Bezpečnostní aktuality
Produkty Symantec
Verze: viz původní ohlášení
Riziko: (vysoké)
Pokud se podíváme například na webové stránky bezpečnostního serveru Secunia, byly v nepřeberném množství produktů Symantec objeveny dvě nové a zároveň nebezpečné zranitelnosti, jejichž zneužitím má útočník možnost způsobit DoS, případně také kompromitovat náchylný systém. Na vině jsou různé skuliny při testování komprimovaných archívů CAB a RAR, společnost Symantec by již měla doručovat odpovídající opravy prostřednictvím aktualizačního systému LiveUpdate.
Další informace: Secunia.com
QuickTime
Verze: 7.1.3 a 7.1.5 pro Windows a Mac OS X
Riziko: (střední)
Apple QuickTime je podle nového upozornění náchylný na zranitelnost při zpracování jazyka SMIL (Synchronized Multimedia Integration Service), prostřednictvím přehrávače je kvůli tomu možné spustit vlastní kód. Chyba přesněji spočívá v nekorektní práci s položkami obsahujícími název a jméno autora, na základě čehož dojde k přetečení zásobníku a otevření cesty k již naznačenému spuštění útočníkova vlastního kódu. Pro zneužití však útočník musí svou oběť nejprve nalákat k otevření takto speciálně podvrženého kódu SMIL. Apple chybu opravil v QuickTime 7.2.
Další informace: Idefense.com
Opravy společnosti Microsoft
Tak jako vždy druhé úterý v každém měsíci, nesměla ani minulý týden chybět pravidelná porce oprav od společnosti Microsoft. Tentokrát se jednalo o šestici záplat, z nichž si tři vysloužily kritický přívlastek. První security bulletin MS07–036 popisuje právě jednu z kritických oprav, jedná se o záplatování možnosti spuštění útočníkova vlastního kódu v tabulkovém procesoru Excel. Security bulletin MS07–037 se pak zaměřuje na důležitou opravu Publisheru 2007 a MS07–038 zase na doporučenou opravu firewallu ve Windows Vista. Dvojice kritických MS07–039 a MS07–040 postupně napravují chybu Active Directory ve Windows 2000 Server a Server 2003, respektive spuštění kódu v .NET Frameworku. Konečně poslední MS07–041 se zaměřuje na opravu IIS 5.1 ve Windows XP SP2.
Bezpečnost na Lupě
Samozřejmě ani v minulém týdnu nesmělo chybět další pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: nezávažné chyby na webu a hashe. Chybám se v glose věnoval také Pavel Houser, zabruste proto do jeho příspěvku Chyby, jejichž cenu nelze (správně) sečíst. Konečně z legislativní sekce se vám nabízí článek Metody k eliminaci výměnných sítí a jejich šance na úspěch od Vojtěcha Bednáře.
Jestliže rádi zalistujete bezpečnostními online články na zahraničních serverech, můžete z minulého týdne vyzkoušet kupříkladu následující:
Huge PDF spam spike reported (Techworld.com)
Přílohy PDF populárním způsobem pro obejití spam filtrů.
Phishing Tool Builds New Sites in Two Seconds (Csoonline.com)
Jak rychle na vlastní phishingový server.
Three critical flaws mark July Patch Tuesday (Theregister.co.uk)
Opravy od Microsoft na stránkách The Register.
Bezpečnost zdarma
Bezpečnost v digitálním věku
Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí:
Slunečnice hodnotí:
Tentokrát pro zpestření nepředstavíme aplikaci zdarma, nýbrž poměrně povedený dokument o bezpečnosti moderních internetových časů. Stáhnout jej můžete jak z odkazovaných stránek serveru Slunečnice, tak z domovských na www.bolekvrany.cz. Autor se ve svém PDF dokumentu věnuje a podrobně rozebírá nejdůležitější oblasti současné počítačové bezpečnosti, nechybí tak představení hesel, spamu, virů a řady dalších témat. Pojetím a stylem představení lze dokument doporučit především začínajícím uživatelům.