Hlavní navigace

Bezpečnost v uplynulém týdnu: zranitelnosti antiviru, Javy a Firefoxu

 Autor: 29
Ondřej Bitto

Během dnů posledního týdne se zveřejnění zranitelnosti dočkala například aplikace Eset NOD32 Antivirus, stejně tak ale část vývojového prostředí Java. Přes chybu v serveru FTP a sumář bezpečnostních článků pak závěr obstará antispywarová aplikace HijackThis.

Bezpečnostní aktuality

Eset NOD32 Antivirus

Verze: starší než 1.1743
Riziko: vysoké riziko (vysoké)
V populárním antivirovém systému Eset NOD32 byla objevena vysoce kritická zranitelnost, v důsledku které úspěšný útočník může dosáhnout až spuštění vlastního kódu v rámci náchylného systému. Na vině je přetečení zásobníku během zpracování speciálně upravených souborů typu CAB a podle původního oznámení postihuje všechny verze starší než 1.1743 – doporučené řešení tedy spočívá v přechodu na novější verzi.
Další informace: Lists.grok.org.uk

Sun Java

Verze: viz původní ohlášení
Riziko: střední riziko (střední)
Potenciální přetečení zásobníku hrozí také v případě běhového prostředí Sun Java Runtime Environment, zneužitím odpovídající chyby by útočník mohl vybranému appletu přidělit vyšší oprávnění. Jako příklad společnost Sun na svých stránkách uvádí možnost původně nepovoleného čtení a zápisu souborů, případně také spuštění dalších aplikací. Seznam postižených verzí i odkazy na opravené varianty naleznete na níže odkazované stránce s původním ohlášením.
Další informace: Sun.com

WinFtp Server

Verze: 2.x
Riziko: střední riziko (střední)
Podle původního, níže odkazovaného oznámení serveru Secunia, je aplikace WinFtp Server nově náchylná na zranitelnost, která může vyústit až v DoS, tedy odepření služby úmyslným přetížením. Kámen úrazu spočívá v nekorektním zpracování některých dat přijatých ze strany vzdáleného klienta, jmenovitě přespříliš dlouhých požadavků (více než 500 bajtů). Chyba byla přímo potvrzena pro WinFtp Server verze 2.0.2, nicméně postiženy mohou být také jiné varianty zmiňované aplikace. Prozatímní doporučené řešení spočívá v omezení přístupu k dané FTP službě pouze důvěryhodným klientům.
Další informace: Secunia.com

Mozilla Firefox

Verze: 1.5.0.9, 2.x před 2.0.0.1
Riziko: vysoké riziko (vysoké)
Oblíbený webový prohlížeč Firefox je náchylný na zranitelnost během zpracování JavaScriptové funkce watch(), které lze zneužít pro získání vyšších uživatelských práv a následné spuštění vlastního kódu. Podle stránek serveru Mozilla.org jsou kromě prohlížeče Firefox postiženy také klient Thunderbird (verze před 1.5.0.9) a SeaMonkey (verze před 1.0.7). Doporučené řešení spočívá v přechodu na novější verze, případně vypnutí zpracování JavaScriptu v Thunderbirdu a SeaMonkey.
Další informace: Mozilla.org

Bezpečnost na Lupě

Pokud byste chtěli zalistovat bezpečnostním sumářem z minulého týdne, můžete tak učinit na řádcích článku Bezpečnost v uplynulém týdnu: Microsoft naděloval pod stromeček. Naopak s výhledem do budoucna se můžete vydat po stopách bezpečnosti v nadcházejícím roce, k čemuž vám poslouží rozsáhlejší příspěvek Čeho se budeme bát v roce 2007?. Ze zpráviček se světa bezpečnosti dotkly například Bezpečnější SeaMonkey 1.0.7 a Flock 0.7.9.1, Vyšel Service Pack 1 pro Visual Studio 2005 nebo Warezov znovu na scéně s další vlnou.

Z online článků, které si své místo našly na stránkách zahraničních serverů během uplynulého týdne, můžete zalistovat například následujícími:

Top tips on destroying data on your hard drives (Computerworld­.com)
Jak se bezpečně zbavit vlastních dat.

Who should manage the firewall? (Techtarget.com)
Komu svěřit správu firewallu?

Lost laptops, zero-day vulns and RFID chips (Theregister.co­.uk)
Shrnutí bezpečnosti v roce 2006.

Bezpečnostní software zdarma

HijackThis

Homepage: Spywareinfo.com, ke stažení na Slunečnici
Lupa hodnotí: 1757
Slunečnice hodnotí: slunecnice 5

HijackThis

Aplikace HijackThis patří mezi nejpopulárnější nástroje pro boj se spywarem, především pak takzvanými browser hijackery, tedy prográmky a komponentami, které mění výchozí nastavení webového prohlížeče. HijackThis projde aktuální konfiguraci prohlížeče Internet Explorer a vypíše odpovídající položky – přitom ne všechny představují nebezpečí, takže by se uživatel při odstraňování potenciálních rizik měl mít na pozoru.

Anketa

Museli jste v roce 2006 řešit nějaký větší bezpečnostní incident?

Našli jste v článku chybu?

1. 1. 2007 19:26

Diky vsem za upozorneni, chyba je konecne opravena (svatky...).

31. 12. 2006 10:06

a3but (neregistrovaný)
zranitelnost v Mozilla Firefox 2.x před 2.0.0.1, 1.5.x před 1.5.0.9, Thundebird před 1.5.0.9, a SeaMonkey před 1.0.7
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru