Bezpečnost v uplynulém týdnu: chyba Firefoxu a sada záplat Microsoftu

Dny uplynulého týdne přinesly méně kritickou chybu prohlížeče Firefox, k níž byl vydán také odpovídající proof-of-concept kód. Událostí se samozřejmě stala každoměsíční nadílka oficiálních záplat produktů společnosti Microsoft, tentokráte čítající celkem pět Security Bulletinů. V sekci bezpečnostního softwaru zdarma se věnujeme správci procesů Process Explorer od Sysinternals.

Bezpečnostní aktuality

Mozilla Firefox

Verze: 1.5.0.1 a starší
Riziko: nizke riziko (nízké)
Ve webovém prohlížeči Firefox byla objevena méně závažná zranitelnost, jejíž zneužití může vést k DoS. Jako proof-of-concept je na níže odkazovaných původních stránkách uveden zdrojový kód, jehož načtením dojde ke zmiňovanému „zatuhnutí“ prohlížeče. Přímo online si danou zranitelnost můžete vyzkoušet otevřením této stránky. Chyba byla potvrzena u verze 1.5.0.1, nicméně náchylné jsou také dřívější varianty aplikace Firefox. Adekvátní oprava byla vydána jako součást nové verze 1.5.0.2.
Další informace: Morpheus.org

Pravidelná nadílka záplat společnost Microsoft

Uplynulý týden světa nových zranitelností a oprav se nesl zejména ve znamení pravidelné každoměsíční sady záplat společnosti Microsoft. Jednotlivé Security Bulletiny tentokráte pokryly celkem pět rozličných záplat, potenciální nebezpečí přitom bylo opraveno v aplikacích Internet Explorer, Windows, Outlook Express či FrontPage.

První z aktuálně publikovaných nese pořadové označení MS06–013 a jeho podtitulek se nese v duchu kumulativní opravy pro webový prohlížeč Internet Explorer. Přesněji se jedná o celou desítku souvisejících menších záplat, a to s atributem „kritické“. Na níže odkazovaných domovských stránkách zmiňovaného Security Bulletinu můžete nalézt podrobné informace o jednotlivých chybách, které jsou napravovány.

Další Security Bulletin, jenž nese označení MS06–014, odkazuje a řeší chybu v MDAC, která může vést ke vzdálenému spuštění útočníkova kódu. Coby prostředník je při odpovídajícím typu útoku použit speciálně upravený ActiveX prvek. Security Bulletin MS06–015 si bere na mušku odstranění zranitelnosti Průzkumníka systému Windows, jejíž zneužití opět může vést až ke vzdálenému spuštění kódu.

Pokud byste se chtěli dozvědět podrobné informace o kumulativní záplatě poštovního klienta Outlook Express, zalistujte Security Bulletinem MS06–016. Chybné zpracování speciálně upraveného souboru WAB v tomto případě dokáže opět zapříčinit spuštění libovolného kódu. Konečně poslední ze série nově publikovaných, Security Bulletin MS06–017, popisuje a řeší zranitelnost FrontPage Server Extensions, přičemž se jedná o doporučenou opravu.

Z nově vydaných online článků zahraničních serverů byste tentokráte neměli minout například následující:

Peer-to-Peer (P2P) Network Security (Netsecurity.a­bout.com)
Několik stručných rad na téma bezpečnějšího sdílení dat skrze P2P sítě.

Microsoft tool aims to stymie typosquatters (Securityfocus­.com)
Nový nástroj společnosti Microsoft bojuje proti „zlodějům“ chybně zadaných webových adres.

Cross-platform virus poses little risk (Theregister.co­.uk)
Krátký komentář k multiplatformnímu viru (jen proof-of-concept) Linux-Bi-A/Win-Bi-A.

UX16

Bezpečnostní software zdarma

Process Explorer

Homepage: Sysinternals.com
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

Process Explorer

Aplikace Process Explorer představuje jednu z řady utilit Marka Russinoviche, a jak již její samotný název napovídá, jedná se o pokročilejšího správce procesů. Oproti svému kolegovi ze systému Windows nabízí podrobnější informace o vlastnostech a vazbách mezi jednotlivými procesy, podporuje přímé vyhledání odpovídajícího názvu v Googlu a řadu dalších užitečných funkcí – kompletní přehled můžete nalézt na výše odkazovaných domovských stránkách projektu.

Anketa

Používáte pro správu a monitorování procesů ještě jiný nástroj, než kterým je standardní Správce úloh systému Windows?

5 názorů Vstoupit do diskuse
poslední názor přidán 19. 4. 2006 15:10
Zasílat nově přidané názory e-mailem

Školení Google Analytics

  •  
    Jak vyhodnocovat úspěšnost reklamních kampaní.
  • Jak ovládat Google Analytics a najít co potřebuji.
  • Jak měřit hodnotu objednávek z webu.

Detailní informace o školení Google Analytics »