Hlavní navigace

Bezpečnost v uplynulém týdnu: oprava Microsoftu a password cracker pro Firefox

 Autor: 29
Ondřej Bitto 10. 1. 2006

Minulý týden společnost Microsoft vydala oficiální záplatu dlouhou omílané, vysoce kritické zranitelnosti zobrazování souborů WMF. Zveřejnění chyb se dočkaly také aplikace MyBB a phpBB, v sekci nabízející bezpečnostní software zdarma můžete poznat lamače hesel pro Mozillu Firefox.

Bezpečnostní aktuality

MyBB

Verze: 1.x
Riziko: střední riziko (střední)
Ohledně aplikace MyBB byla publikována informace hned o dvou zranitelnostech, které mohou posloužit pro vložení vlastního kódu. První z nich spočívá v nedostatečném ošetření pole „message“ při odesílání zprávy a lze ji zneužít k vložení HTML kódu a skriptu, které se spustí při zobrazení prostřednictvím printthread.php. Tato zranitelnost byla potvrzena pro verzi 1.01, přičemž postiženy mohou být také některé starší varianty.
Útočník dále může využít nedostatečného ošetření vstupu nahrávání souborů na server, a sice k vložení vlastního SQL kódu. Chyba byla opět potvrzena pro verzi 1.01, avšak postihuje také 1.0. Doporučené řešení spočívá v důkladné kontrole kódu a jeho manuálním ošetření.
Další informace: Secunia.com, Securityfocus.com (12)

phpBB

Verze: 2.x
Riziko: střední riziko (střední)
V aplikaci phpBB byla objevena středně kritická zranitelnost, jejímž zneužitím dokáže útočník vložit svůj vlastní kód. Na vině je nedostatečné ošetření vstupů předávaných prostřednictvím tagu „url“, této skuliny je přitom možné zneužít pouze prostřednictvím webového prohlížeče Internet Explorer. Zranitelnost byla potvrzena pro verzi 2.0.18, ovšem starší verze mohou být též náchylné. Doporučené řešení spočívá v přechodu na phpBB verze 2.0.19.
Další informace: Secunia.com

Oprava chyby ve zpracování souborů WMF

minulém dílu jsme vás informovali o vysoce kritické zranitelnosti operačních systémů společnosti Microsoft, důsledkem které mohl útočník pomocí podvrženého souboru WMF zkompromitovat vzdálený systém. Microsoft se rozhodl vydat odpovídající záplatu ještě dříve, než bývá zvykem u pravidelných měsíčních oprav. Relevantní informace obsahuje historicky první Security Bulletin roku 2006, tedy MS06–001.

Samozřejmě nesmí chybět pravidelný přehled nově vydaných online článků, které se týkají světa počítačové bezpečnosti. Pro dnešní díl naše volba padla na následující kandidáty:

December IM Attacks Jump 826 Percent Over '04 (Crn.com)
Článek Gregga Keizera na téma nárůstu IM útoků.

What are Rootkits? (It-observer.com)
Několik fakt o v poslední době často diskutované problematice rootkitů.

Bezpečnostní software zdarma

FireMaster

Homepage: Nagmatrix.50web­s.com

Lupa hodnotí: 1752
firemaster

Využíváte komfortu služby automatického ukládání hesel ve webovém prohlížeči Firefox? Pokud ano, pak odpovídající databázi máte nejspíše chráněnu hlavním heslem, které zamezuje přístupu k citlivým informacím. Právě toto heslo se stává cílem zájmu lamače hesel FireMaster, jenž podporuje takzvaný hybridní útok, slovníkový i útok hrubou silou. Pro úspěšné odhalení hesla je nejprve zapotřebí získat soubory profilu uživatele (přesněji key3.db) a poté již skrze příkazový řádek předat všechny potřebné povely FireMasteru. Podle informací uvedených na autorově stránce si FireMaster poradí s Firefoxem verze 1.5 pod Windows a 1.0 na Linuxu, přičemž ostatní verze nebyly explicitně testovány.

Pokud byste chtěli vyzkoušet komplexnější variantu pro rekonstrukci hesel Firefoxu, můžete sáhnout po utilitě FirePassword od stejného vývojáře. Ta dokáže rozluštit přihlašovací jména i hesla vázaná k jednotlivým stránkám, ovládání a použití je stejné jako v případě FireMasteru.

Anketa

Používáte možnost automatického ukládání hesel v prohlížeči Firefox?

Našli jste v článku chybu?

10. 5. 2009 12:54

Jama (neregistrovaný)
Vždyť to jde jednodušeji.

Prostě si hesla vyexportovat pomocí jednoho oficiálního pluginu pro FF a pak si je importovat do svého FF a nakonec už jen si je nechat FireFoxem zobrazit :)

27. 1. 2006 18:07

cm3l1k1 (neregistrovaný)
novim mno ale pripada mi to jako aplikace k nicemu pac neznam vlastne nikoho kdo by si ukladal hesla do FF a navic o nikom kdo by na takovou dobu potrebnou k rozlusteni mel moznost drepet pred jejich pocitacem ;o)
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu