Bezpečnost ve dvou týdnech: podvržení dialogových oken webových prohlížečů

Server Secunia informuje o možnosti podvržení dialogových oken v řadě internetových prohlížečů (Internet Explorer, Opera, Safari, iCab, Mozilla / Firefox / Camino). Zneužitím popisované zranitelnosti může dojít k podvržení dialogových oken na důvěryhodných stránkách, a tím například usnadnění phishing útoku. Na stránkách s oznámením naleznete také jednoduchý test, který prověří váš webový prohlížeč. Jak může celé zneužití v praxi vypadat? Secunia podává následující scénář:

1. Uživatel navštíví podvrženou stránku.
2. Uživatel následuje odkaz na důvěryhodnou stránku.
3. Podvržená stránka po chvíli zobrazí dialogové okno v popředí důvěryhodné stránky, uživatel se tak bude domnívat, že skutečně pochází z této důvěryhodné stránky, a bez tušení zrady zadá požadované informace.

Na stránkách serveru Secunia se v polovině června dále objevila informace upozorňující na vysoce kritické chyby v produktech Java Web Start a Java Runtime Environment od společnosti Sun Microsystems, kvůli které může dojít ke kompromitaci uživatelova systému. Zranitelné jsou J2SE varianty 5.0 i 5.0 Update 1 a 1.4.2_07 spolu s verzemi staršími než 1.4.2 (systémy Windows, Solaris i Linux). Původní detailní oznámení lze nalézt také přímo na stránkách Sun Microsystems (1 2). Doporučené řešení spočívá v aktualizaci na J2SE verze 5.0 Update 2, respektive 1.4.2_08 či vyšší.

Ze stránek společnosti RealNetworks si můžete stáhnout nové aktualizace pro produkty Real Player, RealOne Player a Rhapsody různých verzí, které opravují hned několik problémů. Updaty řeší trable s možností přepsání lokálního souboru nebo spuštění ActiveX prvku, dále zranitelností vedoucí k přetečení zásobníku na napadaném stroji a nechybí ani oprava chyby s implicitním nastavením prohlížeče Internet Explorer.

Společnost Adobe na svých stránkách zveřejnila aktualizované informace o zranitelnosti produktů Adobe Reader a Acrobat verze 7.0 – 7.0.1, jež je způsobena použitím XML a může zapříčinit odhalení existence lokálního souboru včetně jeho obsahu. Na stránkách serveru SecurityFocus lze jako ukázku nalézt následující kód:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "c:/boot.ini">
]>
<foo>&xxe;</foo>


Ten zajistí vypsání obsahu souboru c:boot.ini na uživatelově pevném disku, samozřejmě v případě jeho existence. Detailní informace lze nalézt například na stránkách Securiteam. Doporučeným řešením je aktualizace na produkty Adobe Reader a Acrobat verze 7.0.2.

Závěr dnešního dílu shrnujícího bezpečnost v uplynulých dvou týdnech vyplní inovace, a sice stručný výběr některých relevantních článků či studií, které se během půlky měsíce objevily ve vodách Internetu:

Hiring Hackers As Security Consultants (WindowsSecuri­ty.com)
Každá mince má dvě strany, proto také tento článek hledá jak klady, tak zápory najímání hackerů na pozice bezpečnostních konzultantů.

Crypto-Gram Newsletter (Schneier.com)
V polovině června vyšel další z řady sumářů podoby newsletteru světa bezpečnosti v podání Bruce Schneiera.

Analyzing Browser Based Vulnerability Exploitation Incidents
David Ross ve své práci shrnuje možnosti útoků vedených prostřednictvím bezpečnostních chyb prohlížeče Internet Explorer.

7 Security Mistakes Companies Make (Computerworld­.com)
Shrnutí sedmi nejčastějších chyb, kterých se firmy dopouštějí, podle autora Petera Gregoryho.

Global Security Survey 2005[PDF, 1,5 MB] (Deloitte.com)
Společnost Deloitte zveřejnila novou verzi své každoroční zprávy Global Security Survey, jež shrnuje fakta týkající se počítačové bezpečnosti, získaná během řady průzkumů.

What Is Spyware? The Industry Can't Agree (CRN.com)
Co je a co není spyware? Tuto otázku se snaží osvětlit článek zveřejněný na serveru CRN.