Hlavní navigace

Bezpečnost v uplynulém týdnu: chyby PowerArchiveru a Firefoxu

 Autor: 29
Ondřej Bitto 2. 8. 2006

V posledním týdnu byla vydána souhrnná aktualizace webového prohlížeče Mozilla Firefox, která opravovala více než desítku bezpečnostních mezer. Zneužití formou spuštění vlastního kódu neunikl PowerArchiver, podobně je na tom také MyBB. Symantec Brightmail AntiSpam se nedokáže bránit DoS útoku, část bezpečnostního softwaru zdarma popisuje aplikaci Free Internet Eraser.

Bezpečnostní aktuality

MyBB

Verze: 1.1.6 a starší
Riziko: střední riziko (střední)
V oblíbené webové aplikaci MyBB byla objevena středně kritická zranitelnost, jejímž zneužitím by útočník mohl dosáhnout vložení vlastního kódu. Chyba se jmenovitě týká zahrnutého souboru usercp.php, kde se předává parametr nazvaný avatarurl. Odpovídající URL však na úrovni kódu není dostatečně ošetřeno, a zde tedy vzniká možnost vložení vlastního. Chyba byla přímo v původním (níže odkazovaném) ohlášení potvrzena pro MyBB verze 1.1.6 a starší, přičemž v době psaní tohoto článku zatím není k dispozici žádná adekvátní oprava.
Další informace: Evuln.com

PowerArchiver

Verze: 9.62.03
Riziko: nizke riziko (nízké)
Správce komprimovaných souborů PowerArchiver je náchylný na zranitelnost, která dokáže způsobit až spuštění libovolného kódu. Pokud je do archivu ZIP přidáván nový soubor a daný archiv obsahuje soubor s přespříliš dlouhým názvem, dojde k přetečení zásobníku a následné možnosti spuštění libovolného kódu. Podle původního ohlášení se nejedná o nikterak závažnou zranitelnost, jelikož pro její zneužití uživatel musí ručně přidat soubor do již speciálně upraveného archívu. Chyba byla potvrzena pro PowerArchiver verze 9.62.03 a doporučené řešení spočívá v aktualizaci na variantu 9.63.
Další informace: Vuln.sg

Symantec Brightmail AntiSpam

Verze: všechny
Riziko: střední riziko (střední)
V produktu Brightmail AntiSpam od společnosti Symantec se nachází vícero zranitelností, jež jsou zneužitelné v podobě „shození“ jmenované aplikace (DoS), případně také získání některých původně nepřístupných informací. Jejich základ spočívá v nedostatečném ošetření názvů souborů zpracovávaných prostřednictvím DATABLOB-GET a DATABLOB-SAVE. Podle níže odkazovaného původního oznámení jsou postiženy všechny verze aplikace Symantec Brightmail AntiSpam.
Další informace: Symantec.com

Hromadná oprava Firefoxu

Populární webový prohlížeč Mozilla Firefox prošel pomyslnou ozdravnou kúrou v podobě velkého množství záplat. Celkem se jednalo o více než desítku různých oprav, jejich ucelený seznam je možné nalézt například na odpovídající stránce serveru Secunia.com – ta obsahuje také odkazy na původní oznámení pocházející z domovského serveru Mozilla.org. Popisované záplaty souvisejí kromě jiného s chybami při zpracování Javy a JavaScriptu, skriptů pro automatickou konfiguraci HTTP proxy serveru či zpracování specifických URI. Všechny odpovídající chyby jsou již opraveny v nové verzi Firefoxu, tedy variantě 1.5.0.5 – ke stažení.

Při pravidelném brouzdání zahraničními webovými stránkami s tématikou bezpečnosti je možné za uplynulý týden narazit například na následující zajímavé přírůstky:

Will Vista make you more secure? (Techrepublic­.com.com)
Popis nových bezpečnostních funkcí ve Windows Vista.

Spyware poses as Firefox extension (Theregister.co­.uk)
Spyware v podobě rozšíření Firefoxu?

6 Steps To Protect Your Wireless Network (Informationwe­ek.com)
Tipů pro zabezpečení bezdrátové sítě není nikdy dost – zde je dalších šest kroků na cestě k vysněnému cíli.

Bezpečnostní software zdarma

Free Internet Eraser

Homepage: ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

Free Internet Eraser

Podobně jako v minulém bezpečnostním sumáři se také řádky dnešního softwaru zdarma věnují mazání stop internetového surfování. Aplikace Free Internet Eraser potěší poměrně širokým spektrem možností nastavení odstraňovaných kategorií – uživatel má na výběr například i z některých systémových historií. Volitelně lze také konfigurovat automatické čištění při startu či vypnutí Windows, případně parametry bezpečného mazání jednotlivých souborů. Nechybí ani plánované čištění v předem stanovený čas, ovládání klávesovými zkratkami a nastavení výchozích proměnných Internet Exploreru.

Anketa

Jakým způsobem ve Windows pracujete s archívy ZIP?

Našli jste v článku chybu?

2. 8. 2006 16:16

kamil (neregistrovaný)
používal jsem ho, dokud byl freeware. teď používám 7-zip.
120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy