Hlavní navigace

Bezpečnost v uplynulém týdnu: na pranýři je software i hardware

 Autor: 29
Ondřej Bitto

První týden letošního roku byl co do nově publikovaných zranitelností o něco skoupější, přesto se však odhalení dočkala například skulina v přehrávači RealPlayer, potažmo MyPHP Forum. Zranitelný byl také hardware, přesněji řečeno firmware routeru Zyxel. Nakonec se podíváme na správu procesů s Quick Startup.

Bezpečnostní aktuality

RealPlayer

Verze: 11.x
Riziko: vysoké riziko (vysoké)
V přehrávači Real byla objevena nová zranitelnost, v důsledku níž může útočník způsobit spuštění svého vlastního kódu. Na vině je přitom blíže nespecifikovaná chyba, jež vede k přetečení zásobníku – zranitelnost byla podle původního, níže odkazovaného ohlášení na serveru Secunia.com potvrzena pro verzi 11 (build 6.0.14.748), ostatní vydání mohou být také náchylná. Doporučené řešení až do vydání odpovídající opravy spočívá v obligátním neotevírání nedůvěryhodných souborů.
Další informace: Secunia.com

ZyXEL

Verze: P-330W
Riziko: nizke riziko (nízké)
Na účet bezdrátového routeru ZyXEL P-330W, tedy jeho výchozího firmwaru, byly publikovány informace o chybě, která zapříčiňuje XSS a XSRF útoky. Základním kamenem úrazu se stává nekorektní funkce webového rozhraní, kdy je možné podstrčením speciálně upraveného kódu získat vyšší přístupová oprávnění, a to i v rámci administrátorského účtu. Ukázku kódu pro zneužití najdete na odkazované stránce, kde jsou údaje o této (již předvánoční, nicméně teprve nedávno diskutované) skulině k dispozici.
Další informace: Grok.org.uk

MyPHP Forum

Verze: 3.x
Riziko: střední riziko (střední)
V MyPHP Forum byly objeveny nové zranitelnosti, které mohou útočníkovi poskytnout prostor pro útoky typu SQL injectoin. Skuliny jsou způsobeny různými chybami v souborech faq.php, member.php a search.php, souhrnně se jedná o nedostatečné ošetření předávaných parametrů. Aby však útočník mohl vlastní SQL kód vložit, musí být vypnuta možnost magic_quotes_gpc. Zranitelnost byla potvrzena pro verzi 3.0, není ale vyloučeno, že mohou být postižena také jiná vydání. Prozatímní doporučené řešení spočívá v ruční úpravě zdrojového kódu.
Další informace: Secunia.com

Bezpečnost na Lupě

Minulý týden jste si na Lupě na téma bezpečnosti mohli přečíst například článek o potenciálním nebezpečí Googlu, a to díky glose Davida Antoše s názvem Tvůj velký bratr Google. Samozřejmě nechybělo ani předchozí pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: problémy přehrávačů a pakovačů. Důležitým byl však také pokus o podvod, jenž si bral na mušku klienty České spořitelny – podrobnosti se můžete dočíst v krátké zprávičce pojmenované Klienti České spořitelny opět terčem útoku.

Nesmíme opomenout ani pravidelný průlet některými online příspěvky zahraničních serverů, které se věnovaly právě světu bezpečnosti, vybíráme proto následující trojici:

Microsoft apologizes to Corel, users for Office 2003 SP3 muck-up (Computerworld­.com)
Softwarový gigant Microsoft se dodatečně omluvil Corelu za chybné nařčení a prohlášení o nebezpečí jeho formátu.

Firefox spoofing bug raises phishing fears (Theregister.co­.uk)
Nedostatek v autentizaci v podání Firefoxu může být začátkem bezpečnostních trablů.

MS preps critical Vista patch for Tuesday (Theregister.co­.uk)
Předpověď dalších z pravidelných oprav společnosti Microsoft.

Bezpečnostní software zdarma

Quick Startup

Homepage: Glarysoft.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice 3

quick startup

Programů, s jejichž pomocí si můžete zobrazit seznam automaticky spouštěných procesů, existuje celá řada. Liší se jak možnostmi, tak tím, které doplňující funkce nabízejí. Jedněmi z těch povedenějších, stále ale ne zcela špičkových, je také Quick Startup, který můžete získat zcela zdarma. U každého z nalezených automaticky spouštěných procesů můžete prozkoumat všechny detaily, jakými jsou například úplná cesta, hodnocení nebezpečnostního rizika apod. Nechybí ani nejdůležitější funkce, tedy vypnutí daného programu, jeho úplné odstranění nebo naopak přidání nové aplikace.

Anketa

Aktualizujete firmware zařízení, když je k dispozici nová verze?

Našli jste v článku chybu?
Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

DigiZone.cz: Placené VoD a obsah zdarma

Placené VoD a obsah zdarma

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?