní mají tisíce i-zařízení sítě ontheir, neudržovaných a většinou ve vlastnictví jejich uživatelů (nebo jejich návštěvníků). Ibn většina organizací, těsně pod 1 GB šířka pásma režie pro tuto aktualizaci by neměl být problém, ale jeden klient v mém seznamu je v tom, že "tisíce zařízení Apple" seznamu a je také na mém "s omezenou šířkou pásma" seznamu. Vidím tato aktualizace ovlivňuje jejich obchodních aplikací, a to jak tím, že zdůrazní jejich již maximu WAN, a také tím, že přidá do své již nadměrné kapacity internetového uplinku. Měníme své QOS de-priority "Všechny věci jablko" pro dnešek. Poté můžeme charakterizovat to, co tato aktualizace vypadá na síti, uděláme ACL konkrétnější jen deprioritize aktualizace provoz. Nyní, že aktualizace je vyslán, budu roztápění tcpdump a dělat jen to!

Firefox 24 poskytuje 17 bezpečnostních aktualizací
18. září 2013. Aktualizace
Mozilla vydala Firefox 24 , který obsahuje 17 bezpečnostních aktualizací: sedm jsou kritické, čtyři vysoká a šest středně.

Opraven v této verzi:
MFSA 2013-92 GC nebezpečí s výchozími oddíly a rám řetězce restaurování
MFSA 2013-91 Uživatelem definované vlastnosti na proxy DOM dostat špatné "tento" objekt
MFSA 2013-90 Paměť korupci rolování
MFSA 2013-89 přetečení vyrovnávací paměti s multi-sloupci, seznamy, a plave
MFSA 2013-88 prostor nesoulad znovu spojená XBL aktivy uzly
MFSA 2013-87 Sdílená knihovna objektů zatížení od zapisovatelné umístění
MFSA 2013-86 WebGL Prozrazení informací prostřednictvím OS X ovladače NVIDIA grafické
MFSA 2013-85 Neinicializované údaje IonMonkey
MFSA 2013-84 stejného původu bypass přes symbolické odkazy
MFSA 2013-83 Mozilla Updater nezamyká MAR soubor po ověření podpisu
MFSA 2013-82 Volání prostor pro nové objekty Javascript může vést k poškození paměti
MFSA 2013-81 Use-po-free s prvku select
MFSA 2013-80 NativeKey pokračuje zpracování zprávy po hlavní widget je zničena
MFSA 2013-79 Use-po-zdarma animace Správci během klonování stylů
MFSA 2013-78 Integer přetečení ÚHLU knihovně
MFSA 2013-77 Nesprávné stát v Tree Builder HTML5 se šablonami
MFSA 2013-76 Různé nebezpečí paměti bezpečnost (rv: 24,0 / rv: 17.0.9)

Cisco Security Oznámení

09.02.2013 Aktualizace

"Cisco Adaptive Security Appliance (ASA) Software obsahuje chybu zabezpečení, která by mohla umožnit neověřenému vzdálenému útočníkovi zaplnit tabulku spojení v ASA zabrání nové připojení budou stanoveny prostřednictvím zařízení." [ 1 ] "Chyba zabezpečení v paměti systému, kdy provedení buď show monitoru zasedání všech nebo zobrazit monitoru relaci příkazového řádku (CLI) příkazy na Cisco Unified Computing System (UCS) 6100 Series Fabric Propojovací by mohla umožnit ověřenému, místnímu útočníkovi spustit nevracení paměti. "[ 2 ] " Chyba zabezpečení v Routing Information Protocol (RIP) procesu softwaru Cisco IOS XR by mohlo neověřenému vzdálenému útočníkovi způsobit RIP proces se zhroutí. "[ 3 ] "Chyba zabezpečení v rozhraní Web Administrator dispečery řízení Cisco Wireless LAN (WLC) by mohla umožnit ověřenému vzdálenému útočníkovi způsobit odmítnutí služby (DoS) stavu. "[ 4 ]

[1] http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3463 [2] http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013 -3467 [3] http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3470 [4] http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE -2013-3474