Hlavní navigace

Bezpečnost v uplynulém týdnu: kritické zranitelnosti Winampu a IE7 Beta 2

 Autor: 29
Ondřej Bitto 8. 2. 2006

Ohlédnutí za posledním týdnem ve světě bezpečnosti tentokráte přináší informace o vysoce kritické zranitelnosti v multimediálním přehrávači Winamp. Neméně závažná chyba potkala také aplikaci Sygate Management Server společnosti Symantec. První zranitelnosti se dočkal prohlížeč Internet Explorer 7 Beta 2, v části zabývající se bezpečnostním softwarem zdarma bude představen proslulý Nmap.

Bezpečnostní aktuality

Winamp

Verze: 5.x
Riziko: vysoké riziko (vysoké)
V oblíbeném multimediálním přehrávači Winamp byla objevena vysoce kritická zranitelnost, jíž může útočník zneužít k plné kompromitaci postiženého systému. Kámen úrazu spočívá v chybném zpracování těch souborů, které mají ve svém názvu zahrnut název počítače. V případě, že se útočníkovi podaří své oběti podstrčit speciálně upravený seznam skladeb, dojde k přetečení zásobníku, a tím se otevře prostor pro potenciální spuštění libovolného kódu.
Zmiňovaná zranitelnost byla potvrzena pro Winamp verze 5.12, nicméně postiženy mohou být také starší varianty. Doporučené řešení spočívá v přechodu na nový Winamp 5.13 (download).
Další informace: Spyinctructor­s.com

myBB

Verze: 1.02
Riziko: střední riziko (střední)
V aplikaci myBB byla objevena další chyba, tentokráte se jedná o zranitelnost vedoucí k vložení vlastního kódu. Na vině je nedostatečné ošetření parametru templatelist, kvůli kterému může útočník pracovat s jazykem SQL. Ačkoliv chyba byla potvrzena jmenovitě pro myBB 1.02, není vyloučeno, že se týká také některé další varianty. Doporučené řešení spočívá v aktualizaci na nejnovější verzi 1.03.
Další informace: Secunia.com

Symantec Sygate Management Server

Verze: viz původní oznámení
Riziko: vysoké riziko (vysoké)
Chyba se nevyhnula ani aplikaci Sygate Management Server od společnosti Symantec, sám výrobce ji na svých stránkách hodnotí jako vysoce kritickou. Opět se jedná o mezeru v ošetřování vstupu, čehož může útočník prostřednictvím vložení SQL kódu zneužít k eskalaci práv. Doporučené řešení spočívá v aplikaci vydaných oprav, bližší údaje jsou k dispozici na odkazovaných stránkách společnosti Symantec.
Další informace: Symantec.com

Objevena chyba v prohlížeči Internet Explorer 7 Beta 2

Jak informoval server Theregister.co­.uk, v nové beta-verzi IE7 byla objevena chyba způsobující přetečení zásobníku, a tedy otevírající cestu pro spuštění libovolného kódu. Chybu způsobuje soubor urlmon.dll, na stránkách Security-protocols.com je dokonce zveřejněn velice jednoduchý ukázkový HTML kód. Přímo si pád IE7 můžete vyzkoušet otevřením této stránky. Během psaní článku jsme DoS na buildu 5299 sami úspěšně otestovali.

Z nově vydaných online článků zahraničních serverů tentokráte doporučujeme následující zástupce:

Browsers face triple security threat (Computerworld­.com)
Článek Matthewa Broersmy o potenciální nebezpečnosti cookies.

Security vendors open another front against spyware (Theregister.co­.uk)
Společnosti Trend Micro, Symantec a McAfee táhnou do boje proti spywaru společným silami.

CIF16

Bezpečnostní software zdarma

KGB Archiver

Homepage: Insecure.org
Lupa hodnotí: 1753

nmap

Poslední lednový den byla vydána nová verze známé open source utility Nmap, která dovoluje zjistit řadu zajímavých informací o vzdáleném systému. Kromě prostého skenování portů tak nabízí i mnoho funkcí, jejichž využití pro audit sítě je více než vhodné. Kompletní popis širokého spektra vlastností včetně návodů na použití lze nalézt na domovských stránkách, základní tahák Nmap Cheatsheet se také nachází na serveru Secguru.com.

Anketa

Zajímali jste se někdy o techniky "OS fingerprinting" (zjišťování typu OS vzdáleného systému)?

Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?