Hlavní navigace

Bezpečnost ve dvou týdnech: falešné lístky na fotbal a nové záplaty Microsoftu

Ondřej Bitto 16. 5. 2005

V uplynulých dvou týdnech řádila další varianta červu Sober, přičemž tentokrát své zákeřné úmysly schovávala za nabídku lístků na fotbalové mistrovství světa v roce 2006. Společnost Microsoft vydala nejen novou záplatu pro operační systém Windows, ale také Service Pack 4 pro SQL Server 2000. To však z novinek samozřejmě není vše...

Společnost Microsoft vydala novou bezpečnostní záplatu, a sice pod označením MS05–024. Jedná se o opravu chyby, která útočníkovi dovoluje vzdálené spuštění kódu, přičemž postižené jsou verze Windows 98, Windows 98SE, Windows ME a Windows 2000 SP3 i SP4. Pro první tři varianty není chyba označena jako kritická, takže opravu si lze stáhnout pouze pro Windows 2000.
Na stránky společnosti Microsoft dále můžete zavítat kvůli stažení balíčku Service Pack 4 pro aplikaci MS SQL Server 2000. Nová aktualizace s sebou přináší například zvýšenou bezpečnost Visual Database Tools (Table Designer, Database Diagrams a Query Designer) či zvýšený výkon na 64bitových systémech s dvaatřiceti a více procesory.

Patříte-li mezi příznivce produktu 602LAN Suite, pak si přečtěte informaci o bezpečnostní chybě, která byla zveřejněna na serveru Secunia. Díky zmiňované skulince může úspěšný útočník zjistit existenci lokálního souboru nebo provést DoS útok. Na stránkách Secunia byl jako ukázka útočníkovy zbraně uveden následující formát odkazu:

http://[host]/ma­il?A=/../../.­./../../../../[fi­le]

Při jeho zpracování dojde k vytvoření velkého množství procesů na straně serveru a následným zasíláním četných požadavků spotřebování veškeré dostupné paměti. Chyba byla potvrzena pro anglickou verzi 2004.0.05.0413 s tím, že náchylné mohou být i jiné varianty produktu. Doporučeným řešením je aktualizace na opravenou verzi 2004.0.05.0509 pros­třednictvím stránek Software602.

Společnost Symantec informovala o chybě v některých svých produktech, přesněji se jedná o možnost zneužití speciálně podvrženého RAR archívu. Kámen úrazu spočívá v často používané komponentě Symantec Antivirus, kdy při skenování podvrženého RAR archívu může dojít k přeskočení kontroly některých v něm obsažených souborů a tím také usnadnění infikování napadeného systému. Symantec již poskytl opravy, přehled můžete nalézt v následující tabulce:

Produkt Zranitelná verze Opravená verze
Web Security 3.0.1.72 3.0.1.74
Mail Security for SMTP 4.0.5.66 4.1.4.30
AntiVirus Scan Engine 4.3.7.27 4.3.8.29
SAV/Filter for Domino NT 3.1.1.87 3.1.2.91
Mail Security for Exchange 4.5.4.743 4.6.1.107
Norton AntiVirus 2005 11.0.0 11.0.9
Norton Internet Security 2005 Obsahuje NAV 11.0.0 Opraveno s NAV 11.0.9
Norton System Works 2005 Obsahuje NAV 11.0.0 Opraveno s NAV 11.0.9

O možné zranitelnosti produktů Firefox 1.0.3 a Mozilla Suite 1.7.7 se lze dočíst v Mozilla Foundation Security Advisory 2005–42. Útočník může spustit libovolný kód na počítači oběti, případně získat cookies nebo další důvěrná data. Pravděpodobně nejsnadnějším řešením obou problémů je instalace aktuálních variant obou produktů, tedy 1.0.4 v případě Firefoxu a 1.7.8 u Mozilla Su­ite.

Bezpečnostním chybám se nevyhýbá ani ASP.NET 1.x, když byly zveřejněny nedostatky dovolující útočníkovi provést DoS útok, případně obejít některá bezpečnostní omezení. Při zpracování atributů „__VIEWSTATE“, používaných ViewState, může na zranitelném serveru dojít k alokaci velkého množství zdrojů zasíláním požadavků se speciální strukturou. K úspěšnému útoku musí být vypnuta kontrola integrity SHA1, která je ovšem po instalaci implicitně zapnutá. Doporučenou ochranou je proto zapnutí kontroly integrity SHA1 a použití dodatečných bezpečnostních opatření při kontrole vstupů. Detailní informace se lze dočíst na stránkách SecurityFocus.

Závěrem zabrousíme do světa počítačových virů a červů, protože se velice rozšířila nová varianta červu Sober nabízející lístky na fotbalové mistrovství Evropy v roce 2006 – bližší informace o jeho průvodních jevech a nebezpečnosti se můžete dočíst například na stránkách společnosti McAfee. Popisovaná hrozba jménem Sober.P může k uživateli dorazit jako příloha e-mailu (používají se zprávy psané buď anglicky, nebo německy) nesoucí některý z následujících náz­vů:

  • account_info.zip
  • autoemail-text.zip
  • LOL.zip
  • Fifa_Info-Text.zip
  • mail_info.zip
  • okTicket-info.zip
  • our_secret.zip
  • _PassWort-Info.zip

Uvnitř každého z těchto archívů se nachází soubor s názvem winzipped-text_data.txt.pif, který, pokud je spuštěn přímo z archívu, může způsobit vypsání falešné hlášky:

1631

Červ se následně automaticky zkopíruje do nově vytvořeného podadresáře Windows a vytvoří tyto položky v registru systému pro svou aktivaci ihned po startu systému:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "_WinStart" = C:WINDOWSConnection WizardStatusservices.exe
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun " WinStart" = C:WINDOWSConnection WizardStatusservices.exe

Další soubory, které Sober.P vytváří, můžete rovněž nalézt například na výše uvedené stránce společnosti McAfee, včetně detailního popisu jeho chování a návodu na úspěšné odstranění.

Anketa

Používáte produkt společnosti Symantec Norton Internet Security (verze 2004 nebo 2005)?

Našli jste v článku chybu?
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Proč Stream netočí jen Kancelář Blaník?

Proč Stream netočí jen Kancelář Blaník?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček