Hlavní navigace

Bezpečnost v uplynulém týdnu: Nové PuTTY a zneužití Wordu

 Autor: 29
Ondřej Bitto

Během dnů posledního týdne se aktivního zneužití již dříve objevené chyby dočkala aplikace Microsoft Word, zranitelnosti byly dále připsány také webovému prohlížeči Konqueror a Symantec Web Security. Po shrnutí aktuálních bezpečnostních článků bude představena nová verze populárního SSH/Telnet klienta PuTTY.

Bezpečnostní aktuality

Microsoft Word

Verze: 2000
Riziko: vysoké riziko (vysoké)
Jak na svých uvedl níže odkazovaný bezpečnostní server Secunia, byla v aplikaci Microsoft Word aktivně zneužita již dříve publikovaná zranitelnost. V důsledku má úspěšný útočník možnost spuštění vlastního kódu při otevření speciálně upraveného dokumentu, bližší podrobnosti však v době psaní tohoto článku nebyly publikovány. Doporučené prozatímní řešení tedy až do vydání odpovídající opravy spočívá v zamezení otevírání nedůvěryhodných souborů.
Další informace: Secunia.com

Symantec Web Security

Verze: starší než 3.0.1.85
Riziko: střední riziko (střední)
V aplikaci Web Security od společnosti Symantec byla přímo podle původního firemního ohlášení objevena středně kritická zranitelnost, jíž lze zneužít pro způsobení XSS, další chybka pak ještě dovoluje zapříčinit DoS. Také zde je základem nedostatečné ošetření zadaného vstupu, zranitelnosti byly potvrzeny pro verze starší než 3.0.1.85, doporučené řešení tedy spočívá v přechodu na tuto variantu.
Další informace: Symantec.com

Konqueror

Verze: 3.5.5
Riziko: nizke riziko (nízké)
Webový prohlížeč Konqueror je podle aktuálních informací náchylný na zneužití v podobě XSS útoku, základem se přitom stává nedostatečné ošetření vstupu při zpracování HTML kódu, přesněji vloženého komentáře. Zranitelnost byla přímo potvrzena pro Konqueror verze 3.5.5, nicméně samozřejmě není vyloučeno možné postižení také jiných variant tohoto prohlížeče. Oprava popisované skuliny není k dispozici, takže ochranou se může stát nenásledování nedůvěryhodných odkazů.
Další informace: Secunia.com

Bezpečnost na Lupě

Pokud se bojíte, že vám v minulém týdnu na Lupě unikl některý z článků na téma bezpečnosti, můžete to nyní napravit. Nechybělo samozřejmě předchozí pokračování pravidelného sumáře, a to s názvem Bezpečnost v uplynulém týdnu: Podlehla Java i Mac OS X, možnostem Google Hackingu v praxi a konkrétně kauze z českých internetových vod se pak věnoval článek Jana Wagnera s názvem Web ministerstva podlehl Google hackingu. O hodně diskutované ochraně autorských práv z netradičního pohledu jste se mohli dočíst v článku Internetové rádio vs. OSA: nerovný boj.

Při listování online stránkami zahraničních serverů jste v minulém týdnu mohli narazit například na následující články s bezpečnostní problematikou:

How do I… Secure Windows XP NTFS files and shares? (Techrepublic­.com.com)
Jak na bezpečné použití přístupových oprávnění v NTFS.

Free check offered for stolen information (Securityfocus­.com)
Kontrola odcizených údajů dostupná online.

Universal Man-in-the-Middle Phishing Kit – why is this even news? (Rsasecurity.com)
Jeden z názorů na nedávno objevený nástroj pro MIM útoky.

Bezpečnostní software zdarma

PuTTY

Homepage: Greenend.org.uk, ke stažení na Slunečnici
Lupa hodnotí: 1757
Slunečnice hodnotí: slunecnice 5

Putty

Přímo v minulém týdnu se vydání dočkala nová verze populárního prográmku PuTTY. Jedná se o možnostmi bohatého Telnet a SSH klienta, který v aktuální variantě 0.59 napravuje například dřívější bezpečnostní chybu, ale také urychluje výměnu klíčů při SSH autentizaci, vylepšuje dokumentaci a další – kompletní přehled změn naleznete zde. Klient PuTTY sice na první pohled po grafické stránce nevypadá příliš vábně, avšak patří mezi to nejlepší, co lze v rámci terminálových klientů získat. Nabízí velké množství podrobných nastavení, konfiguraci chování kláves, kopírování obsahu okna apod.

Anketa

Používáte pravidelně nástroj PuTTY?

Našli jste v článku chybu?

1. 2. 2007 23:36

local (neregistrovaný)
New putty vyzera sice zaujimavo, ale podpora serial portu je doslova tragicka. zatial mi spolahlivo padlo pri na vsetkych systemoch kde som ho skusal, pri roznych serial portoch. jedine, co sa simonovi podarilo, je znefuncnenie serial komunikacie v putty. rozhodne je to nepouzitelne. ake mate skusenosti vy?

1. 2. 2007 2:11

yuri (neregistrovaný)
rozhodne by som neporovnaval normalnu vpnku s redirectom portov.
DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá