Bezpečnost v uplynulém týdnu: oprava Microsoftu a password cracker pro Firefox

Bezpečnostní aktuality

MyBB

Verze: 1.x
Riziko: (střední)
Ohledně aplikace MyBB byla publikována informace hned o dvou zranitelnostech, které mohou posloužit pro vložení vlastního kódu. První z nich spočívá v nedostatečném ošetření pole „message“ při odesílání zprávy a lze ji zneužít k vložení HTML kódu a skriptu, které se spustí při zobrazení prostřednictvím printthread.php. Tato zranitelnost byla potvrzena pro verzi 1.01, přičemž postiženy mohou být také některé starší varianty.
Útočník dále může využít nedostatečného ošetření vstupu nahrávání souborů na server, a sice k vložení vlastního SQL kódu. Chyba byla opět potvrzena pro verzi 1.01, avšak postihuje také 1.0. Doporučené řešení spočívá v důkladné kontrole kódu a jeho manuálním ošetření.
Další informace: Secunia.com, Securityfocus.com (1, 2)

phpBB

Verze: 2.x
Riziko: (střední)
V aplikaci phpBB byla objevena středně kritická zranitelnost, jejímž zneužitím dokáže útočník vložit svůj vlastní kód. Na vině je nedostatečné ošetření vstupů předávaných prostřednictvím tagu „url“, této skuliny je přitom možné zneužít pouze prostřednictvím webového prohlížeče Internet Explorer. Zranitelnost byla potvrzena pro verzi 2.0.18, ovšem starší verze mohou být též náchylné. Doporučené řešení spočívá v přechodu na phpBB verze 2.0.19.
Další informace: Secunia.com

Oprava chyby ve zpracování souborů WMF

V minulém dílu jsme vás informovali o vysoce kritické zranitelnosti operačních systémů společnosti Microsoft, důsledkem které mohl útočník pomocí podvrženého souboru WMF zkompromitovat vzdálený systém. Microsoft se rozhodl vydat odpovídající záplatu ještě dříve, než bývá zvykem u pravidelných měsíčních oprav. Relevantní informace obsahuje historicky první Security Bulletin roku 2006, tedy MS06–001.

Samozřejmě nesmí chybět pravidelný přehled nově vydaných online článků, které se týkají světa počítačové bezpečnosti. Pro dnešní díl naše volba padla na následující kandidáty:

December IM Attacks Jump 826 Percent Over '04 (Crn.com)
Článek Gregga Keizera na téma nárůstu IM útoků.

What are Rootkits? (It-observer.com)
Několik fakt o v poslední době často diskutované problematice rootkitů.

Bezpečnostní software zdarma

FireMaster

Homepage: Nagmatrix.50web­s.com

       

Využíváte komfortu služby automatického ukládání hesel ve webovém prohlížeči Firefox? Pokud ano, pak odpovídající databázi máte nejspíše chráněnu hlavním heslem, které zamezuje přístupu k citlivým informacím. Právě toto heslo se stává cílem zájmu lamače hesel FireMaster, jenž podporuje takzvaný hybridní útok, slovníkový i útok hrubou silou. Pro úspěšné odhalení hesla je nejprve zapotřebí získat soubory profilu uživatele (přesněji key3.db) a poté již skrze příkazový řádek předat všechny potřebné povely FireMasteru. Podle informací uvedených na autorově stránce si FireMaster poradí s Firefoxem verze 1.5 pod Windows a 1.0 na Linuxu, přičemž ostatní verze nebyly explicitně testovány.

Pokud byste chtěli vyzkoušet komplexnější variantu pro rekonstrukci hesel Firefoxu, můžete sáhnout po utilitě FirePassword od stejného vývojáře. Ta dokáže rozluštit přihlašovací jména i hesla vázaná k jednotlivým stránkám, ovládání a použití je stejné jako v případě FireMasteru.