Hlavní navigace

Bezpečnost v uplynulém týdnu: Internet Explorer DoS a "ptačí" spam

Ondřej Bitto 2. 11. 2005

V uplynulém týdnu byly publikovány informace o několika zranitelnostech v programu Skype, stejně tak DoS chyba Internet Exploreru. Spam si zase začíná brát na mušku nabídku přípravku proti ptačí chřipce. V sekci o bezpečnostním softwaru zdarma bude kromě jiného představen jednoduchý a snadno použitelný zálohovací program Right Backup Lite.

Pravidelný cyklus článků Bezpečnost ve dvou týdnech v sobě počínaje dnešním dílem ukrývá jak sumář aktualit, tak přehled některých bezpečnostních utilit dostupných zdarma. S aktualizovaným hávem přichází také nová jednotýdenní periodicita.

Bezpečnostní aktuality

Microsoft Internet Explorer
Verze: 6.0 (Windows XP SP2)
Riziko: 1956 (střední)
V nejrozšířenějším webovém prohlížeči od společnosti Microsoft byla objevena zranitelnost, která dokáže způsobit DoS. K tomu navíc musí mít uživatel nainstalováno běhové prostředí J2SE Runtime Environment. Jádro chyby spočívá v souboru mshtmled.dll, a jak se můžete dočíst v prvně citovaném zdroji, lze ji vyvolat například následujícím kódem (samozřejmě po odstranění znaků '):


<'FRAMESET >
<'FRAME SRC=AAAA >
<'EMBED NAME=SP STYLE= >
<'APPLET HSPACE=file://AAAA >
 

Další informace: Security-protocols.com, Securityfocus.com

Skype
Verze: 1.1.*.0 až 1.4.*.83 (Windows)
Riziko: 1957 (vysoké)
V oblíbeném programu Skype byla objevena zranitelnost, jejímž zneužitím může útočník způsobit přetečení zásobníku, a docílit tak spuštění libovolného kódu. Na počátku všeho stojí následování podvrženého odkazu začínajícího klasicky callto:// nebo skype://. Ke stejné chybě může dojít také během importování speciálně upravené VCARD. Doporučeným řešením je aktualizace na verzi 1.4.*.84 nebo vyšší.
Další informace: Skype.com, Secunia.com, Pentest.co.uk

Skype
Verze: 1.4.*.83 a starší (Windows)
Riziko: 1957 (vysoké)
Skype nechal odhalit ještě jednu svou chybu, která spočívá v přetečení haldy a jíž má útočník možnost dosáhnout zasláním speciálně upraveného proudu dat. Nejčastější reakcí na tento typ útoku bude ukončení programu Skype z důvodu vnitřní chyby, nelze však vyloučit ani jiné chování. V dosavadním testování se nepodařilo využít tuto zranitelnost až pro vykonání libovolného kódu. U Windows verze doporučené řešení spočívá v přechodu na verzi 1.4.*.84 nebo vyšší.
Další informace: Skype.com, Secunia.com

Je libo lék proti ptačí chřipce?
Prakticky každá nepříjemná nebo nešťastná událost s sebou přináší nepřeberné množství podvodných e-mailů nabízejících efektivní a levné řešení. Bylo proto jen otázkou času, než se objeví první spam s tématikou ptačí chřipky a účinné ochrany před ní. Podle článku na serveru ZDNet lze narazit na zprávu nabízející prostředek Tamiflu, důvěryhodnost a spolehlivost se však rovná variantám proklamujícím viagru nebo stoprocentně legální software za zlomek jeho ceny.

Samozřejmě přinášíme také stručný sumář některých zajímavých článků, jež během toulek Internetem stojí za povšimnutí:

An Assessment of the Oracle Password Hashing Algorithm (Sans.org)
Jedenáctistránkový dokument od J.Wrighta a C.Cida rozebírá bezpečnost ukládání hesel v Oracle.

Cookie Dethroning: Demystified (Infosecwriter­s.com)
Osvětlení a náhled do problematiky bezpečnosti cookies. Článek je rozdělen na první a druhý díl.

Fear of phishing hurts banks (Computerworld­.com)
Jaký dopad má rhybaření na současné bankovnictví a důvěru v banky?

Bezpečnostní software zdarma

Right Backup Lite
Homepage: Systweak.com
Lupa hodnotí: 1749

1993

U programu Right Backup Lite (RBL) od společnosti Systweak jsme nejprve zvažovali, zda jej vůbec zařadit mezi volně šiřitelné varianty s neomezenou dobou použití. Po jeho instalaci je totiž zapotřebí provést bezplatnou registraci, na základě které výrobce zašle registrační číslo. Jeho platnost však vyprší po době přibližně jednoho měsíce, takže uživatel musí registraci provést znovu.
Jak již u zálohovacích programů bývá dobrým zvykem, snaží se také RBL zaujmout především snadností ovládání. Při vytváření nového zálohovacího schématu tak stačí zadat jeho název, složku pro zálohovaná data a doplnit seznam souborů a adresářů, jejichž kopie se má vytvořit. Samozřejmě nechybí ani možnost naplánování pravidelného automatického zálohování či komprese do ZIP souborů. Mezi nepříjemnosti RBL patří všudypřítomné volby dostupné až ve vyšších, a tudíž placených, verzích Standard a Pro – nefunkčnost uživatel zjistí až po jejich vybrání a zobrazení okna nabízejícího objednání některé z těchto pokročilých variant.

SSO Plus
Homepage: SSOPlus.com
Lupa hodnotí: 1756

2007

CIF16

Každý den používáme rozličná hesla pro přihlašování do různých systémů. Abychom se v nich neztratili, přichází na pomoc aplikace SSO Plus, která za nás dokáže tyto citlivé údaje automaticky vyplňovat. Může pracovat ve dvou základních režimech, a to aktivním či pasivním. Za použití prvně jmenované varianty nabízí ukládání nově detekovaných hesel a jejich příští automatické zadání, v pasivním módu pak ukládá hesla bez uživatelova výslovného svolení, nicméně je pak automaticky nevyplňuje.

Praktické použití pak vypadá například tak, že při první návštěvě stránky vyžadující heslo SSO Plus uloží požadované citlivé informace, při příští návštěvě je uživatel zadávání ušetřen. Jednotlivé záznamy lze z okna aplikace poměrně komfortně spravovat.

Anketa

Zajímali jste se někdy o problematiku bezpečnosti RFID čipů?

Našli jste v článku chybu?
Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit