Bezpečnost v uplynulém týdnu: chyby Skype a firewallu Kerio

Poslední týden z pohledu bezpečnostních aktualizací přinesl opravu oblíbené aplikace Skype, podobně na tom byl také Kerio Personal Firewall. Přes popis zranitelnosti OpenVPN pak bude představena populární aplikace TrueCrypt a samozřejmě shrnuty aktuální bezpečnostní články.

Bezpečnostní aktuality

FileZilla

Verze: 2.x
Riziko: vysoké riziko (vysoké)
Jak na svých stránkách začátkem října informoval server Secunia.com, byla promptně opravena nedávno objevená zranitelnost v aplikaci FileZilla. Při zneužití odkazované chyby útočník mohl způsobit DoS; základem všeho přitom bylo nesprávné chování použitého OpenSSL. Chyba byla potvrzena nejen pro FileZilla, ale také FileZilla Server, doporučené řešení spočívá v aktualizaci na verzi 2.2.28 u prvně jmenované varianty, verze Server je pak opravena v 0.9.19.
Další informace: Sourceforge.net

Kerio Personal Firewall

Verze: 6 viz původní oznámení
Riziko: vysoké riziko (vysoké)
V oblíbeném osobním firewallu Kerio Personal Firewall, který nyní spadá pod křídla společnosti Sunbelt, byla objevena vysoce kritická zranitelnost, jejímž prostřednictvím lze způsobit DoS a následně spustit vlastní kód. Problém tkví v nesprávném chování funkcí ovladačů fwdrv.sys a khips.sys. Seznam všech postižených verzí je dostupný na odkazovaných stránkách s originálním oznámením, v době psaní tohoto článku přitom nebyla k dispozici adekvátní oprava.
Další informace: Matousec.com

Skype

Verze: 1.5.x.79 a starší (pro Mac)
Riziko: vysoké riziko (vysoké)
V oblíbeném softwaru Skype pro internetové telefonování byla objevena vysoce kritická zranitelnost, díky které by úspěšný útočník mohl dosáhnout až spuštění vlastního kódu. Příznivci operačního systému Windows mohou být klidnější, jelikož chyba se podle originálního oznámení týká pouze verze Mac. Potenciální spuštění vlastního kódu je způsobeno nekorektním zpracováním speciálně upraveného odkazu URL, doporučeným řešením je přechod na verzi Skype alespoň 1.5.*.80.
Další informace: Skype.com

OpenVPN

Verze: 2.x
Riziko: střední riziko (střední)
Podle aktuální zprávy o změnách provedených v nové verzi aplikace OpenVPN byly opraveny některé původní zranitelnosti. Nová varianta OpenVPN 2.0.9 tak je méně náchylná na původní DoS útoky – byla opravena například stávající varianta instalátoru, respektive obsažených DLL knihoven. Nová verze nástroje OpenVPN ze začátku tohoto měsíce je volně ke stažení na této stránce.
Další informace: Openvpn.net

Bezpečnost na Lupě

Hlavní bezpečnostní téma představoval na Lupě samozřejmě phishing. Pro asi nejzajímavější článek vás v tomto ohledu můžeme odkázat na rozhovor s crackerem, který má s podvody na Interenetu bohaté zkušenosti. V aktuálních zprávičkách na Lupě jsme vás o bezpečnosti dále informovali například v rámci příspěvku Malware opět využívá k šíření zprávy v rámci ICQ. Odkazovaná zprávička se zaměřila na hromadně šířenou IM zprávu, která uživatele láká ke stažení škodlivého kódu. Společnost Microsoft tak trochu z jiného soudku uvedla, že další pravidelná nadílka záplat bude obsahovat celkem jedenáct oprav. Mírnou oklikou se zpět ke statistice škodlivého kódu můžete vrátit pomocí nejrozšířenějších virů za měsíc září, kompletní procházku světem bezpečnosti pak završuje další díl populárního seriálu o DoS útocích.

Z nových online článků na téma bezpečnosti, které v minulém týdnu vyšly na jiných serverech, za přečtení stojí například následující:

Sociální inženýrství, tentokrát s USB diskem (Buslab.org)
Zneužití USB disků jako součást bezpečnostního auditu.

Dying with your Passwords (Schneier.com)
Co se stane s osobními hesly po smrti?

MS builds tougher piracy protection into Vista (Theregister.co­.uk)
Poradí si piráti s nadcházející verzí Windows?

EBF16

Bezpečnostní software zdarma

TrueCrypt

Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

TrueCrypt

Aplikace TrueCrypt nabízí možnost jednoduchého a přitom spolehlivého šifrování a navíc je šířena jak open source. Uživatel má na výběr z několika šifrovacích algoritmů, ochrana dat přitom spočívá ve vytvoření virtuální šifrované jednotky, jíž odpovídá jediný soubor na fyzickém disku. Na domovských stránkách projektu se ke stažení nabízí také řada lokalizačních balíčků, mezi nimiž nechybí ani podpora českého jazyka.

Anketa

Použili jste někdy pro šifrování dat aplikaci TrueCrypt?

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »