Bezpečnost v uplynulém týdnu: především chyby prohlížečů

Poslední týden se z pohledu bezpečnosti nesl ve znamení nově objevených zranitelností webových prohlížečů Internet Explorer i Mozilla Firefox. Kromě toho si však pomyslné šrámy odnesly také produkty Symantec nebo Trend Micro, na závěr bude představena steganografická aplikace s názvem Camouflage.

Bezpečnostní aktuality

Mozilla Firefox

Verze: 1.x, 2.0.x
Riziko: vysoké riziko (vysoké)
Na níže odkazovaných stránkách bezpečnostního serveru Secunia můžete nalézt ucelený přehled naposledy opravených zranitelností ve webovém prohlížeči Mozilla Firefox. Výčet obsahuje celkem devět chyb, které mají rozmanitý původ – jedná se například o zranitelnost při SSL spojení, XSS, neoprávněný přístup k lokálním souborům nebo zneužití zabudovaného správce hesel. Doporučené řešení spočívá v přechodu na verzi 2.0.02 nebo 1.5.0.10.
Další informace: Secunia.com

Produkty Symantec

Verze: viz původní ohlášení
Riziko: vysoké riziko (vysoké)
V několika produktech společnosti Symantec byla objevena vysoce kritická zranitelnost, která může způsobit přetečení zásobníku a následné spuštění útočníkova vlastního kódu. Základem chyby je přitom nesprávná funkčnost ovládacích prvků ActiveX jiného výrobce (SupportSoft), jež jsou v těchto aplikacích zahrnuty. Přesněji se zranitelnost týká souborů tgctlsi.dll a tgctlsr.dll používaných v některých aplikacích řady 2006. Opravy jsou aplikovány prostřednictvím standardních automatických aktualizací.
Další informace: Symantec.com

Internet Explorer

Verze: 7
Riziko: střední riziko (střední)
Webový prohlížeč Internet Explorer je ve své sedmé verzi náchylný na zranitelnost, která dokáže uživateli zamezit v opuštění právě navštívené stránky. Kámen úrazu spočívá ve zpracování funkce onUnload  – při úspěšném zneužití může být uživateli podvržena jiná stránka, a to i při ručním vepsání a následném zobrazení korektní cílové adresy. Odpovídající ukázku můžete nalézt na této webové stránce. Prozatímním doporučeným řešením může být vypnutí automatického zpracování JavaScriptu.
Další informace: Lists.grok.org.uk

Trend Micro ServerProtect

Verze: viz původní ohlášení
Riziko: střední riziko (střední)
Opět s odvoláním na níže odkazované stránky bezpečnostního serveru Secunia je možné zapátrat po několika nově publikovaných zranitelnostech v aplikaci Trend Micro ServerProtect. Všechny přitom v základu dokáží způsobit přetečení zásobníku prostřednictvím speciálně upraveného RPC požadavku na službu spntsvc.exe. Pro jednotlivé postižené verze jsou již k dispozici odpovídající opravy.
Další informace: Secunia.com

Z online článků, které během uplynulého týdne spatřily světlo světa na zahraničních serverech, můžete zalistovat například následujícími:

Vista's UAC warnings can hide a rat, Symantec says (Computerworld­.com)
O možném obejití ochrany UAC v nových Windows Vista.

Read RSS, get hacked (Computerworld­.com)
Šíření škodlivého kódu prostřednictvím RSS.

Microsoft's WGA changes today (Theregister.co­.uk)
Aktualizovaná verze nástroje pro ověření pravosti byla vydána.

EBF6

Bezpečnostní software zdarma

Camouflage

Homepage: Camouflage.un­fiction.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

Camouflage

Během dnů minulého týdne se nabídka serveru Slunečnice.cz rozrostla například o zdarma dostupnou aplikaci Camouflage, která představuje jednoduchý steganografický software. Skrytí libovolného souboru do některého jiného probíhá jednoduše prostřednictvím základní kontextové nabídky, navíc je možné použít ochranu heslem. Právě integrace odpovídajícího průvodce do kontextové nabídky nabízí utajení dat, v programové skupině pak najdete pouze jednoduchou konfiguraci.

Anketa

Zkoušeli jste někdy možnosti některého steganografického softwaru?

3 názory Vstoupit do diskuse
poslední názor přidán 4. 3. 2007 9:56

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»