Bezpečnost v uplynulém týdnu: chyba IrfanView, kurzory stále trápí

V minulém týdnu se objevily dozvuky již publikované zranitelnosti Windows, otevírající cestu až ke spuštění útočníkova kódu. Podlehl například IrfanView nebo program Kaspersky AntiVirus. Na závěr představíme jednoduchou aplikaci pro odstranění historie webového surfování.

Bezpečnostní aktuality

Kaspersky AntiVirus

Verze: 6.0
Riziko: vysoké riziko (vysoké)
V antivirovém programu Kaspersky AntiVirus byla objevena významná zranitelnost, která případnému úspěšnému útočníkovi dokáže zajistit až vzdálené spuštění vlastního kódu. Na vině je chyba v zahrnutém ovládacím prvku v souboru AxKLSysInfo.dll, přesněji jeho metodě StartUploading dovolující přenos libovolného souboru z počítače oběti pomocí protokolu FTP. Jedinou podmínkou pro zneužití je návštěva speciálně upravené webové stránky, větší interakce se od uživatele nevyžaduje.
Další informace: Idefense.com

MyBB

Verze: 1.x
Riziko: vysoké riziko (vysoké)
Jak se můžete dočíst na webových stránkách níže odkazovaného bezpečnostního serveru Secunia, je aplikace MyBB náchylná na útoky typu SQL injection. Problém spočívá v nedostatečné kontrole vstupu předávaného pomocí Client-IP v souboru index.php a v nejhorším případě může vést až k nahrání vlastních PHP souborů a spuštění vlastního kódu. Doporučené řešení spočívá v přechodu na MyBB verze 1.2.4.
Další informace: Secunia.com

IrfanView

Verze: 3.99
Riziko: vysoké riziko (vysoké)
Není tomu tak dlouho, co se diskutovalo o staronové kritické zranitelnosti systému Windows, která kvůli nesprávné práci se speciálně upravenými soubory animovaných kurzorů dovolovala spustit libovolný kód. Podobně je na tom také aplikace IrfanView, jež podlehne při otevření souboru ANI – na níže odkazovaných webových stránkách je k dispozici zdrojový kód, který zneužitím spustí calc.exe.
Další informace: Milw0rm.com

Bezpečnost na Lupě

Ani minulý týden samozřejmě nesmělo chybět aktuální pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: chyby kancelářských balíků a přenosná hesla. Zprávička I Firefox opraví chybu s animovanými kurzory přinesla informace o další aplikaci, která si kvůli známé chybě vyžádá opravu. O ilegálních licencích jste se mohli dočíst v Microsoft se zaměřuje na další podvodníky s licencemi a konečně například příspěvek Server YouTube je nově blokován také v Thajsku se zaměřil na východoasijskou národní cenzuru.

Jestliže raději prolistujete obsahy příspěvků zahraničních serverů, můžete vyzkoušet například následující:

Five best practices for mitigating zero-day threats like Windows ANI (Computerworld­.com)
Jak čelit takzvaným zero-day útokům.

2006 Operating System Vulnerability Study (Schneier.com)
Bruce Schneier k předlouhé analýze bezpečnosti systému v rámci zranitelností roku 2006.

Britney fears used as ANI exploit lure (Theregister.co­.uk)
A aby zneužití zranitelnosti animovaných kurzorů nebylo málo.

EBF16

Bezpečnostní software zdarma

IEasy Cleaner

Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

IEasy Cleaner

V minulém týdnu v rámci bezpečnostního softwaru na stránky serveru Slunečnice.cz přibyl například jednoduchý program IEasy Cleaner 2.5, jenž slouží pro základní odstranění historie webového surfování. Důraz je zde skutečně kladen na jednoduchost a základní smazání, jelikož je podporován pouze prohlížeč Internet Explorer a program vlastně nahrazuje základní čištění přímo z něj. Odstranit tak lze historii navštívených stránek, cookies nebo dočasně uložené soubory. Další nástroje a postupy pro zabezpečení nejen zdarma můžete najít například v knize 333 tipu a triku pro Internet.

Anketa

Považujete soubory cookies za nebezpečné?

Školení web copywritingu

  •  
    Jak strukturovat text na webové stránce.
  • Tajemství atraktivního a úderného titulku.
  • Optimalizace webového textu pro vyhledávače.

Detailní informace o školení psaní pro web »