Hlavní navigace

Bezpečnost v uplynulém týdnu: nadílka DoS a jednou XSS

12. 6. 2006
Doba čtení: 2 minuty

Sdílet

 Autor: 29
Pro svět bezpečnosti byly v posledním týdnu typické zprávy referující o možnostech DoS útoků, oběťmi se jmenovitě staly WinGate, Quake 3 a Microsoft NetMeeting. Systém MyBB naopak nedokáže odolat podvodnému cross site scripting útoku, bezpečnostní software zdarma tentokráte zastoupí SafeDataEditor.

Bezpečnostní aktuality

MyBB

Verze: Verze: 1.1.2
Riziko: nizke riziko (nízké)
V aplikaci MyBB byla objevena nepříliš závažná zranitelnost, jejímž zneužitím by útočník mohl provést XSS útok. Kámen úrazu spočívá v nedostatečném ošetření parametrů zpracovávaných souborem private.php; lze tak dosáhnout podstrčení vlastního HTML kódu nebo spuštění skriptu. Ačkoliv chyba byla přímo potvrzena pro MyBB verze 1.1.2, nelze vyloučit, že postiženy mohou být také jiné varianty tohoto produktu. Prozatímní doporučené řešení spočívá v ruční editaci kódu.
Další informace: Secunia.com

WinGate

Verze: 6.x
Riziko: střední riziko (střední)
Středně kritická zranitelnost postihla aplikaci WinGate – pomocí dané chybky by potenciální útočník dokázal způsobit DoS. Odepření služby přetečením zásobníku zapříčiňuje zaslání speciálně upraveného HTTP požadavku, který obsahuje přespříliš dlouhé URL. V době psaní tohoto článku ještě nebyla vydána oficiální oprava, doporučené řešení je proto obligátní: přístup by měli mít pouze počítače důvěryhodných sítí.
Další informace: Grok.org.uk

Microsoft NetMeeting

Verze: 3.01
Riziko: nizke riziko (nízké)
Možnost podloudného docílení DoS se nevyhnula ani aplikaci NetMeeting od společnosti Microsoft; podobně jako v případě aplikace WinGate je na vině opět chybné zpracování speciálně upraveného požadavku. Bližší informace nebyly publikovány, kromě faktu, že výsledkem může být okamžitý pád celé aplikace nebo maximální vytížení procesoru. Na níže odkazovaných původních stránkách autoři informují, že výrobce již byl upozorněn, prozatím však bez nápravné reakce.
Další informace: Hexview.com

Quake 3 Engine

Verze: 1.32c
Riziko: střední riziko (střední)
Do třetice další zranitelnost z kategorie DoS se týká herního enginu Quake 3; o typově podobné chybce jsme vás již informovali v dřívějším přehledu opravy Kerio a herní útok. Tentokráte vina leží na bedrech funkce CL_ParseDownload(), která má své místo v souboru code/client/cl_par­se.c a jež nekorektně zpracovává některé nestandardní požadavky. Jako jeden z příkladů je v původním (níže odkazovaném) oznámení uveden příkaz svc_download, který dokáže zapříčinit právě přetečení zásobníku. Díky tomu útočník pak může dosáhnout až spuštění libovolného kódu na klientské stanici, nicméně předtím svou oběť musí nalákat na daný podvodný herní server. Kromě originální podoby hry Quake 3 se zranitelnost týká také her od ní odvozených – viz seznam. Prozatímním doporučeným řešením pro online hráče je nepřipojování se k neznámým herním serverům.
Další informace: Altervista.org

Z aktuálních online článků za přečtení stojí například následující bezpečnostní příspěvky:

Cyber extortion, a very real threat (It-observer.com)
Analýza a nástin možných finančních dopadů počítačových útoků.

Track Someone Using GPS (Schneier.com)
Schneierova úvaha na téma sledování prostřednictvím GPS a již tradičně obsáhlá následná diskuse.

Getting on the right side of IE 7 security (Theregister.co­.uk)
Rozbor bezpečnostních prvků prohlížeče Internet Explorer 7.

BRAND24

Bezpečnostní software zdarma

SafeDataEditor

Homepage: Mozkovna.cz, ke stažení na Slunečnice.cz
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3


SafeDataEditor

Jednoduchý textový editor, který se však od běžného systémového Poznámkového bloku liší v přidání možnosti ochrany souboru heslem. Výsledné soubory mají standardně příponu .stx, jejich obsah je při každém jiném otevření samozřejmě nečitelný. SafeDataEditor přesně podle vzoru Poznámkového bloku nepřidává vůbec žádné možnosti formátování, uživatelé se tedy musejí spokojit s editací čistých textů. Mezi výhody naopak patří snadná přenositelnost bez nutnosti instalace.

Hrajete pravidelně některou z her založených na enginu Quake 3?

Byl pro vás článek přínosný?

Autor článku

Autor je zástupcem šéfredaktora časopisu Computer, živě se zajímá o svět Windows, Internetu a nejen síťové bezpečnosti.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).