Hlavní navigace

Bezpečnost v uplynulém týdnu: děravý Word a chyba Adobe

 Autor: 29
Ondřej Bitto

Poslední týden se na poli bezpečnosti urodila především vysoce kritická zranitelnost textového procesoru Microsoft Word, pro kterou se objevil i funkční proof-of-concept kód. Další chyby postihly například Adobe nebo aplikaci GnuPG. Hledáte na svém disku šifrované soubory? Pomoci vám může zdarma dostupný Passware Encryption Analyzer.

Bezpečnostní aktuality

Adobe Download Manager

Verze: 2.1 a starší
Riziko: vysoké riziko (vysoké)
V Adobe Download Manager byla objevena vysoce kritická zranitelnost, jejímž zneužitím by potenciální útočník mohl dosáhnout spuštění libovolného kódu v náchylném systému. Základem přitom je přetečení zásobníku během zpracování přespříliš dlouhého URL, vyhlédnutá oběť však musí navštívit stránku, která takovéto URL zprostředkuje. Chyba byla potvrzena pro Adobe Download Manager verze 2.1 a starší, výrobce již připravil odpovídající záplatu.
Další informace: Zerodayinitia­tive.com

Linksys WIP 330

Verze: firmware 1.00.06A
Riziko: nizke riziko (nízké)
Jak na svých stránkách informoval renomovaný bezpečnostní server Secunia.com, je bezdrátový IP telefon Linksys WIP 330, respektive jeho firmware, náchylný na méně kritickou zranitelnost, která dokáže útočníka dovést k DoS odpovídajícího ovládacího softwaru. Základem chyby je pád procesu PhoneCtrl.exe a postihuje zařízení s firmwarem 1.00.06A, nicméně není vyloučena ani náchylnost jiných verzí.
Další informace: Secunia.com

GnuPG

Verze: 1.0.x, 1.2.x, 1.3.x, 1.4.x, 2.x
Riziko: vysoké riziko (vysoké)
Již výše citovaný server Secunia.com minulý týden přinesl také vysoce kritickou zranitelnost populárního šifrovacího nástroje GnuPG. Zneužitím dané chyby by úspěšný útočník mohl docílit až spuštění vlastního kódu na náchylném systému, základem přitom je nekorektní dešifrování speciálně upravených zpráv a doporučené řešení spočívá v instalaci nejnovější verze, respektive odpovídající záplaty.
Další informace: Secunia.com

Microsoft Word

Verze: 2000, XP, 2003
Riziko: vysoké riziko (vysoké)
Společnost Microsoft upozornila na novou, vysoce kritickou zranitelnost ve svém oblíbeném textovém procesoru Word, a to ve všech verzích od 2000 výš. Chyba si získala kritický přívlastek především kvůli tomu, že již krátce po zveřejnění začal být k dispozici zneužitelný proof-of-concept kód, potenciální útočník může v důsledku způsobit přetečení zásobníku a případně spuštění vlastního kódu po otevření speciálně upraveného dokumentu vyhlédnutou obětí. Microsoft odpovídající opravu chystá v dalším pokračování pravidelných každoměsíčních záplat.
Další informace: Microsoft.com

Bezpečnost na Lupě

V rámci internetových stránek Lupy jste se mohli o bezpečnosti dočíst například díky řádkům obšírněji pojaté glosy Máme se bát Al-Kajdy? od Vojty Bednáře, samozřejmě ale nechybělo ani předchozí pokračování pravidelného sumáře – viz Bezpečnost v uplynulém týdnu: DoS produktů Adobe a F-Secure. Zprávička Počítačové viry v listopadu 2006 vás zase zpravila o listopadovém žebříčku počítačových virů podle společnosti Panda Software, no a nezmínit nelze ani potenciální bezpečnost dat v podobě e-mailů ve zprávičce Další výpadek e-mailu na Seznamu (doplněno).

Prozkoumáním zahraničních online článků na téma bezpečnosti se během uplynulého týdne zrodily například následující:

The Truth about Patching (It-observer.com)
Podrobný pohled na problematiku spolehlivého záplatování.

Windows Trojan masquerades as Vista hack (Theregister.co­.uk)
Aktivace Windows Vista? Ne, pouze trojan.

Unpatched Word flaw menaces civilisation (Theregister.co­.uk)
Informace o výše zmiňované zranitelnosti aplikace Microsoft Word.

Bezpečnostní software zdarma

Passware Encryption Analyzer

Homepage: Lostpassword.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice 3

Encryption Analyzer

Aplikace Passware Encryption Analyzer představuje zajímavý nástroj, s jehož pomocí si uživatel může nechat projít obsah disku a nalézt soubory, které jsou chráněné. Největší výhoda tak u podporovaných dokumentů spočívá v tom, že je kontrola spuštěna z jediného místa a není zapotřebí ji provádět ručně s každým z daných souborů. Názvy nalezených souborů jsou doplněny o stručný popis v podobě jejich typu, s jakou aplikací jsou svázány, který druh ochrany obsahují a jaké jsou možnosti případného prolomení odpovídající ochrany.

Anketa

Chráníte pravidelně heslem některé ze svých dokumentů?

Našli jste v článku chybu?

12. 12. 2006 10:30

BobTheBuilder (neregistrovaný)
A jaky je podle vas idealni pocet, aby to podle vas melo smysl? 11 aplikaci? Nebo snad 12?

12. 12. 2006 9:07

cm3l1k1 (neregistrovaný)
jako vzdy clanek o nicem, ja jsem udelal za minuly tyden vyber 23 vulnerabilit...

ma tento serial vubec cenu, kdyz upozornuje jen na asi 10 nejpouzivanejsich aplikaci??

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí