Hlavní navigace

Bezpečnost ve dvou týdnech: pokořený IM a nové záplaty Microsoftu

Ondřej Bitto 17. 8. 2005

V uplynulých dvou týdnech společnost Microsoft uvolnila další z pravidelných nadílek záplat svých produktů, zajímavé jsou ale i nově objevené zranitelnosti v klientech pro instant messaging Trillian a Gaim. Dále upozorňujeme na nové podvodné e-maily a přikládáme výběr z čerstvých článků týkajících se bezpečnosti světa IT.

Server Secunia publikoval informaci o možnosti odhalení citlivých informací prostřednictvím klienta instant messagingu (IM) Trillian; celá zranitelnost je hodnocena jako méně kritická. Problém spočívá v tom, že uživatelovy údaje o e-mailovém účtu serveru Yahoo jsou uloženy ve snadno dostupném HTML souboru, který lze nalézt ve složce users\default\cache, umístěné v instalačním adresáři programu. Závada byla potvrzena pro verze Trillian Basic 3.1 (Build 121) i 3.0 a 3.1 (Basic/Pro). Ostatní varianty produktu mohou být rovněž postiženy, doporučeným řešením je ve všech případech omezení přístupu k dané oblasti.

Server SecurityFocus na svých stránkách informuje o zranitelnosti v zálohovacím softwaru Norton GoBack. Chyba se týká verze 4.0 a dovoluje útočníkovi obejít autentizační proces tak, že program akceptuje nesprávné heslo. Po jejím zneužití může útočník neoprávněně provádět změny v nastavení aplikace. Společnost Symantec na tomto problému údajně v současné době pracuje a snaží se jej odstranit.

Společnost Microsoft své uživatele také v srpnu potěšila pravidelnou dávkou záplat, jejichž kompletní přehled včetně relevantních odkazů naleznete v následující tabulce:

Záplata Popis Stupeň
MS05–038 Internet Explorer (kumulativní oprava) kritická
MS05–039 Plug&Play (spuštění kódu) kritická
MS05–040 TAPI (spuštění kódu) důležitá
MS05–041 RDP (DoS) důležitá
MS05–042 kerberos (DoS) důležitá
MS05–043 Print Spooler (spuštění kódu) kritická

Na serveru Secunia se objevila informace o dvou zranitelnostech IM klienta Gaim. První z nich může při zobrazení něčí „away“ informace způsobit přetečení zásobníku, přičemž chyba je způsobena špatným zpracováním velkého množství proměnných (%t, %n apod.) v těle této zprávy. Kvůli druhé chybě může útočník způsobit pád aplikace – stačí k tomu, aby oběti poslal soubor obsahující znaky ve špatném kódování. Doporučené řešení spočívá v přechodu na nejnovější verzi 1.5.0, v níž jsou obě chyby opraveny.

Prostřednictvím hromadných e-mailů se začala šířit další zpráva slibující příjemci lehké nabytí peněz. Přesněji řečeno je příjemci oznámena výhra v loterii dosahující závratných sum a nechybí ani odpovídající číslo tiketu, spolu s taženými čísly. Není snad ani zapotřebí příliš zdůrazňovat, že tyto e-maily spadají do kategorie podvodných. Podvodné e-maily mají aktuálně tři podoby (první, druhá, třetí).

Na závěr tohoto dílu přehledu bezpečnosti v uplynulých dvou týdnech samozřejmě jako vždy přidáváme i stručný přehled tipů na další zajímavé články, které se zabývají bezpečností na Internetu:

Secure Communication in Space (Infosecwriter­s.com)
Ve studii Alaina Brainose se dozvíte, kterak probíhá zabezpečená komunikace Země-vesmír v obou směrech.

Wireless Data Transmission Security (Flexbeta.net)
Tento poměrně rozsáhlý článek se zabývá bezpečností bezdrátových sítí. Autor Anthony Waters jeho řádky hojně protkal odkazy na další internetové zdroje.

Bluetooth: Is it a Security Threat? (Windowsecuri­ty.com)
Debra Shinderová v rozhovoru zodpovídá základní otázky týkající se bezpečnosti přenosu dat prostřednictvím Bluetooth.

Day of the Digital Undead (Scmagazine.com)
Článek Davida Stanleyho se zabývá vznikem i dopadem takzvaných zombie počítačů a jejich sítí.

Anketa

Využíváte pro IM služeb některého z klientů Trillian či Gaim?

Našli jste v článku chybu?
Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony