Pozor na Janet Jackson

Na co vše musí ajťák dávat pozor? Teď i na písničky Janet Jackson…

Janet Jackson je nám starším známá jako sestra Michaela Jacksona a zpěvačka popu v 80. a 90. letech. Nyní má na kontě další úspěch. Její hudební video Rhythm Nation z roku 1989 bylo oficiálně prohlášeno za bezpečnostní chybu, protože způsobuje „zamrznutí“ některých modelů pevných disků na starších počítačích.

CVE-2022-38392, zranitelnost, o které mluvíme, je Denial of Service (DoS). Konkrétně se jedná o útok postranním kanálem, který způsobuje selhání a pád pevných disků některých přenosných počítačů z roku 2005. Celý problém souvisí s fyzikálním jevem známým jako rezonance. Ve stručném zápisu uvádí blogger Microsoftu Raymond Chen následující: „Ukázalo se, že píseň obsahovala jednu z přirozených rezonančních frekvencí pro model pevných disků notebooků s 5400 otáčkami za minutu, které výrobci používali." Rezonance je fyzikální jev, při kterém zvuk vytvářený předmětem vibruje stejnou frekvencí jako zvukové vlny jiného předmětu. To může vést ke zvýšené amplitudě a rozkmitání disku, což následně způsobuje jeho havárii.

Byla tedy objevena další chyba/zranitelnost, na kterou je potřeba dávat pozor.

Veřejně dostupné zdroje uvádějí, že v loňském roce bylo odhaleno rekordních 28695 bezpečnostních chyb, což představuje významný nárůst oproti 23269 odhaleným v roce 2020. Ze zranitelností odhalených v roce 2021 je více než 4100 chyb vzdáleně zneužitelných a existuje k nim také exploit. To bychom měli přibližně 11 chyb denně včetně víkendů. K tomu je dlužno dodat, že většina je zpravidla označena jako kritická. A teď co s tím?

Jak jsem zmínil, jsme pod lavinou zranitelností a k nim vydávaným záplatám. Co tedy budeme záplatovat, kdy a jak? Vraťme se k tomu, čeho může útočník skutečně zneužít. Co je nejvíce exponované? Vstupní body a aplikace publikované do internetu. Takže v prvním kroku uvažujme o pracovních stanicích a jejich prohlížečích, různých add on do prohlížečů, operačních systémech stanic a samozřejmě službách vzdáleného přístupu jako je VPN. U serverů to bude podobné – software webů, databáze, operační systémy a opět služby vzdáleného přístupu nebo software pro management obecně. Nepropadejme však panice pokud nemáme všechny systémy na 100 % záplatovány všemi záplatami. Soustřeďme se na to důležité a to zranitelné.

Pokud si nejste jisti, jak to udělat, neváhejte nás kontaktovat. Nevíte-li jak a kde začít, obraťte se na AUTOCONT. Rádi Vám poradíme a za zeptání nic nedáte :-) AUTOCONT ví jak.

Chcete více informací?