Hlavní navigace

Bezpečnost v uplynulém týdnu: především srpnové opravy Microsoftu

 Autor: 29
Ondřej Bitto 16. 8. 2006

Během posledního týdnu společnost Microsoft vydala další pokračování záplat pro své aplikace, jejichž počet tentokráte dosáhl počtu 12. Nově publikované zranitelnosti dále pokrývají například IBM HTTP Server či Clam Anti-Virus. Část věnovanou bezpečnostnímu softwaru zdarma tentokráte vyplní šifrování souborů pomocí aplikace Crypt4Free.

Bezpečnostní aktuality

IBM HTTP Server

Verze: 1.3.26.2, 1.3.28.1
Riziko: střední riziko (střední)
V HTTP Server od společnosti IBM bylo podle původního, níže odkazovaného oznámení výrobce opraveno hned několik chybek, a to jmenovitě ve verzích 1.3.26.2 a 1.3.28.1. V případě prvně jmenované varianty se jednalo o dvě možnosti zhroucení aplikace při zpracování certifikátu, jedna z nich se přitom týká také verze 1.3.28.1. O mož­nosti opravy a potenciálním útoku XSS uplynulý týden nově informoval server Secunia.com.
Další informace: Ibm.com

Clam Anti-Virus

Verze: 0.88.3 a starší
Riziko: nizke riziko (nízké)
Jak nově informoval server Securityfocus.com, je antivirový systém Clam Anti-Virus náchylný na útok typu DoS, který způsobuje přetečení zásobníku. Kámen úrazu představuje chybné zpracování speciálně upraveného komprimovaného souboru UPX, k vyvolání zmiňované zranitelnosti je zapotřebí provést jeho ruční nebo automatickou kontrolu. Chyba byla přímo potvrzena pro Clam Anti-Virus verze 0.88.2 a 0.88.3, nicméně může postihovat také libovolné z předchozích variant tohoto produktu. Doporučené řešení spočívá v přechodu na Clam Anti-Virus 0.88.4.
Další informace: Securityfocus.com

Pravidelné záplaty společnosti Microsoft

Společnost Microsoft vydala další nadílku pravidelných záplat svých softwarových produktů, která tentokráte čítá dvanáct kousků. Devět z tohoto celkového počtu dvanácti oprav je hodnoceno nejvyšším stupněm důležitosti (kritické), zbývající tři si pak našly místo v kategorii důležitých. Jejich základní přehled v původním anglické znění je k nalezení na domovských stránkách společnosti Microsoft, přesněji v Microsoft Security Bulletin Summary for August, 2006.
První security bulletin MS06–040 opravuje zranitelnost služby Server, kvůli které měli potenciální útočníci možnost spuštění vlastního kódu na postižených počítačích se systémy Windows 2000, 2003 i XP. Podobný problém, nyní ovšem ve spojitosti s podpořou Winsock, je rozebrán také v dalším security bulletinu MS06–041. Hromadná kumulativní záplata popsaná v security bulletinu MS06–042 je hodnocena jako kritická a opravuje větší množství postupem času objevených zranitelností tohoto webového prohlížeče. Internetových doplňků systému se týká také oprava MS06–043, která zabraňuje zneužití spuštění vlastního kódu v klientovi Outlook Express. S čistým štítem nevyvázla ani Microsoft Management Console ve Windows 2000 – pro detaily viz MS06–044.
Security Bulletiny MS06–045 až MS06–048 společně řeší opět možnosti spuštění kódu, po řadě v Průzkumníkovi, nápovědě HTML, VBA a Microsoft Office. Již „pouze“ důležitá oprava popsaná v MS06–049 opravuje možnost eskalace uživatelských práv ve Windows 2000 SP4, zbývající MS06–050 a MS06–051 pak opět řeší vzdálené spuštění libovolného kódu.

Samozřejmě ani tento týden nesmí chybět stručný přehled zahraničních online článků, které si své místo v internetovém světě nalezly právě minulý týden:

Can you rely on Microsoft's Network Access Protection? (Computerworld­.com)
Zajímavý článek, který analyzuje bezpečnost NAP od společnosti Microsoft.

XSS, Cookies, and Session ID Authentication – Three Ingredients for a Successful Hacking (Informit.com)
Kuchařka na uvaření vražedné hackerské směsi ze tří uvedených ingrediencí.

Printer Security (Schneier.com)
Bruce Schneier se na svém blogu věnuje bezpečnosti síťových tiskáren.

KL_HLASOVANI

Bezpečnostní software zdarma

Crypt4Free

Homepage: Secureaction.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

Crypt4free

Aplikace Crypt4Free představuje velice jednoduchou utilitu pro šifrování libovolných souborů. Uživateli se přitom k dispozici nabízejí dva kryptografické algoritmy, jimiž jsou DESX (128bitový klíč) a Blowfish s délkou klíče 448 bitů. Doplňkově lze soubory ještě před jejich zašifrováním automaticky zkomprimovat, z dalších funkcí se nabízí například možnost bezpečného mazání libovolných dat.

Anketa

Používáte samostatný antivir, nebo jako součást uceleného bezpečnostního balíčku?

Našli jste v článku chybu?
Podnikatel.cz: Babiš: Článek Soukupa k EET je plný nesmyslů

Babiš: Článek Soukupa k EET je plný nesmyslů

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip