Bezpečnost v uplynulém týdnu: děravý Word a chyba Adobe

Poslední týden se na poli bezpečnosti urodila především vysoce kritická zranitelnost textového procesoru Microsoft Word, pro kterou se objevil i funkční proof-of-concept kód. Další chyby postihly například Adobe nebo aplikaci GnuPG. Hledáte na svém disku šifrované soubory? Pomoci vám může zdarma dostupný Passware Encryption Analyzer.

Bezpečnostní aktuality

Adobe Download Manager

Verze: 2.1 a starší
Riziko: vysoké riziko (vysoké)
V Adobe Download Manager byla objevena vysoce kritická zranitelnost, jejímž zneužitím by potenciální útočník mohl dosáhnout spuštění libovolného kódu v náchylném systému. Základem přitom je přetečení zásobníku během zpracování přespříliš dlouhého URL, vyhlédnutá oběť však musí navštívit stránku, která takovéto URL zprostředkuje. Chyba byla potvrzena pro Adobe Download Manager verze 2.1 a starší, výrobce již připravil odpovídající záplatu.
Další informace: Zerodayinitia­tive.com

Linksys WIP 330

Verze: firmware 1.00.06A
Riziko: nizke riziko (nízké)
Jak na svých stránkách informoval renomovaný bezpečnostní server Secunia.com, je bezdrátový IP telefon Linksys WIP 330, respektive jeho firmware, náchylný na méně kritickou zranitelnost, která dokáže útočníka dovést k DoS odpovídajícího ovládacího softwaru. Základem chyby je pád procesu PhoneCtrl.exe a postihuje zařízení s firmwarem 1.00.06A, nicméně není vyloučena ani náchylnost jiných verzí.
Další informace: Secunia.com

GnuPG

Verze: 1.0.x, 1.2.x, 1.3.x, 1.4.x, 2.x
Riziko: vysoké riziko (vysoké)
Již výše citovaný server Secunia.com minulý týden přinesl také vysoce kritickou zranitelnost populárního šifrovacího nástroje GnuPG. Zneužitím dané chyby by úspěšný útočník mohl docílit až spuštění vlastního kódu na náchylném systému, základem přitom je nekorektní dešifrování speciálně upravených zpráv a doporučené řešení spočívá v instalaci nejnovější verze, respektive odpovídající záplaty.
Další informace: Secunia.com

Microsoft Word

Verze: 2000, XP, 2003
Riziko: vysoké riziko (vysoké)
Společnost Microsoft upozornila na novou, vysoce kritickou zranitelnost ve svém oblíbeném textovém procesoru Word, a to ve všech verzích od 2000 výš. Chyba si získala kritický přívlastek především kvůli tomu, že již krátce po zveřejnění začal být k dispozici zneužitelný proof-of-concept kód, potenciální útočník může v důsledku způsobit přetečení zásobníku a případně spuštění vlastního kódu po otevření speciálně upraveného dokumentu vyhlédnutou obětí. Microsoft odpovídající opravu chystá v dalším pokračování pravidelných každoměsíčních záplat.
Další informace: Microsoft.com

Bezpečnost na Lupě

V rámci internetových stránek Lupy jste se mohli o bezpečnosti dočíst například díky řádkům obšírněji pojaté glosy Máme se bát Al-Kajdy? od Vojty Bednáře, samozřejmě ale nechybělo ani předchozí pokračování pravidelného sumáře – viz Bezpečnost v uplynulém týdnu: DoS produktů Adobe a F-Secure. Zprávička Počítačové viry v listopadu 2006 vás zase zpravila o listopadovém žebříčku počítačových virů podle společnosti Panda Software, no a nezmínit nelze ani potenciální bezpečnost dat v podobě e-mailů ve zprávičce Další výpadek e-mailu na Seznamu (doplněno).

Prozkoumáním zahraničních online článků na téma bezpečnosti se během uplynulého týdne zrodily například následující:

The Truth about Patching (It-observer.com)
Podrobný pohled na problematiku spolehlivého záplatování.

Windows Trojan masquerades as Vista hack (Theregister.co­.uk)
Aktivace Windows Vista? Ne, pouze trojan.

Unpatched Word flaw menaces civilisation (Theregister.co­.uk)
Informace o výše zmiňované zranitelnosti aplikace Microsoft Word.

EBF16

Bezpečnostní software zdarma

Passware Encryption Analyzer

Homepage: Lostpassword.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice 3

Encryption Analyzer

Aplikace Passware Encryption Analyzer představuje zajímavý nástroj, s jehož pomocí si uživatel může nechat projít obsah disku a nalézt soubory, které jsou chráněné. Největší výhoda tak u podporovaných dokumentů spočívá v tom, že je kontrola spuštěna z jediného místa a není zapotřebí ji provádět ručně s každým z daných souborů. Názvy nalezených souborů jsou doplněny o stručný popis v podobě jejich typu, s jakou aplikací jsou svázány, který druh ochrany obsahují a jaké jsou možnosti případného prolomení odpovídající ochrany.

Anketa

Chráníte pravidelně heslem některé ze svých dokumentů?

2 názory Vstoupit do diskuse
poslední názor přidán 12. 12. 2006 10:30

Školení e-mail marketingu – pokročilé techniky

  •  
    Jak připravit šablonu moderního e-mailu
  • Jak spustit automatizované kampaně
  • Jak dynamizovat běžnou rozesílku

Detailní informace o školení e-mail marketingu - pokročilé techniky »