Hlavní navigace

Bezpečnost v uplynulém týdnu: chyby Symantecu i McAfee

 Autor: 29
Ondřej Bitto 9. 8. 2006

Poslední týden bezpečnosti se nesl ve znamení chyb samotných bezpečnostních aplikací, na což doplatily například McAfee Security Center, Symantec On-Demand Agent či eTrust Antivirus Webscan. Zranitelnosti se nevyhnul ani systém Drupal. Z bezpečnostního softwaru zdarma si představíme automaticky spouštěné programy v Quick Startup.

Bezpečnostní aktuality

eTrust Antivirus Webscan

Verze: 1.1.0.1047 a starší
Riziko: vysoké riziko (vysoké)
V aplikaci eTrust Antivirus Webscan od společnosti CA byla objevena vysoce kritická zranitelnost, které může úspěšný útočník využít k získání přístupu do systému. Kvůli blíže nespecifikované chybě tak lze nainstalovat libovolné soubory, případně získat vyšší uživatelská práva. Zranitelnost byla přímo potvrzena pro eTrust Antivirus Webscan verze 1.1.0.1047, ovšem postiženy jsou také starší varianty tohoto produktu. Doporučené řešení spočívá v přechodu na verzi 1.1.0.1048.
Další informace: Secunia.com

Drupal

Verze: 4.6.x pro verze starší než 4.6.9, 4.7.x pro verze starší než 4.7.3
Riziko: nizke riziko (nízké)
Oblíbený publikační systém Drupal podléhá méně závažné zranitelnosti, jež může vyústit v provedení XSS útoku. Zpracování parametru msg v části user.module není dostatečně ošetřeno, v důsledku čehož může dojít ke zobrazení jiné aktuální stránky, použití vlastního HTML kódu či skriptu. Pro verze Drupalu 4.6.x starší než 4.6.9 tkví doporučené řešení v aktualizaci právě na 4.6.9, podobně se také u variant 4.7.x starších než 4.7.3 jedná o přechod na 4.7.3.
Další informace: Drupal.org

Symantec On-Demand Agent

Verze: 2.5 MR2 a starší, 2.6 (build 2232 a starší)
Riziko: střední riziko (střední)
Kvůli chybě v Symantec On-Demand Agent má případný útočník možnost získat přístup k některým potenciálně citlivým informacím. Zranitelnost spočívá v nedostatečném šifrování při přenosu skrze Virtual Desktop, které lze prolomit, a číst tak originální soubory. Podobná chyba postihuje také přidruženou komponentu Symantec On-Demand Protection. Doporučeným řešením je přechod na 2.5 MR2 build 2157, respektive 2.6 build 2233.
Další informace: Symantec.com

McAfee SecurityCenter

Verze: viz původní oznámení
Riziko: střední riziko (střední)
Ústřední komponenta prakticky všech koncových bezpečnostních aplikací společnosti McAfee, jež nese označení SecurityCenter, dovoluje útočníkovi spustit libovolný kód. Pro zneužití dané zranitelnosti však uživatel musí asistovat, a to například následováním odkazu na speciálně upravenou stránku. Jak již bylo nastíněno, postiženy jsou všechny aplikace McAfee, které využívají SecurityCenter verze 4.3 až 6.0.22 – doporučené řešení spočívá v aktualizaci na SecurityCenter 6.0.23, odpovídající oprava je doručována systémem automatických aktualizací.
Další informace: Mcafee.com

Z aktuálně vydaných zahraničních online článků na téma bezpečnosti pro tentokrát vybíráme následující zástupce:

Today's malware technology (It-observer.com)
Stručné shrnutí současné situace na poli škodlivého kódu.

Bluetooth Security (Infosecwriter­s.com)
Dokument ve formátu PDF zabývající se bezpečností Bluetooth.

Symantec highlights Windows Vista user vulnerabilities (Theregister.co­.uk)
Společnost Symantec představuje své pohledy na bezpečnost systému Windows Vista.

CIF16

Bezpečnostní software zdarma

Quick Startup

Homepage: Glarysoft.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

quick startup

Tato velice jednoduchá utilita dokáže posloužit jako náhrada standardních systémových nástrojů pro zjištění po startu automaticky spouštěných aplikací. Sice se nejedná o nikterak propracovaný software, který by pronikal do samého nitra systému, nicméně pro základní přehled postačuje. Užitnou hodnotu zvyšuje možnost zobrazení podrobných informací o jednotlivých procesech přímo na webu výrobce, kde lze najít komentáře o případné bezpečnosti či nebezpečnosti.

Anketa

Kontrolujete pravidelně automaticky spouštěné aplikace?

Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny