Hlavní navigace

Bezpečnost v uplynulém týdnu: grafické editory a skrytá hesla

 Autor: 29
Ondřej Bitto 2. 5. 2007

Dny posledního týdne přinesly zranitelnosti například na poli oblíbených grafických editorů, chybám se nevyhnuly Adobe Photoshop nebo Corel Paint Shop Pro Photo. Dozvíte se o hromadné opravě aplikací společnosti Symantec a představíme také jednoduchou jednoúčelovou aplikaci I Forgot pro odhalení skrytých hesel.

Bezpečnostní aktuality

Adobe Photoshop

Verze: CS2
Riziko: vysoké riziko (vysoké)
Na níže odkazované stránce serveru Milw0rm můžete najít aktuální exploit pro Adobe Photoshop – verze CS2 je náchylná na spuštění útočníkova vlastního kódu. Základem všech trablů přitom je nekorektní ošetření při otevření speciálně upravených souborů BMP, DIB nebo RLE. V důsledku toho pak dojde k přetečení zásobníku a útočník je může zneužít až k již zmiňovanému spuštění vlastního kódu (v odkazovaném případě například souboru calc.exe). Prozatímní doporučené řešení (byť značně obecné) spočívá v neotevírání nedůvěryhodných souborů.
Další informace: Milw0rm.com

Corel Paint Shop Pro Photo

Verze: XI 11.x
Riziko: vysoké riziko (vysoké)
Na stránkách bezpečnostního serveru Secunia se objevila informace o nové zranitelnost v programu Corel Paint Shop Pro Photo, jejímž základem je nesprávná funkčnost knihovny igcore15.dll. Jakmile je předán soubor CLP, může dojít až k přetečení zásobníku a spuštění útočníkova vlastního kódu. Zranitelnost byla potvrzena pro verzi 11.20, avšak není vyloučeno, že mohou být postiženy také jiné varianty.
Další informace: Secunia.com

Produkty Symantec

Verze: viz viz původní ohlášení
Riziko: střední riziko (střední)
Jak na svých, níže odkazovaných stránkách informovala přímo společnost Symantec, je hned několik jejích produktů náchylných na možné zneužití. Zranitelnost získala přívlastek střední závažnosti, útočník díky ní může způsobit přetečení zásobníku na straně postiženého systému, případě pak tedy spustit také vlastní kód. Postiženy jsou různé verze produktů Norton Ghost, Norton Save & Recovery, LiveState Recovery a BackupExec System Recovery, odpovídající opravy by měly být doručeny prostřednictvím systému automatických aktualizací LiveUpdate.
Další informace: Symantec.com

Bezpečnost na Lupě

Samozřejmě ani v minulém týdnu na stránkách Lupy nesmělo chybět aktuální pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: spuštění útočníkova kódu a Anti-Rootkit. Nevyžádaná pošta sužuje životy (resp. e-mailové schránky) každého z nás, o tuto tématiku se otřel Pavel Houser ve své glose Skutečně se na rozesílání spamu dá vydělat? A pokud radši chráníte svoji bezpečnost v podání řady všemožných smluv, zalistujte příspěvek Nástrahy a pasti všeobecných podmínek od Davida Procházky.

Zahraniční servery také nebyly skoupé na aktuální články z oblasti počítačové bezpečnosti, můžete si tak pročíst například následující nové online příspěvky:

How the ANI bug got baked into Vista: Microsoft Explains (Computerworld­.com)
Další díl zřejmě nikdy nekončícího seriálu na téma zneužití animovaných kurzorů.

Google sponsored advertising links lead to exploits (Scmagazine.com)
Vyhledávač Google jako prostředek pro napadení uživatelů.

QuickTime, not Safari, to blame for MacBook vuln (Theregister.co­.uk)
Doplňující informace k hojně diskutované kauze hacknutí počítače MacBook Pro.

Bezpečnostní software zdarma

I Forgot

Ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: slunecnice 5

I Forgot

Podle některých jsou nejjednodušší aplikace zdarma těmi nejužitečnějšími. O tuto pověst se snaží také prográmek I Forgot, jenž slouží k odhalení hesel skrytých za typickými hvězdičkami z různých dialogů. Aby bylo použití skutečně jednoduché, zůstává okénko aplikace I Forgot zobrazené stále navrchu a umožňuje technikou drag & drop snadno zaměřit textové pole se skrytým textem. Nic víc program sice nenabízí, ale svou funkci plní spolehlivě.

Anketa

Zapomněli jste někdy některé ze svých duležitých hesel?

Našli jste v článku chybu?
Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání