Bezpečnost v uplynulém týdnu: DoS a šifrování

V posledním týdnu se objevily informace na téma DoS aplikací BufferZone nebo Apache, v IM klientovi Yahoo! Messenger zase „zlobí“ nebezpečný ActiveX prvek. Po pravidelném přehledu bezpečnostních článků bude řeč o open source programu TrueCrypt, zřejmě nejpopulárnější aplikaci pro vytváření virtuálních šifrovaných disků.

Bezpečnostní aktuality

Yahoo! Messenger

Verze: starší než vydané 29. srpna
Riziko: vysoké riziko (vysoké)
V IM klientovi Yahoo! Messenger byla objevena nová zranitelnost, jejímž základem je nekorektní práce zahrnutého ActiveX prvku. V důsledku toho může dojít k nechtěnému ukončení aplikace, případně až spuštění útočníkova vlastního kódu, ke kterému cestičku otevírá přetečení zásobníku. Yahoo vydalo novou verzi tohoto svého IM klienta, jež odpovídající chybu napravuje – k dispozici je na těchto webových stránkách.
Další informace: Yahoo.com

BufferZone

Verze: 2.x
Riziko: nizke riziko (nízké)
Na níže odkazovaných stránkách bezpečnostního serveru Secunia byly publikovány informace o nově objevené zranitelnosti v aplikaci Bufferzone, kterou kvůli tomu útočník může zneužít k DoS. Chybou je nedostatečné ošetření funkce FsSetVolumeIn­formation v souboru Redlight.sys, která může vyústit v již naznačený pád aplikace. Chyba byla potvrzena pro BufferZone verzí 2.1 a 2.5, není však vyloučeno, že postihuje také jiné varianty.
Další informace: Secunia.com

Apache

Verze: 2.x
Riziko: nizke riziko (nízké)
Apache podle nových informací podléhá zranitelnosti, která může vyústit až v DoS a jejímž základem je nedostatečné ošetření při zpracování funkce ap_proxy_date_ca­non() v souboru proxy_util.c. Již zmíněné DoS tak lze vyvolat zasláním speciálně upraveného požadavku náchylnému serveru – zranitelnost postihuje Apache 2.0.59 a starší, stejně tak i Apache 2.2.x. Doporučené řešení spočívá v přechodu na novou verzi.
Další informace: Secunia.com

OpenVPN

Verze: 2.x
Riziko: střední riziko (střední)
Podle aktuální zprávy o změnách provedených v nové verzi aplikace OpenVPN byly opraveny některé původní zranitelnosti. Nová varianta OpenVPN 2.0.9 tak je méně náchylná na původní DoS útoky, byla opravena například stávající varianta instalátoru, respektive obsažených DLL knihoven. Nová verze nástroje OpenVPN ze začátku tohoto měsíce je volně ke stažení na této stránce.
Další informace: Openvpn.net

Bezpečnost na Lupě

Minulý týden na Lupě nechyběl další díl pravidelného bezpečnostního sumáře, tentokráte jste jej mohli najít pod názvem Bezpečnost v uplynulém týdnu: chyby psů obranářů. Hlavní díl zpravodajství pak na sebe vzaly krátké zprávičky, jmenovitě můžete zalistovat například příspěvky Americká firma žaluje Google i Yahoo kvůli zneužití patentu, Sony opět vytváří bezpečnostní hrozbu, Hackeři placení Microsoftem mají nový blog nebo třebas Googlu hrozí žaloba kvůli nacistickému videu na YouTube.

A pokud byste raději zavítali na stránky zahraničních serverů, čekají vás ze světa bezpečnosti například následující aktuální příspěvky:

Personal info on 150,000 job seekers at USAJobs stolen (Computerworld­.com)
Další z řady krádeží osobních informací vinou špatného zabezpečení.

AVG cries wolf at Adobe Reader (Theregister.com)
Nesprávná aktualizace signatur AVG vyvolala falešný poplach.

MSN Messenger flaw creates web cam peril (Theregister.com)
Chyba v IM klientovi MSN Messenger.

Content

Bezpečnostní software zdarma

TrueCrypt

Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

TrueCrypt

Aplikaci TrueCrypt asi netřeba příliš sáhodlouze představovat, jedná se o velice populární nástroj pro šifrování dat do virtuální jednotky, ze symetrických algoritmů podporuje například také standard AES. Navíc obsahuje některé rozšiřující funkce pro práci s vyměnitelnými médii, nastavení akcí při přihlášení se do systému nebo naopak odhlášení, zapnutí spořiče apod. Virtuální jednotka je po vytvoření a připojení k dispozici zcela transparentně napříč všemi aplikacemi.

Anketa

Považujete rootkity za stále hrozící nebezpečí?

Zasílat nově přidané názory e-mailem

Školení App Store optimalizace

  •  
    Jak dostat svou mobilní aplikaci mezi lidi
  • Jak na akvizici uživatelů mobilních aplikací na českém i světovém trhu
  • Jak správně spustit, propagovat, měřit a vyhodnotit svoji aplikaci v Google Play i v Apple App Store

Detailní informace o školení App Store optimalizace »