Hlavní navigace

Bezpečnost ve dvou týdnech: falešné lístky na fotbal a nové záplaty Microsoftu

16. 5. 2005
Doba čtení: 3 minuty

Sdílet

V uplynulých dvou týdnech řádila další varianta červu Sober, přičemž tentokrát své zákeřné úmysly schovávala za nabídku lístků na fotbalové mistrovství světa v roce 2006. Společnost Microsoft vydala nejen novou záplatu pro operační systém Windows, ale také Service Pack 4 pro SQL Server 2000. To však z novinek samozřejmě není vše...
Společnost Microsoft vydala novou bezpečnostní záplatu, a sice pod označením MS05–024. Jedná se o opravu chyby, která útočníkovi dovoluje vzdálené spuštění kódu, přičemž postižené jsou verze Windows 98, Windows 98SE, Windows ME a Windows 2000 SP3 i SP4. Pro první tři varianty není chyba označena jako kritická, takže opravu si lze stáhnout pouze pro Windows 2000.
Na stránky společnosti Microsoft dále můžete zavítat kvůli stažení balíčku Service Pack 4 pro aplikaci MS SQL Server 2000. Nová aktualizace s sebou přináší například zvýšenou bezpečnost Visual Database Tools (Table Designer, Database Diagrams a Query Designer) či zvýšený výkon na 64bitových systémech s dvaatřiceti a více procesory.

Patříte-li mezi příznivce produktu 602LAN Suite, pak si přečtěte informaci o bezpečnostní chybě, která byla zveřejněna na serveru Secunia. Díky zmiňované skulince může úspěšný útočník zjistit existenci lokálního souboru nebo provést DoS útok. Na stránkách Secunia byl jako ukázka útočníkovy zbraně uveden následující formát odkazu:

http://[host]/ma­il?A=/../../.­./../../../../[fi­le]

Při jeho zpracování dojde k vytvoření velkého množství procesů na straně serveru a následným zasíláním četných požadavků spotřebování veškeré dostupné paměti. Chyba byla potvrzena pro anglickou verzi 2004.0.05.0413 s tím, že náchylné mohou být i jiné varianty produktu. Doporučeným řešením je aktualizace na opravenou verzi 2004.0.05.0509 pros­třednictvím stránek Software602.

Společnost Symantec informovala o chybě v některých svých produktech, přesněji se jedná o možnost zneužití speciálně podvrženého RAR archívu. Kámen úrazu spočívá v často používané komponentě Symantec Antivirus, kdy při skenování podvrženého RAR archívu může dojít k přeskočení kontroly některých v něm obsažených souborů a tím také usnadnění infikování napadeného systému. Symantec již poskytl opravy, přehled můžete nalézt v následující tabulce:

Produkt Zranitelná verze Opravená verze
Web Security 3.0.1.72 3.0.1.74
Mail Security for SMTP 4.0.5.66 4.1.4.30
AntiVirus Scan Engine 4.3.7.27 4.3.8.29
SAV/Filter for Domino NT 3.1.1.87 3.1.2.91
Mail Security for Exchange 4.5.4.743 4.6.1.107
Norton AntiVirus 2005 11.0.0 11.0.9
Norton Internet Security 2005 Obsahuje NAV 11.0.0 Opraveno s NAV 11.0.9
Norton System Works 2005 Obsahuje NAV 11.0.0 Opraveno s NAV 11.0.9

O možné zranitelnosti produktů Firefox 1.0.3 a Mozilla Suite 1.7.7 se lze dočíst v Mozilla Foundation Security Advisory 2005–42. Útočník může spustit libovolný kód na počítači oběti, případně získat cookies nebo další důvěrná data. Pravděpodobně nejsnadnějším řešením obou problémů je instalace aktuálních variant obou produktů, tedy 1.0.4 v případě Firefoxu a 1.7.8 u Mozilla Su­ite.

Bezpečnostním chybám se nevyhýbá ani ASP.NET 1.x, když byly zveřejněny nedostatky dovolující útočníkovi provést DoS útok, případně obejít některá bezpečnostní omezení. Při zpracování atributů „__VIEWSTATE“, používaných ViewState, může na zranitelném serveru dojít k alokaci velkého množství zdrojů zasíláním požadavků se speciální strukturou. K úspěšnému útoku musí být vypnuta kontrola integrity SHA1, která je ovšem po instalaci implicitně zapnutá. Doporučenou ochranou je proto zapnutí kontroly integrity SHA1 a použití dodatečných bezpečnostních opatření při kontrole vstupů. Detailní informace se lze dočíst na stránkách SecurityFocus.

Závěrem zabrousíme do světa počítačových virů a červů, protože se velice rozšířila nová varianta červu Sober nabízející lístky na fotbalové mistrovství Evropy v roce 2006 – bližší informace o jeho průvodních jevech a nebezpečnosti se můžete dočíst například na stránkách společnosti McAfee. Popisovaná hrozba jménem Sober.P může k uživateli dorazit jako příloha e-mailu (používají se zprávy psané buď anglicky, nebo německy) nesoucí některý z následujících náz­vů:

  • account_info.zip
  • autoemail-text.zip
  • LOL.zip
  • Fifa_Info-Text.zip
  • mail_info.zip
  • okTicket-info.zip
  • our_secret.zip
  • _PassWort-Info.zip

Uvnitř každého z těchto archívů se nachází soubor s názvem winzipped-text_data.txt.pif, který, pokud je spuštěn přímo z archívu, může způsobit vypsání falešné hlášky:

1631

BRAND24

Červ se následně automaticky zkopíruje do nově vytvořeného podadresáře Windows a vytvoří tyto položky v registru systému pro svou aktivaci ihned po startu systému:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "_WinStart" = C:WINDOWSConnection WizardStatusservices.exe
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun " WinStart" = C:WINDOWSConnection WizardStatusservices.exe

Další soubory, které Sober.P vytváří, můžete rovněž nalézt například na výše uvedené stránce společnosti McAfee, včetně detailního popisu jeho chování a návodu na úspěšné odstranění.

Používáte produkt společnosti Symantec Norton Internet Security (verze 2004 nebo 2005)?

Byl pro vás článek přínosný?

Autor článku

Autor je zástupcem šéfredaktora časopisu Computer, živě se zajímá o svět Windows, Internetu a nejen síťové bezpečnosti.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).