Hlavní navigace

Bezpečnost ve dvou týdnech: chyby v prohlížečích Firefox a Mozilla

Ondřej Bitto

V uplynulých dvou týdnech se z vod Internetu daly vylovit například informace o zranitelnostech webových prohlížečů Firefox i Mozilla. Chybka se nevyhnula ani oblíbenému komprimačnímu nástroji PowerArchiver či antivirovému programu AVIRA Antivirus.

Jsou věci mezi nebem a zemí, které běžní smrtelníci nedokáží ovlivnit a mohou o nich pouze informovat. Podobně nehmatatelné události způsobily i opožděné vydání tohoto dílu přehledu bezpečnosti, takže výjimečně nepřinášíme „pouze“ dvoutýdenní sumář, nýbrž shrnujeme dění tří týdnů.

Server Secunia publikoval zprávu o vysoce kritické chybě v antivirovém programu AVIRA Antivirus, která spočívá v nekorektním zpracování .ace archívů. Při čtení názvu souboru v podvrženém archívu může dojít k přetečení zásobníku, čímž se útočníkovi otevírá prostor pro spuštění libovolného kódu. Chyba byla potvrzena pro variantu 1.00.00.68 pou­žívající avpack32.dll verze 6.31.0.3. Dopo­ručeným řešením je použití automatické aktualizace produktu pro přechod na novější verzi ( avpack32.dll 6.31.1.7). Další informace jsou k dispozici také na stránkách výrobce.

Na stránkách serveru SecurityFocus byla zveřejněna informace o zranitelnosti Sun Java System Application Server. Pokud by se útočníkovi podařilo využít této chyby, může získat neoprávněný přístup k .jar souborům webových aplikací. Postiženy jsou verze Platform Edition 8.1 2005 Q1 UR1, Platform Edition 8.1 2005 Q1 a Enterprise Edition 8.1 2005 Q1. Detailní popis včetně řešení lze nalézt na domovských stránkách společnosti Sun, přesněji sunsolve.sun.com.

Na stránkách serveru Secunia se objevila informace o zranitelnosti webového prohlížeče Firefox. Chyba byla označena dokonce za extrémně kritickou a jejím zneužitím může útočník získat kontrolu nad cílovým systémem. V ohrožení jsou unix-like systémy (potvrzeno pro FC 4 verze 1.0.6 a Red Hat Enterprise 4), protože do URL lze vložit shellový příkaz. Toho může být zneužito například otevřením odkazu z externí aplikace, kdy Firefox automaticky vykoná daný příkaz. Doporučené řešení spočívá v přechodu na Firefox verze 1.0.7. O dalších zranitelnostech prohlížečů Firefox a Mozilla se můžete dočíst přímo na stránkách Mozilla.org, kde naleznete odkazy na detailní informace. Všechny uváděné chyby spojuje fakt, že jsou opraveny ve Firefoxu verze 1.0.7 a Mozilla Suite 1.7.12.

Problémům se nevyhnul ani oblíbený komprimační nástroj PowerArchiver, jak na svých stránkách informuje opět Secunia. Útočník může podstrčením speciálně upraveného ACE/ARJ archívu, který obsahuje soubor s dlouhým názvem, způsobit přetečení zásobníku a vytvořit tak prostor pro spuštění vlastního kódu. Chyba byla potvrzena pro PowerArchiver 2006 (9.5 Beta 4/5), 2004 (9.25), 2003 (8.60) a 2002 (8.10) s tím, že dřívější verze mohou být také postiženy. Doporučeným řešením je aktualizace na nejnovější verzi, například v případě varianty 2006 je to Beta 7.

Na stránkách serveru SecurityFocus byla publikována informace o chybě v antivirovém systému BitDefender – zneužitím nekorektního ošetření uživatelských parametrů může útočník spustit libovolný kód. Zranitelnost se týká verzí 7.2, 8 a 9 pro Windows, přičemž postiženy mohou být také jiné varianty a platformy. V době psaní článku nebyla dostupná adekvátní oprava.

Používáte-li freeware variantu osobního firewallu ZoneAlarm, pak věnujte pozornost hlášení o chybě na stránkách výrobce Zone Labs. Zneužitím Volání Windows API funkce ShellExecute() lze obejít definovaná komunikační pravidla, a nedůvěryhodná aplikace tak může získat přístup k síti. Tato slabina se skutečně týká pouze volně šiřitelné varianty, ostatní produkty dle zprávy výrobce postiženy nejsou.

Ani na závěr dnešního dílu samozřejmě nesmí chybět stručný přehled některých zajímavých článků, které spatřily internetové světlo světa:

Mozilla's popu­larity stressing its security image (Securityfocus­.com)
Několik fakt i myšlenek o bezpečnosti webového prohlížeče Firefox v podání Roberta Lemose.

New Phish Deceives With Phony Certificates (Techweb.com)
Phishing se stále vyvíjí, v současnosti klame uživatele například prostřednictvím protokolu https  – píše ve svém článku Gregg Keizer.

Skype security and privacy concerns (Securityfocus­.com)
Používáte oblíbený nástroj Skype? A myslíte, že jste v bezpečí? Odpověď se ve svém zamyšlení snaží nastínit Scott Granneman.

Servis 24 České spořitelny má bezpečnostní chybu (Měšec.cz)
Popis nedávné bezpečnostní chyby služby Servis 24 na serveru Měšec.cz.

Anketa

Používáte PowerArchiver jako standardní nástroj pro práci s komprimovanými soubory?

Našli jste v článku chybu?

5. 10. 2005 19:54

cm3l1k1 (neregistrovaný)
Me se hrozne libi jak symantec neopravnene servava chyby ve firefoxu... a posledni dobou den co den je na securityfocusu objevena chyba v produktech symantecu ;o]]]

5. 10. 2005 15:51

J.K. (neregistrovaný)
Asi je autor milovník Microsoftu, tak píše o všem možném, jenom ne o variantách virů, které nezachytí antivirové programy.
Jako příklad uvádím modifikaci Beaglu značenou spíše jako Trojan.Tooso.Q , který odscanují jako nezávadnou přílohu třeba na volny.cz.
Zkuste si tedy pro jistotu na Vašich Windowsech, zda Vám stále funguje edit v příkazovém řádku!

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka