Hlavní navigace

Bezpečnost v uplynulém týdnu: oprava od Symantecu a Microsoft IIS

 Autor: 29
Ondřej Bitto

Předposlední prosincový týden s sebou přinesl například opravu několika produktů společnosti Symantec, kterou způsobila chyba v komponentě AntiVirus. "Naprázdno" nevyšly ani Microsoft Internet Information Service či Apple QuickTime. Tématice zálohování a synchronizace dat se věnuje zdarma dostupná aplikace SyncBack Freeware.

Bezpečnostní aktuality

Produkty Symantec

Verze: viz původní oznámení
Riziko: vysoké riziko (vysoké)
Hned několik produktů společnosti Symantec je náchylných na přetečení zásobníku, a tím následné kompromitaci celého systému. Na vině je program AntiVirus, který chybně zpracovává komprimované archívy RAR, přesněji se skulina týká souboru Dec2Rar.dll. Skrze aktualizační službu LiveUpdate by již měla být všem uživatelům doručena prozatímní oprava, která zajistí včasnou detekci útoků využívajících této zranitelnosti.

Další informace: Symantec.com, Rem0te.com [PDF, 119 kB]

Microsoft IIS

Verze: 5.1
Riziko: vysoké riziko (vysoké)
V produktu Internet Information Services od společnosti Microsoft byla objevena vysoce kritická zranitelnost, které může být zneužito k provedení DoS útoku. Chyba spočívá ve špatném zpracování určitých URL, na serveru Secunia.com je jako ukázka uvedena například adresa

http://[host]/[dir]/.dll/%01~0

Zranitelnost byla potvrzena pro IIS verze 5.1 na plně záplatovaném systému Windows XP SP2, variant 5.0 a 6.0 by se neměla týkat. Doporučené prozatímní řešení spočívá ve filtrování nebezpečných požadavků.

Další informace: Ingehenriksen­.blogspot.com, Determina.com

Apple QuickTime / iTunes

Verze: QuickTime 7.0.3, iTunes 6.0.1.3
Riziko: střední riziko (střední)
Produkty společnosti Apple jsou náchylné na DoS útok, který může být způsoben přehráním speciálně upraveného video souboru MOV. Zranitelnost byla potvrzena pro dvě uvedené verze, nicméně postiženy mohou být také jiné varianty. Doporučené prozatímní řešení spočívá v neotevírání souborů MOV z nedůvěryhodných zdrojů.

Další informace: Security-protocols.com, Secunia.com

Z nově vydaných online článků a dokumentů jsme za minulý týden vybrali:

Hacking Techniques: Web Application Security (Infosecwriter­s.com)
Práce na téma útoků směřovaných proti webovým aplikacím a možností obrany.

OpenSSH cutting edge (Securityfocus­.com)
Rozhovor s jedním z vývojářů OpenSSH na téma nadcházející verze.

Bezpečnostní software zdarma

SyncBack Freeware

Homepage: 2brightsparks.com
Lupa hodnotí: 1753
SyncBack
Volně dostupná varianta aplikace SyncBack nabízí rychlou a snadnou možnost zálohy dat i jejich synchronizace mezi různými složkami či médii. V pokročilém módu lze specifikovat také přenos dat na FTP server, automatickou kompresi jednotlivých souborů nebo celku a řadu dalších voleb. Samozřejmostí je také možnost naplánování automatických záloh/synchronizací v předem stanovený čas. Suma sumárum si SyncBack vybojoval vysoké hodnocení zejména díky intuitivnímu použití a spektru poskytovaných funkcí pod přívlastkem volné dostupnosti.

John the Ripper

Homepage: www.openwall.com
Byly uvolněny zdrojové kódy nové verze aplikace pro lámání hesel John the Ripper, která dokáže útočit jak na hashe Unixu, tak LM varianty využívané ve Windows. Z technik je možné zvolit a nastavit brute-force i slovníkový útok.

Anketa

Zajímali jste se někdy v minulosti o problematiku lámání (rekonstrukce) hesel?

Našli jste v článku chybu?
DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Kanál TA3 HD zahájil vysílání

Kanál TA3 HD zahájil vysílání

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu