Hlavní navigace

Bezpečnost v uplynulém týdnu: chybovali Apple, Drupal a Windows

 Autor: 29
Ondřej Bitto 15. 1. 2008

Minulý týden přinesl informace o zranitelnosti produktu Apple QuickTime, podobně také o skulině v Drupalu, jednom z nejoblíbenějších publikačních systémů zdarma. Dále bude řeč o chybě Microsoft Windows a opravě v pravidelné nadílce záplat Microsoftu.

Bezpečnostní aktuality

Apple QuickTime

Verze: 7.3.1.70 a starší
Riziko: vysoké riziko (vysoké)
Produkt Apple QuickTime je podle posledního ohlášení náchylný na vzdáleně zneužitelnou zranitelnost, jejíž základ představuje nekorektní zpracování vybraných odkazů pracujících s protokolem RTSP. Uživatel tedy musí následovat takovýto rtsp:// link, pak při nedostupnosti výchozího portu dojde k přepnutí na standardní HTTP protokol na portu 80 – praktickou ukázku najdete na níže odkazovaných stránkách s původní zprávou. V době psaní tohoto článku nebyla k dispozici adekvátní oprava.
Další informace: Altervista.org

Drupal

Verze: 4.x, 5.x
Riziko: střední riziko (střední)
V populárním publikačním systému Drupal byly objeveny nové zranitelnosti, na níže odkazovaném bezpečnostním serveru Secunia se lze dočíst o třech těchto chybkách. První z nich spočívá v nedostatečném ošetření parametrů souboru .tpl.php a dovoluje spustit útočníkův HTML kód nebo skript. Podobně je tomu také v případě nedostatečné kontroly během zpracování UTF-8, a konečně poslední publikovaná zranitelnost nabízí zneužití požadavku HTTP GET, útočník může v jeho důsledku na serveru provádět neoprávněné akce.
Další informace: Secunia.com

Microsoft Windows

Verze: viz původní ohlášení
Riziko: vysoké riziko (vysoké)
Historicky první security bulletin společnosti Microsoft v tomto roce informuje o nové aktualizaci zranitelnosti zpracování protokolu TCP/IP, jejímž zneužitím měl úspěšný útočník možnost získat zvýšená uživatelská oprávnění a přístup k náchylnému systému. Postižena jsou Windows XP, Windows Server 2003 i Windows Vista, oprava byla doručena automaticky v rámci pravidelných každoměsíčních oprav.
Další informace: Microsoft.com

Bezpečnost na Lupě

Z bezpečnostních článků na Lupě za uplynulý týden vybíráme například Vyšetřování kyberzločinů: jaká je realita? od Aleše Miklíka, za pozornost ale stojí také další z prognóz pro nový rok 2008, najdete ji pod názvem Internet roku 2008 očima odborníků: pokles spamu, nárůst zisků. Nechyběl ani pravidelný bezpečnostní sumář, který jste tentokráte mohli nalézt pod názvem Bezpečnost v uplynulém týdnu: na pranýři je software i hardware. Z kratších zpráviček, jež rozebírají aktuální témata, se vám nabízí například Hackeři se letos podle Grisoftu zaměří na sociální sítě, Software je na téměř všech počítačích neaktuální nebo Spam v Česku: devět z deseti zpráv je nevyžádaných.

Z nových online článků na téma bezpečnosti, které v minulém týdnu vyšly na jiných serverech, za přečtení stojí například následující:

Hacked MySpace page serves up fake Windows update (Computerworld­.com)
Především v zahraničí populární služba MySpace se opět stala terčem podvodníků.

Fully patched PCs are a rare breed (Theregister.co­.uk)
A co vy, máte plně záplatovaný systém? Většina uživatelů nikoli.

Excuse me sir: there's a rootkit in your master boot record (Theregister.co­.uk)
O generaci rootkitů, které modifikují MBR.

Bezpečnostní software zdarma

TaskPatrol

Homepage: Asmdev.net
Lupa hodnotí: 1756

taskpatrol

V minulém pokračování bezpečnostního sumáře byla představena aplikace Quick Startup, která spadá do kategorie správců programů spouštěných automaticky se startem systému. Do podobné skupiny se řadí také nástroj TaskPatrol, který si však bere na mušku všechny aktuálně běžící procesy. U každého z nich se dozvíte například to, jestli obsahuje skrytá okna, zda má udělen přístup k jednotlivým systémovým zdrojům nebo můžete zhodnotit jeho riziko pomocí odhadované hodnoty Estimated Security Risk. Ani v případě programu TaskPatrol pak nechybí možnost automatického dohledání bližších informací na webu.

Anketa

Zajímáte se podrobně o právě běžící procesy ve Windows?

Našli jste v článku chybu?
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!