Hlavní navigace

Bezpečnost v uplynulém týdnu: kritické zranitelnosti Winampu a IE7 Beta 2

 Autor: 29
Ondřej Bitto 8. 2. 2006

Ohlédnutí za posledním týdnem ve světě bezpečnosti tentokráte přináší informace o vysoce kritické zranitelnosti v multimediálním přehrávači Winamp. Neméně závažná chyba potkala také aplikaci Sygate Management Server společnosti Symantec. První zranitelnosti se dočkal prohlížeč Internet Explorer 7 Beta 2, v části zabývající se bezpečnostním softwarem zdarma bude představen proslulý Nmap.

Bezpečnostní aktuality

Winamp

Verze: 5.x
Riziko: vysoké riziko (vysoké)
V oblíbeném multimediálním přehrávači Winamp byla objevena vysoce kritická zranitelnost, jíž může útočník zneužít k plné kompromitaci postiženého systému. Kámen úrazu spočívá v chybném zpracování těch souborů, které mají ve svém názvu zahrnut název počítače. V případě, že se útočníkovi podaří své oběti podstrčit speciálně upravený seznam skladeb, dojde k přetečení zásobníku, a tím se otevře prostor pro potenciální spuštění libovolného kódu.
Zmiňovaná zranitelnost byla potvrzena pro Winamp verze 5.12, nicméně postiženy mohou být také starší varianty. Doporučené řešení spočívá v přechodu na nový Winamp 5.13 (download).
Další informace: Spyinctructor­s.com

myBB

Verze: 1.02
Riziko: střední riziko (střední)
V aplikaci myBB byla objevena další chyba, tentokráte se jedná o zranitelnost vedoucí k vložení vlastního kódu. Na vině je nedostatečné ošetření parametru templatelist, kvůli kterému může útočník pracovat s jazykem SQL. Ačkoliv chyba byla potvrzena jmenovitě pro myBB 1.02, není vyloučeno, že se týká také některé další varianty. Doporučené řešení spočívá v aktualizaci na nejnovější verzi 1.03.
Další informace: Secunia.com

Symantec Sygate Management Server

Verze: viz původní oznámení
Riziko: vysoké riziko (vysoké)
Chyba se nevyhnula ani aplikaci Sygate Management Server od společnosti Symantec, sám výrobce ji na svých stránkách hodnotí jako vysoce kritickou. Opět se jedná o mezeru v ošetřování vstupu, čehož může útočník prostřednictvím vložení SQL kódu zneužít k eskalaci práv. Doporučené řešení spočívá v aplikaci vydaných oprav, bližší údaje jsou k dispozici na odkazovaných stránkách společnosti Symantec.
Další informace: Symantec.com

Objevena chyba v prohlížeči Internet Explorer 7 Beta 2

Jak informoval server Theregister.co­.uk, v nové beta-verzi IE7 byla objevena chyba způsobující přetečení zásobníku, a tedy otevírající cestu pro spuštění libovolného kódu. Chybu způsobuje soubor urlmon.dll, na stránkách Security-protocols.com je dokonce zveřejněn velice jednoduchý ukázkový HTML kód. Přímo si pád IE7 můžete vyzkoušet otevřením této stránky. Během psaní článku jsme DoS na buildu 5299 sami úspěšně otestovali.

Z nově vydaných online článků zahraničních serverů tentokráte doporučujeme následující zástupce:

Browsers face triple security threat (Computerworld­.com)
Článek Matthewa Broersmy o potenciální nebezpečnosti cookies.

Security vendors open another front against spyware (Theregister.co­.uk)
Společnosti Trend Micro, Symantec a McAfee táhnou do boje proti spywaru společným silami.

Bezpečnostní software zdarma

KGB Archiver

Homepage: Insecure.org
Lupa hodnotí: 1753

nmap

Poslední lednový den byla vydána nová verze známé open source utility Nmap, která dovoluje zjistit řadu zajímavých informací o vzdáleném systému. Kromě prostého skenování portů tak nabízí i mnoho funkcí, jejichž využití pro audit sítě je více než vhodné. Kompletní popis širokého spektra vlastností včetně návodů na použití lze nalézt na domovských stránkách, základní tahák Nmap Cheatsheet se také nachází na serveru Secguru.com.

Anketa

Zajímali jste se někdy o techniky "OS fingerprinting" (zjišťování typu OS vzdáleného systému)?

Našli jste v článku chybu?

8. 2. 2006 21:56

adam (neregistrovaný)
kompromitace systemu ... zajimave slovni spojeni

8. 2. 2006 10:24

uživatel si přál zůstat v anonymitě
Omyl - pracovat bez adminu se da. Co se da dost blbe je hrat hry - proto ve firmach je riziko docela male, horsi v domacnostech.
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky