Hlavní navigace

Bezpečnost v uplynulém týdnu: smršť kritických oprav Microsoftu

 Autor: 29
Ondřej Bitto 20. 2. 2007

Dny posledního týdne se nesly ve znamení obsáhlé nadílky záplat společnosti Microsoft, z nichž polovina získala kritický přívlastek. Z nově objevených skulin byly chyby publikovány na účet antiviru ClamAV nebo filtru SpamAssassin, vysoce kritické zranitelnosti se dočkal také populární klient uTorrent. Z bezpečnostních aplikací zdarma bude představeno šifrování pomocí programu Cryptainer LE.

Bezpečnostní aktuality

ClamAV

Verze: starší než 0.90
Riziko: střední riziko (střední)
V antivirovém programu ClamAV byla objevena zranitelnost, jejímž zneužitím by případný útočník mohl zapříčinit DoS náchylného systému. Základem všech trablů přitom je nekorektní zpracování speciálně upravených CAB souborů, při jejichž kontrole může dojít k zablokování kontroly i dalších správných. Chyba byla přímo potvrzena pro ClamAV verze v0.90RC1.1, nicméně měla by postihovat také starší varianty.
Další informace: Idefense.com

SpamAssassin

Verze: 3.x
Riziko: střední riziko (střední)
Jak na svých stránkách uvedl níže odkazovaný bezpečnostní server Secunia, obsahuje také SpamAssassin skulinu, která může způsobit odepření služby. Na vině je blíže nespecifikovaná chyba v práci s jednotlivými URI – stačí, aby byl takovýto identifikátor přespříliš dlouhý. Doporučené řešení spočívá v přechodu na SpamAssassin verze 3.1.8. Původní oznámení v rámci odkazované Secunia přitom vychází z historie jednotlivých vydání SpamAssassinu.
Další informace: Secunia.com

uTorrent

Verze: 1.6
Riziko: vysoké riziko (vysoké)
Populární BitTorrent klient uTorrent je náchylný na zranitelnost, pro kterou v současnosti existuje funkční kód zneužití. Při otevření speciálně upraveného .torrent souboru v této aplikaci dojde k přetečení zásobníku, a tím poskytnutí prostoru ke spuštění útočníkova vlastního kódu. Zranitelnost byla přímo potvrzena pro uTorrent verze 1.6 build 474, doporučené řešení proto spočívá v přechodu na novější variantu.
Další informace: Milw0rm.com

Bezpečnost na Lupě

Ani v uplynulém týdnu samozřejmě nechyběl pravidelný bezpečnostní přehled, a to pod názvem Bezpečnost v uplynulém týdnu: antiviry na mušce. Jan Rylich se ve svém článku Co přinesl Den bezpečnějšího Internetu? zabýval šestým únorovým dnem, který měl podtitul Safer Internet Day 2007. A konečně v sekci Legislativa přibyly dva nové přírůstky pod názvy Karel Kuchařík: žádný zátah na uživatele P2P sítí neprobíhá a Karel Kuchařík: dostaneme se i do uzavřených sítí.

Opravy společnosti Microsoft

V uplynulém týdnu se vydání dočkaly nové záplaty společnosti Microsoft, které tentokráte zahrnuly celkem dvanáct oprav. Z nich rovná polovina získala kritické označení, právě o nich tedy bude řeč. V Security bulletinu MS07–008 se můžete dočíst o zranitelnosti ActiveX v HTML nápovědě, která útočníkovi dovoluje spustit vlastní kód. Podobné důsledky má také chyba v MDAC, kterou popisuje Security bulletin s označením MS07–009. Hned několika bezpečnostních produktů se pak týká MS07–010 a ty jsou náchylné na kontrolu speciálně upravených PDF dokumentů. Obsah Security bulletinu MS07–014 tvoří oprava hned několika chyb v aplikaci Microsoft Word, podobně se kritické chybě Office věnuje také Security bulletin MS07–015. Konečně poslední Security bulletin MS07–016 se týká kritické kumulativní záplaty pro prohlížeč Internet Explorer.

Z nových online článků na téma bezpečnosti za uplynulý týden je možné prolistovat například následujícími:

Securing Vista: Tips on conducting desktop audits (Computerworld­.com)
Pár základních tipů pro zabezpečení systému Windows Vista.

Uživatelé SEZNAM.CZ v ohrožení (Soom.cz)
Popis chyby na českém freemailu, která dovolila přesměrovávat poštu jiných uživatelů.

The Twenty Minute Guide to PC Security: 20 Tips to Secure your Box (Itsecurity.com)
Zabezpečení počítače ve dvaceti minutách.

Bezpečnostní software zdarma

Cryptainer LE

Homepage: Cypherix.com, ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice rating 4

Cryptainer LE

Na stránkách softwarového serveru Slunečnice se na konci týdne nově objevila freewarová aplikace Cryptainer LE, která slouží k šifrování dat. Jedná se o volně šiřitelnou variantu pokročilejší placené verze, omezení spočívá v možnosti vytvoření virtuálního šifrovaného disku o maximální velikosti 25 MB. K ochraně dat využívá známého šifrování do souboru, který vlastně představuje virtuální jednotku. Pokud byste požadovali podobné možnosti bez omezení velikosti, vyhrává v této kategorii populární TrueCrypt.

Anketa

Šifrujete pravidelně některé ze svých dokumentů?

Našli jste v článku chybu?

20. 2. 2007 10:41

peep (neregistrovaný)
Nevím, proč se o podobných programech vůbec píše. TrueCrypt snad vyhovuje každému, je zadarmo a žádná omezení nemá. Navíc je multiplatformní. Sám ho používám v režimu AES-256 na jednom celém disku, a třebaže je to "plechofka" na 300MHz, tak kódování a dekódování na pozadí funguje spolehlivě.

20. 2. 2007 10:37

peep (neregistrovaný)
Je evidentní, že autor se v problematice moc neorientuje nebo ji pravidelně nesleduje. Např. první o chybě v utorrentu referoval server Secunia a záplata byla v podobě beta verze k dispozici za 4 hodiny. To se nedá říci o díře v Microsoft Wordu, která je stále otevřena pro Zero-day útok.

Proto nebezpečnost díry v utorrentu není natolik závažná.

ps: na zadaném zdroji pro více informací není o utorrentu ani zmínka



Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět