Hlavní navigace

Bezpečnost v uplynulém týdnu: smršť kritických oprav Microsoftu

 Autor: 29
Ondřej Bitto 20. 2. 2007

Dny posledního týdne se nesly ve znamení obsáhlé nadílky záplat společnosti Microsoft, z nichž polovina získala kritický přívlastek. Z nově objevených skulin byly chyby publikovány na účet antiviru ClamAV nebo filtru SpamAssassin, vysoce kritické zranitelnosti se dočkal také populární klient uTorrent. Z bezpečnostních aplikací zdarma bude představeno šifrování pomocí programu Cryptainer LE.

Bezpečnostní aktuality

ClamAV

Verze: starší než 0.90
Riziko: střední riziko (střední)
V antivirovém programu ClamAV byla objevena zranitelnost, jejímž zneužitím by případný útočník mohl zapříčinit DoS náchylného systému. Základem všech trablů přitom je nekorektní zpracování speciálně upravených CAB souborů, při jejichž kontrole může dojít k zablokování kontroly i dalších správných. Chyba byla přímo potvrzena pro ClamAV verze v0.90RC1.1, nicméně měla by postihovat také starší varianty.
Další informace: Idefense.com

SpamAssassin

Verze: 3.x
Riziko: střední riziko (střední)
Jak na svých stránkách uvedl níže odkazovaný bezpečnostní server Secunia, obsahuje také SpamAssassin skulinu, která může způsobit odepření služby. Na vině je blíže nespecifikovaná chyba v práci s jednotlivými URI – stačí, aby byl takovýto identifikátor přespříliš dlouhý. Doporučené řešení spočívá v přechodu na SpamAssassin verze 3.1.8. Původní oznámení v rámci odkazované Secunia přitom vychází z historie jednotlivých vydání SpamAssassinu.
Další informace: Secunia.com

uTorrent

Verze: 1.6
Riziko: vysoké riziko (vysoké)
Populární BitTorrent klient uTorrent je náchylný na zranitelnost, pro kterou v současnosti existuje funkční kód zneužití. Při otevření speciálně upraveného .torrent souboru v této aplikaci dojde k přetečení zásobníku, a tím poskytnutí prostoru ke spuštění útočníkova vlastního kódu. Zranitelnost byla přímo potvrzena pro uTorrent verze 1.6 build 474, doporučené řešení proto spočívá v přechodu na novější variantu.
Další informace: Milw0rm.com

Bezpečnost na Lupě

Ani v uplynulém týdnu samozřejmě nechyběl pravidelný bezpečnostní přehled, a to pod názvem Bezpečnost v uplynulém týdnu: antiviry na mušce. Jan Rylich se ve svém článku Co přinesl Den bezpečnějšího Internetu? zabýval šestým únorovým dnem, který měl podtitul Safer Internet Day 2007. A konečně v sekci Legislativa přibyly dva nové přírůstky pod názvy Karel Kuchařík: žádný zátah na uživatele P2P sítí neprobíhá a Karel Kuchařík: dostaneme se i do uzavřených sítí.

Opravy společnosti Microsoft

V uplynulém týdnu se vydání dočkaly nové záplaty společnosti Microsoft, které tentokráte zahrnuly celkem dvanáct oprav. Z nich rovná polovina získala kritické označení, právě o nich tedy bude řeč. V Security bulletinu MS07–008 se můžete dočíst o zranitelnosti ActiveX v HTML nápovědě, která útočníkovi dovoluje spustit vlastní kód. Podobné důsledky má také chyba v MDAC, kterou popisuje Security bulletin s označením MS07–009. Hned několika bezpečnostních produktů se pak týká MS07–010 a ty jsou náchylné na kontrolu speciálně upravených PDF dokumentů. Obsah Security bulletinu MS07–014 tvoří oprava hned několika chyb v aplikaci Microsoft Word, podobně se kritické chybě Office věnuje také Security bulletin MS07–015. Konečně poslední Security bulletin MS07–016 se týká kritické kumulativní záplaty pro prohlížeč Internet Explorer.

Z nových online článků na téma bezpečnosti za uplynulý týden je možné prolistovat například následujícími:

Securing Vista: Tips on conducting desktop audits (Computerworld­.com)
Pár základních tipů pro zabezpečení systému Windows Vista.

Uživatelé SEZNAM.CZ v ohrožení (Soom.cz)
Popis chyby na českém freemailu, která dovolila přesměrovávat poštu jiných uživatelů.

The Twenty Minute Guide to PC Security: 20 Tips to Secure your Box (Itsecurity.com)
Zabezpečení počítače ve dvaceti minutách.

MIF16

Bezpečnostní software zdarma

Cryptainer LE

Homepage: Cypherix.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice rating 4

Cryptainer LE

Na stránkách softwarového serveru Slunečnice se na konci týdne nově objevila freewarová aplikace Cryptainer LE, která slouží k šifrování dat. Jedná se o volně šiřitelnou variantu pokročilejší placené verze, omezení spočívá v možnosti vytvoření virtuálního šifrovaného disku o maximální velikosti 25 MB. K ochraně dat využívá známého šifrování do souboru, který vlastně představuje virtuální jednotku. Pokud byste požadovali podobné možnosti bez omezení velikosti, vyhrává v této kategorii populární TrueCrypt.

Anketa

Šifrujete pravidelně některé ze svých dokumentů?

Našli jste v článku chybu?
Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD