Bezpečnost v uplynulém týdnu: smršť kritických oprav Microsoftu

Dny posledního týdne se nesly ve znamení obsáhlé nadílky záplat společnosti Microsoft, z nichž polovina získala kritický přívlastek. Z nově objevených skulin byly chyby publikovány na účet antiviru ClamAV nebo filtru SpamAssassin, vysoce kritické zranitelnosti se dočkal také populární klient uTorrent. Z bezpečnostních aplikací zdarma bude představeno šifrování pomocí programu Cryptainer LE.

Bezpečnostní aktuality

ClamAV

Verze: starší než 0.90
Riziko: střední riziko (střední)
V antivirovém programu ClamAV byla objevena zranitelnost, jejímž zneužitím by případný útočník mohl zapříčinit DoS náchylného systému. Základem všech trablů přitom je nekorektní zpracování speciálně upravených CAB souborů, při jejichž kontrole může dojít k zablokování kontroly i dalších správných. Chyba byla přímo potvrzena pro ClamAV verze v0.90RC1.1, nicméně měla by postihovat také starší varianty.
Další informace: Idefense.com

SpamAssassin

Verze: 3.x
Riziko: střední riziko (střední)
Jak na svých stránkách uvedl níže odkazovaný bezpečnostní server Secunia, obsahuje také SpamAssassin skulinu, která může způsobit odepření služby. Na vině je blíže nespecifikovaná chyba v práci s jednotlivými URI – stačí, aby byl takovýto identifikátor přespříliš dlouhý. Doporučené řešení spočívá v přechodu na SpamAssassin verze 3.1.8. Původní oznámení v rámci odkazované Secunia přitom vychází z historie jednotlivých vydání SpamAssassinu.
Další informace: Secunia.com

uTorrent

Verze: 1.6
Riziko: vysoké riziko (vysoké)
Populární BitTorrent klient uTorrent je náchylný na zranitelnost, pro kterou v současnosti existuje funkční kód zneužití. Při otevření speciálně upraveného .torrent souboru v této aplikaci dojde k přetečení zásobníku, a tím poskytnutí prostoru ke spuštění útočníkova vlastního kódu. Zranitelnost byla přímo potvrzena pro uTorrent verze 1.6 build 474, doporučené řešení proto spočívá v přechodu na novější variantu.
Další informace: Milw0rm.com

Bezpečnost na Lupě

Ani v uplynulém týdnu samozřejmě nechyběl pravidelný bezpečnostní přehled, a to pod názvem Bezpečnost v uplynulém týdnu: antiviry na mušce. Jan Rylich se ve svém článku Co přinesl Den bezpečnějšího Internetu? zabýval šestým únorovým dnem, který měl podtitul Safer Internet Day 2007. A konečně v sekci Legislativa přibyly dva nové přírůstky pod názvy Karel Kuchařík: žádný zátah na uživatele P2P sítí neprobíhá a Karel Kuchařík: dostaneme se i do uzavřených sítí.

Opravy společnosti Microsoft

V uplynulém týdnu se vydání dočkaly nové záplaty společnosti Microsoft, které tentokráte zahrnuly celkem dvanáct oprav. Z nich rovná polovina získala kritické označení, právě o nich tedy bude řeč. V Security bulletinu MS07–008 se můžete dočíst o zranitelnosti ActiveX v HTML nápovědě, která útočníkovi dovoluje spustit vlastní kód. Podobné důsledky má také chyba v MDAC, kterou popisuje Security bulletin s označením MS07–009. Hned několika bezpečnostních produktů se pak týká MS07–010 a ty jsou náchylné na kontrolu speciálně upravených PDF dokumentů. Obsah Security bulletinu MS07–014 tvoří oprava hned několika chyb v aplikaci Microsoft Word, podobně se kritické chybě Office věnuje také Security bulletin MS07–015. Konečně poslední Security bulletin MS07–016 se týká kritické kumulativní záplaty pro prohlížeč Internet Explorer.

Z nových online článků na téma bezpečnosti za uplynulý týden je možné prolistovat například následujícími:

Securing Vista: Tips on conducting desktop audits (Computerworld­.com)
Pár základních tipů pro zabezpečení systému Windows Vista.

Uživatelé SEZNAM.CZ v ohrožení (Soom.cz)
Popis chyby na českém freemailu, která dovolila přesměrovávat poštu jiných uživatelů.

The Twenty Minute Guide to PC Security: 20 Tips to Secure your Box (Itsecurity.com)
Zabezpečení počítače ve dvaceti minutách.

EBF6

Bezpečnostní software zdarma

Cryptainer LE

Homepage: Cypherix.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice rating 4

Cryptainer LE

Na stránkách softwarového serveru Slunečnice se na konci týdne nově objevila freewarová aplikace Cryptainer LE, která slouží k šifrování dat. Jedná se o volně šiřitelnou variantu pokročilejší placené verze, omezení spočívá v možnosti vytvoření virtuálního šifrovaného disku o maximální velikosti 25 MB. K ochraně dat využívá známého šifrování do souboru, který vlastně představuje virtuální jednotku. Pokud byste požadovali podobné možnosti bez omezení velikosti, vyhrává v této kategorii populární TrueCrypt.

Anketa

Šifrujete pravidelně některé ze svých dokumentů?

3 názory Vstoupit do diskuse
poslední názor přidán 20. 2. 2007 10:41

Školení: Právo vs. online marketing

  •  
    Jak chránit vlastní značku a obsah.
  • Jak využívat cizí díla pro svoje prezentace.
  • Na co si dát pozor při tvorbě reklamy na internetu.

Více o školení Právo vs. online marketing »