Hlavní navigace

Bezpečnost v uplynulém týdnu: Internet Explorer DoS a "ptačí" spam

Ondřej Bitto

V uplynulém týdnu byly publikovány informace o několika zranitelnostech v programu Skype, stejně tak DoS chyba Internet Exploreru. Spam si zase začíná brát na mušku nabídku přípravku proti ptačí chřipce. V sekci o bezpečnostním softwaru zdarma bude kromě jiného představen jednoduchý a snadno použitelný zálohovací program Right Backup Lite.

Pravidelný cyklus článků Bezpečnost ve dvou týdnech v sobě počínaje dnešním dílem ukrývá jak sumář aktualit, tak přehled některých bezpečnostních utilit dostupných zdarma. S aktualizovaným hávem přichází také nová jednotýdenní periodicita.

Bezpečnostní aktuality

Microsoft Internet Explorer
Verze: 6.0 (Windows XP SP2)
Riziko: 1956 (střední)
V nejrozšířenějším webovém prohlížeči od společnosti Microsoft byla objevena zranitelnost, která dokáže způsobit DoS. K tomu navíc musí mít uživatel nainstalováno běhové prostředí J2SE Runtime Environment. Jádro chyby spočívá v souboru mshtmled.dll, a jak se můžete dočíst v prvně citovaném zdroji, lze ji vyvolat například následujícím kódem (samozřejmě po odstranění znaků '):


<'FRAMESET >
<'FRAME SRC=AAAA >
<'EMBED NAME=SP STYLE= >
<'APPLET HSPACE=file://AAAA >
 

Další informace: Security-protocols.com, Securityfocus.com

Skype
Verze: 1.1.*.0 až 1.4.*.83 (Windows)
Riziko: 1957 (vysoké)
V oblíbeném programu Skype byla objevena zranitelnost, jejímž zneužitím může útočník způsobit přetečení zásobníku, a docílit tak spuštění libovolného kódu. Na počátku všeho stojí následování podvrženého odkazu začínajícího klasicky callto:// nebo skype://. Ke stejné chybě může dojít také během importování speciálně upravené VCARD. Doporučeným řešením je aktualizace na verzi 1.4.*.84 nebo vyšší.
Další informace: Skype.com, Secunia.com, Pentest.co.uk

Skype
Verze: 1.4.*.83 a starší (Windows)
Riziko: 1957 (vysoké)
Skype nechal odhalit ještě jednu svou chybu, která spočívá v přetečení haldy a jíž má útočník možnost dosáhnout zasláním speciálně upraveného proudu dat. Nejčastější reakcí na tento typ útoku bude ukončení programu Skype z důvodu vnitřní chyby, nelze však vyloučit ani jiné chování. V dosavadním testování se nepodařilo využít tuto zranitelnost až pro vykonání libovolného kódu. U Windows verze doporučené řešení spočívá v přechodu na verzi 1.4.*.84 nebo vyšší.
Další informace: Skype.com, Secunia.com

Je libo lék proti ptačí chřipce?
Prakticky každá nepříjemná nebo nešťastná událost s sebou přináší nepřeberné množství podvodných e-mailů nabízejících efektivní a levné řešení. Bylo proto jen otázkou času, než se objeví první spam s tématikou ptačí chřipky a účinné ochrany před ní. Podle článku na serveru ZDNet lze narazit na zprávu nabízející prostředek Tamiflu, důvěryhodnost a spolehlivost se však rovná variantám proklamujícím viagru nebo stoprocentně legální software za zlomek jeho ceny.

Samozřejmě přinášíme také stručný sumář některých zajímavých článků, jež během toulek Internetem stojí za povšimnutí:

An Assessment of the Oracle Password Hashing Algorithm (Sans.org)
Jedenáctistránkový dokument od J.Wrighta a C.Cida rozebírá bezpečnost ukládání hesel v Oracle.

Cookie Dethroning: Demystified (Infosecwriter­s.com)
Osvětlení a náhled do problematiky bezpečnosti cookies. Článek je rozdělen na první a druhý díl.

Fear of phishing hurts banks (Computerworld­.com)
Jaký dopad má rhybaření na současné bankovnictví a důvěru v banky?

Bezpečnostní software zdarma

Right Backup Lite
Homepage: Systweak.com
Lupa hodnotí: 1749

1993

U programu Right Backup Lite (RBL) od společnosti Systweak jsme nejprve zvažovali, zda jej vůbec zařadit mezi volně šiřitelné varianty s neomezenou dobou použití. Po jeho instalaci je totiž zapotřebí provést bezplatnou registraci, na základě které výrobce zašle registrační číslo. Jeho platnost však vyprší po době přibližně jednoho měsíce, takže uživatel musí registraci provést znovu.
Jak již u zálohovacích programů bývá dobrým zvykem, snaží se také RBL zaujmout především snadností ovládání. Při vytváření nového zálohovacího schématu tak stačí zadat jeho název, složku pro zálohovaná data a doplnit seznam souborů a adresářů, jejichž kopie se má vytvořit. Samozřejmě nechybí ani možnost naplánování pravidelného automatického zálohování či komprese do ZIP souborů. Mezi nepříjemnosti RBL patří všudypřítomné volby dostupné až ve vyšších, a tudíž placených, verzích Standard a Pro – nefunkčnost uživatel zjistí až po jejich vybrání a zobrazení okna nabízejícího objednání některé z těchto pokročilých variant.

SSO Plus
Homepage: SSOPlus.com
Lupa hodnotí: 1756

2007

Každý den používáme rozličná hesla pro přihlašování do různých systémů. Abychom se v nich neztratili, přichází na pomoc aplikace SSO Plus, která za nás dokáže tyto citlivé údaje automaticky vyplňovat. Může pracovat ve dvou základních režimech, a to aktivním či pasivním. Za použití prvně jmenované varianty nabízí ukládání nově detekovaných hesel a jejich příští automatické zadání, v pasivním módu pak ukládá hesla bez uživatelova výslovného svolení, nicméně je pak automaticky nevyplňuje.

Praktické použití pak vypadá například tak, že při první návštěvě stránky vyžadující heslo SSO Plus uloží požadované citlivé informace, při příští návštěvě je uživatel zadávání ušetřen. Jednotlivé záznamy lze z okna aplikace poměrně komfortně spravovat.

Anketa

Zajímali jste se někdy o problematiku bezpečnosti RFID čipů?

Našli jste v článku chybu?

3. 11. 2005 19:05

hkmaly (neregistrovaný)
Ne nebylo. Zrovna u zalohovaciho programu je zatracene velka nevyhoda ze se nemuzu spolehnout, ze bude fungovat i priste - treba kdyz se firma rozhodne, ze uz tomu samemu cloveku desatou trial licenci neda.

Jestli jste presto nemohli odolat (chapu, mate hluboko do kapsy), meli jste pridat do clanku kategorii treba Bezpecnostni software - demo.

3. 11. 2005 17:43

Petr (neregistrovaný)
Na druhou stranu by byla škoda ho nezmínit.
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte