neprihlásený Streda, 25. novembra 2020, dnes má meniny Katarína
Kritická chyba v NOD32 nominovaná na najlepšiu chybu roka, Samsung na hack roka

Značky: bezpečnosťEsetSamsung

DSL.sk, 3.8.2015


Kritická chyba v antivírusových produktoch slovenskej antivírusovej spoločnosti Eset objavená v druhej polovici júna získala nomináciu na cenu Pwnie za najlepšiu chybu v klientskom softvéri za uplynulý rok.

Tradičné ceny Pwnie Awards sú udeľované počas renomovanej bezpečnostnej hackerskej konferencie Black Hat a rozhoduje o nich komisia expertov.

Eset

Kategória najlepšia chyba v klientskom softvéri odmeňuje technicky najsofistikovanejšiu a najzaujímavejšiu chybu a oceneným je jej objaviteľ. Na Pwnie v tejto kategórii sú tento rok nominované okrem chyby v NOD32 ešte ďalšie tri chyby.

Ako sme detailne informovali v tomto článku, vo viacerých antivírusových riešeniach Esetu bola v druhej polovici júna objavená veľmi kritická chyba namiesto zvyšovania celkovej ochrany počítačov otvárajúca útočníkom veľmi jednoduchú cestu ako kompletne ovládnuť PC s inštalovaným antivírusom a to mnohými spôsobmi.

Chybu objavil a nomináciu na Pwnie získal Tavis Ormandy z Google.


Demonštrácia zneužitia prvej kritickej chyby na OS X (video: Google Project Zero)



Eset chybu promptne opravil niekoľko dní po jej nahlásení. Už o niekoľko dní Ormandy ale odhalil ďalšie dve vážne zraniteľnosti v NOD32, ktoré boli tiež promptne opravené.

Samsung

Ešte nelichotivejšie sú tohtoročné nominácie pre spoločnosť Samsung za chybu v predinštalovanej virtuálnej klávesnici postavenej na technológii klávesnice SwiftKey, používanej na viacerých modeloch Samsung Galaxy zariadení.

O zraniteľnosti sme detailne informovali v tomto článku, nachádza sa v aktualizačnom mechanizme tejto klávesnice. Vďaka skombinovaniu viacerých bezpečnostných zlyhaní môže útočník schopný MITM útoku dosiahnuť spustenie ním zvoleného kódu s vysokými oprávneniami užívateľa system.

Keďže klávesnička je predinštalovaná, užívateľmi nie je zakázateľná a až do vydania nového firmvéru nevedia na nerootnutých zariadeniach zneužitiu zraniteľnosti zabrániť. Postihnutých má byť podľa objaviteľov 600 miliónov zariadení.

Hoci nie je jasné, za ktoré zo zlyhaní nesie priamo zodpovednosť Samsung, spoločnosť bola netypicky za umožnenie hacknutia takéhoto množstva zariadení nominovaná ako autor najväčšieho hacku, 0wnage, za uplynulý rok.

Zároveň je nominovaná v kategórii najhoršej reakcie tvorcu zraniteľného softvéru, keď si mal Samsung podľa informácií organizátorov Pwnies údajne po nahlásení vyžiadať rok na opravenie zraniteľnosti. Zneužitiu zraniteľnosti je pritom možné zrejme predísť len jednoduchým prechodom z distribúcie aktualizačných súborov cez HTTP na distribúciu cez zabezpečený protokol HTTPS.


      Zdieľaj na Twitteri



Najnovšie články:

Podľa Torvaldsa je plná podpora Linuxu na ARM Macoch nepravdepodobná
Sci-fi The Expanse dostane ďalšiu sériu, poslednú
Spotreba elektriny na Slovensku je už vyššia ako minulý rok
Apple má pripravovať 12-jadrový ARM procesor pre PC, má byť ešte výrazne rýchlejší
Čína úspešne vypustila sondu, ktorá prinesie materiál z Mesiaca
Musk predbehol Gatesa a je druhým najbohatším
Intel mediálne zaútočil na AMD notebooky, kvôli výkonu na batériu
Skončila aukcia 5G frekvencií, najviac frekvencií získalo O2 a nejaké získala aj 4ka
Strana SaS chce kvôli koronavírusu plošne sledovať polohu mobilov
Anténa Starlinku má spotrebu až 100 Wattov


Diskusia:
                               
 

Kto nic nerobi, nic nepokazi...
Ale aj tak taketo nieco by sa asi nemalo stavat, aspo nie casto.
Odpovedať Známka: 7.4 Hodnotiť:
 

skoda penazi za licenciu lutujem ye nod bol prvz program za ktory som sa rohodol zaplatit a podporit ich ... vidim ze spolubzvajuci urobil lepsie ked si nod crakol ... nezasluzia si ani korunu a vraj prepisuju celezy kod nodu furt ... a aj to im je prd makove
Odpovedať Známka: -5.9 Hodnotiť:
 

A keby spolubývajúci myslel, našiel by aj free riešenia na (minimálne) rovnakej úrovni a nemusel by nič kradnúť.
Odpovedať Známka: 6.0 Hodnotiť:
 

Mam rad dsl.sk.. Tu si ludia mozu nadavat rasovo, farebne do linuxakov do widlakov do androidkov do iphonakov...a ajtak sa tu diskusia nezrusi nic sa nezakaze.. Clovek sa tu najviac nasmeje na tych kometoch.. A nikto sa neurazi,, pretoze kazdy to pise s takou spravnou davkou ironie.. Dnes mam nocnu, jednu za rok a nudim sa preto som si precital cele diskusie asi 2 strany dozadu pri skoro vsetkych clankov... A kolegyna sa ma pyta ze co sa rehlim nech precitam aj jej.. Ale ked som sa nad tym tak zamyslel a precital si nad cim som sa ja smial len som jej povedal ze to nieje pre nu a nepochopila by to... pretoze urcite vtipy vznikli len tu na dsl.sk a dalsim veciam sa nerozumie a preto by jej neprisli smiesne.. teraz si o mne urcite mysli ze som nejaky NERD. Nevadi aj tak to tu mam rad...chodim sem uz viac a ako 10 rokov a myslim ze este dlho budem,, dufam ze sa to tu dlho nezmeni na obraz dnesnych modernych webov.. A ich trapne praavidla diskusii atd.. DAKUJEM REDAKCII.
Odpovedať Známka: 8.6 Hodnotiť:
 

Mal si jej to vytlacit vo velkom kancli cez wifi s tym, ze by si prisla uz po hotovy papier, jeden z vela prikladov ako jej to vysvetlit :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne kvôli tomu sem chodím. Zas som sa dobre zasmial. Po tom jeho siahodlhom príspevku ten klasický otrepaný vtip s veľkým kanclom a wifi padol presne na úrodnú pôdu môjho mozgového centra zmyslu pre humor :D
Odpovedať Známka: 10.0 Hodnotiť:
 

kolegyni posielam Janku Hospodarovu
Odpovedať Známka: 10.0 Hodnotiť:
 

drbnuty ESET, len nam robi hanbu vo svete :D
Odpovedať Známka: 0.0 Hodnotiť:
 

Asi tam zamestnávajú takých tých najlepších programátorov, ktorí nemajú ani potuchy a žiadne skúsenosti ako by mali veci fungovať. Viď našich "víťazov" na nejakej programátorskej už neviem čo... nedávno...
Odpovedať Hodnotiť:
 

kurna to si zase ty Bozzz? roky som ta necital

Odpovedať Hodnotiť:
 

Hej to som ja ten povodny Bozz ale niekto mi registroval nick s 2 z takze si pisem len tak bez registracky vacsinou s 3 z.
Odpovedať Hodnotiť:
 

Dal som ti plus za stručnosť a konštruktívnosť.

Odpovedať Hodnotiť:
 

nekradol, okopiroval... kradol ten co vyrobil crack...
Odpovedať Hodnotiť:
 

Pozri, nechcem viest vojnu, kazdy ma svoj nazor a rozum, ja ich napr. dotujem, ale v clanku sa pise iba o Nod32 a nie aj o Eset smart security. Nod32 je bez nicoho ani firewall, holy antivirak. Takym rieseniam bez nicoho moc neverim.
Odpovedať Známka: -5.2 Hodnotiť:
 

Az na to debilko, ze spolubyvajuci nic necrackol, on len vopred urobeny crack aplikoval. Milujem debilov, ktori vyhlasia, ze si nieco crackli a pritom vysvitne, ze len stiahli cracknuty soft alebo hry a jedine co bolo, ze to hotove uz nainstalovali. Lenze to nie je crackovanie. Crackovanie je proces, ked cracker so znalostami strojoveho kodu (assembleru) hlada rozne zavislosti a suvislosti a prevadza reverzny inziniering. Ale blbeckou si myslia, ze ked prepisu cracknuty subor, tak crackuju a su velki crackeri. :-D
Odpovedať Známka: -1.8 Hodnotiť:
 

...už aby skončili prázdniny...
Odpovedať Známka: 9.4 Hodnotiť:
 

tu sa kazdy den nieco nove naucim. som nevedel ze eset pise soft v "assembleru". som myslel ze assembler je na biosovej urovni a antivirus na aplikacnej urovni. asi som sa mylil.
Odpovedať Známka: -7.6 Hodnotiť:
 

Ty tu tiež celkom capiny píšeš...
Čo má BIOS s assemblerom?
Je jedno na akej úrovni je písaný aký softvér, ide o jeho poriadne prepísanie do strojáku, ktorý sme sa kedysi učili písať aj jazykom symbolických adries.
Dnes by sa takýmto spôsobom programátori pri sebe menšej úlohe zastrelili... Tak je dlhý a zložitý kód pre terajšie mašinky.
Odpovedať Hodnotiť:
 

h0IQW8 http://www.FyLitCl7Pf7kjQdDUOLQOuaxTXbj5iNG.com
Odpovedať Hodnotiť:
 

To je otazka, ci riesit bezpecnost pridanim dalsieho potencialne zranitelneho programu so systemovymi pravami.

Ten jednak aj tak nezachyti vsetko a druhak moze mat v sebe diery.
Odpovedať Známka: 5.6 Hodnotiť:
 

A blowfish nič?
Odpovedať Známka: 1.4 Hodnotiť:
 

Nemám antivirak, nemôžu ma cez neho hacknut
Odpovedať Známka: 7.5 Hodnotiť:
 

"Eset chybu promptne opravil niekoľko dní po jej nahlásení." :-D :-D
Odpovedať Známka: 6.0 Hodnotiť:
 

Skusal si to aj overit, alebo len slepo veris co niekto napise? Ked sa uz z toho smejes.
Odpovedať Známka: -2.0 Hodnotiť:
 

mna viac hneva pristup samsungu k tejto veci...

politika androidu by sa mala uz konecne zmenit

nod32 - kolko chyb maju ine antiviraky o kt. sa nevue. tieto aspon boli opravene
Odpovedať Známka: 8.3 Hodnotiť:
 

politika androidu sa neda zmenit, google spravi verziu a drbne to ako open source a stym si uz bohuzial kazdy vyrobca robi co chce...
Odpovedať Známka: 8.2 Hodnotiť:
 

Ale nie...
Open source komunita nema problem vyriesit akukolvek chybu, spravit akykolvek port a to vsetko maximalne do dvoch dni :D
Aspon podla citatelov DSL.sk :D
Odpovedať Známka: 0.7 Hodnotiť:
 

Komunita ma na Adnroid minimalny vplyv.
Odpovedať Známka: 0.0 Hodnotiť:
 

Povedz to XDA.
Odpovedať Známka: 8.0 Hodnotiť:
 

Hnojd od Resetu ani zadara, este horsie ako ta brzda Kasparkovsky.
Odpovedať Známka: -4.5 Hodnotiť:
 

Chcel by som navrhnut logo pre Pwnie awards. To co maju teraz (nejaky konik) je onicom. Toto sa hodi omnoho viac: http://dopice.sk/egA
Odpovedať Známka: 0.0 Hodnotiť:
 

tak to si tu celkom isto na správnom mieste. :P
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár