Bezpečnost v uplynulém týdnu: především srpnové opravy Microsoftu

Během posledního týdnu společnost Microsoft vydala další pokračování záplat pro své aplikace, jejichž počet tentokráte dosáhl počtu 12. Nově publikované zranitelnosti dále pokrývají například IBM HTTP Server či Clam Anti-Virus. Část věnovanou bezpečnostnímu softwaru zdarma tentokráte vyplní šifrování souborů pomocí aplikace Crypt4Free.

Bezpečnostní aktuality

IBM HTTP Server

Verze: 1.3.26.2, 1.3.28.1
Riziko: střední riziko (střední)
V HTTP Server od společnosti IBM bylo podle původního, níže odkazovaného oznámení výrobce opraveno hned několik chybek, a to jmenovitě ve verzích 1.3.26.2 a 1.3.28.1. V případě prvně jmenované varianty se jednalo o dvě možnosti zhroucení aplikace při zpracování certifikátu, jedna z nich se přitom týká také verze 1.3.28.1. O mož­nosti opravy a potenciálním útoku XSS uplynulý týden nově informoval server Secunia.com.
Další informace: Ibm.com

Clam Anti-Virus

Verze: 0.88.3 a starší
Riziko: nizke riziko (nízké)
Jak nově informoval server Securityfocus.com, je antivirový systém Clam Anti-Virus náchylný na útok typu DoS, který způsobuje přetečení zásobníku. Kámen úrazu představuje chybné zpracování speciálně upraveného komprimovaného souboru UPX, k vyvolání zmiňované zranitelnosti je zapotřebí provést jeho ruční nebo automatickou kontrolu. Chyba byla přímo potvrzena pro Clam Anti-Virus verze 0.88.2 a 0.88.3, nicméně může postihovat také libovolné z předchozích variant tohoto produktu. Doporučené řešení spočívá v přechodu na Clam Anti-Virus 0.88.4.
Další informace: Securityfocus.com

Pravidelné záplaty společnosti Microsoft

Společnost Microsoft vydala další nadílku pravidelných záplat svých softwarových produktů, která tentokráte čítá dvanáct kousků. Devět z tohoto celkového počtu dvanácti oprav je hodnoceno nejvyšším stupněm důležitosti (kritické), zbývající tři si pak našly místo v kategorii důležitých. Jejich základní přehled v původním anglické znění je k nalezení na domovských stránkách společnosti Microsoft, přesněji v Microsoft Security Bulletin Summary for August, 2006.
První security bulletin MS06–040 opravuje zranitelnost služby Server, kvůli které měli potenciální útočníci možnost spuštění vlastního kódu na postižených počítačích se systémy Windows 2000, 2003 i XP. Podobný problém, nyní ovšem ve spojitosti s podpořou Winsock, je rozebrán také v dalším security bulletinu MS06–041. Hromadná kumulativní záplata popsaná v security bulletinu MS06–042 je hodnocena jako kritická a opravuje větší množství postupem času objevených zranitelností tohoto webového prohlížeče. Internetových doplňků systému se týká také oprava MS06–043, která zabraňuje zneužití spuštění vlastního kódu v klientovi Outlook Express. S čistým štítem nevyvázla ani Microsoft Management Console ve Windows 2000 – pro detaily viz MS06–044.
Security Bulletiny MS06–045 až MS06–048 společně řeší opět možnosti spuštění kódu, po řadě v Průzkumníkovi, nápovědě HTML, VBA a Microsoft Office. Již „pouze“ důležitá oprava popsaná v MS06–049 opravuje možnost eskalace uživatelských práv ve Windows 2000 SP4, zbývající MS06–050 a MS06–051 pak opět řeší vzdálené spuštění libovolného kódu.

Samozřejmě ani tento týden nesmí chybět stručný přehled zahraničních online článků, které si své místo v internetovém světě nalezly právě minulý týden:

Can you rely on Microsoft's Network Access Protection? (Computerworld­.com)
Zajímavý článek, který analyzuje bezpečnost NAP od společnosti Microsoft.

XSS, Cookies, and Session ID Authentication – Three Ingredients for a Successful Hacking (Informit.com)
Kuchařka na uvaření vražedné hackerské směsi ze tří uvedených ingrediencí.

Printer Security (Schneier.com)
Bruce Schneier se na svém blogu věnuje bezpečnosti síťových tiskáren.

KL_NOMINACE

Bezpečnostní software zdarma

Crypt4Free

Homepage: Secureaction.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

Crypt4free

Aplikace Crypt4Free představuje velice jednoduchou utilitu pro šifrování libovolných souborů. Uživateli se přitom k dispozici nabízejí dva kryptografické algoritmy, jimiž jsou DESX (128bitový klíč) a Blowfish s délkou klíče 448 bitů. Doplňkově lze soubory ještě před jejich zašifrováním automaticky zkomprimovat, z dalších funkcí se nabízí například možnost bezpečného mazání libovolných dat.

Anketa

Používáte samostatný antivir, nebo jako součást uceleného bezpečnostního balíčku?

1 názor Vstoupit do diskuse
poslední názor přidán 17. 8. 2006 4:17

Workshop: UX design v návrhu webu

  •  
    Rychlý a efektivní návrh rozhraní.
  • Metoda Design Studio.
  • Prototypy - proč a jak prototypujeme.

Detailní informace o workshopu UX designu »