Hlavní navigace

Bezpečnost v uplynulém týdnu: chyby archivátorů a poštovního klienta The Bat

Autor: 29
Ondřej Bitto

Poslední týden ve světě bezpečnosti nadělil poměrně dost chybek v archivačních programech WinACE, StuffIt a ZipMagic. Další zranitelnosti byly publikovány pro přehrávač Macromedia Shockwave Player a poštovního klienta The Bat. V sekci bezpečnostního softwaru zdarma tentokráte představíme povedenou aplikaci GeSWall.

Bezpečnostní aktuality

WinACE

Verze: 2.6 a starší
Riziko: nizke riziko (nízké)
V aplikaci WinACE byla objevena nepříliš kritická zranitelnost, jejímž zneužitím útočník může kompromitovat systém své oběti. Základem této chyby je nekorektní ošetření vstupu při rozbalování komprimovaných archívů RAR a TAR. Přesněji lze ve WinACE obsah archívu rozbalit do jiné složky například použitím obligátních zkratek „../“ v cílové cestě. Ačkoliv tato zranitelnost byla přímo potvrzena ve WinACE verze 2.6, postiženy jsou také starší varianty tohoto produktu. Doporučené řešení spočívá v nerozbalování nedůvěryhodných archívů RAR a TAR.
Ve WinACE pak byla objevena ještě další zranitelnost, která však postihuje archívy ARJ. Jedná se o přetečení zásobníku způsobené vkládáním neadekvátně dlouhé hlavičky podvrženého souboru do alokované paměti konstantní délky. Výrobce přislíbil zahrnutí odpovídající opravy do nové verze WinACE 2.61.
Další informace: Hamid.ir

StuffIt / ZipMagic

Verze: viz původní oznámení
Riziko: nizke riziko (nízké)
Prakticky stejnou chybu jako ve WinACE tentýž autor objevil také v komprimačních utilitách StuffIt a ZipMagic. Při rozbalování archívů TAR a ZIP útočník opět může zasáhnout do jiné složky, a zde například přepsat původní soubor nebo vytvořit nový. Nutnou podmínkou samozřejmě je, že se útočníkovi podaří podstrčit takto speciálně upravený archív, který vyhlédnutá oběť (s dostatečnými uživatelskými právy) rozbalí. Doporučené řešení opět spočívá v nerozbalování nedůvěryhodných archívů TAR a ZIP.
Další informace: Hamid.ir

Macromedia Shockwave Player

Verze: 10.1.0.11 a starší
Riziko: vysoké riziko (vysoké)
Přehrávač Macromedia Shockwawe Player dokáže během své instalace způsobit přetečení zásobníku, a potenciálnímu útočníkovi tak vyšlapat cestičku pro spuštění libovolného kódu. Podle oznámení výrobce se chyba týká skutečně pouze instalátoru, na druhou stranu však nevyžaduje přílišnou spolupráci od uživatele – stačí, aby oběť například navštívila webovou stránku, ze které po výzvě Shockwave Player nainstaluje. Společnost Adobe již měla danou chybu v aktuálním ActiveX instalátoru opravit.
Další informace: Macromedia.com, Zerodayinitia­tive.com

The Bat!

Verze: 3.60.07
Riziko: vysoké riziko (vysoké)
V poštovním klientovi The Bat byla objevena vysoce kritická zranitelnost, která na počítači oběti může způsobit přetečení zásobníku. Problém spočívá v nekorektním zpracování e-mailů s přespříliš dlouhým předmětem. Chyba byla potvrzena pro The Bat! verze 3.60.07 a doporučeným řešením je přechod na variantu 3.71.03.
Další informace: Secunia.com

Za uplynulý týden si pozornost zaslouží například následující zahraniční online články:

Is your cell phone due for an antivirus shot? (Zdnet.com)
Měli bychom své mobilní telefony již začít vybavovat antivirovými programy?

Spammers adopt stealth tactics (Theregister.co­.uk)
Jak se skrývají spammeři?

Bezpečnostní software zdarma

GeSWall Freeware

Homepage: Gentlesecurity­.com
Lupa hodnotí: 1757
Slunečnice hodnotí: slunecnice 5

GeSWall

S pomocí této zajímavé utility od společnosti GentleSecurity uživatel získá plnou kontrolu nad chováním libovolné aplikace. U každého programu totiž lze nastavit, k jakým souborům, položkám registru nebo zařízení může přistupovat. Pokud GeSWall zjistí, že doposud neznámá aplikace přistupuje k některým systémovým souborům, zobrazí varovné okno a čeká na uživatelovu reakci (podobně jako je tomu u řady osobních firewallů). Na výběr GeSWall dává ze čtyř předdefinovaných bezpečnostních úrovní, do počátečního seznamu citlivých zdrojů lze samozřejmě libovolně zasahovat.

Anketa

Pracujete ve svém systému běžně pod administrátorským účtem?

Našli jste v článku chybu?