Hlavní navigace

Bezpečnost v plynulém týdnu: opravy Microsoftu a povedený dokument

Autor: 29
Ondřej Bitto

Poslední týden přinesl především pravidelné každoměsíční záplaty společnosti Microsoft, odhalení nových chyb se pak dočkaly programy Symantec a Apple QuickTime. Po přehledu dalších bezpečnostních článků bude nakonec v sekci bezpečnosti zdarma netradičně pro zpestření představen dokument PDF na téma současných hrozeb.

Bezpečnostní aktuality

Produkty Symantec

Verze: viz původní ohlášení
Riziko: vysoké riziko (vysoké)
Pokud se podíváme například na webové stránky bezpečnostního serveru Secunia, byly v nepřeberném množství produktů Symantec objeveny dvě nové a zároveň nebezpečné zranitelnosti, jejichž zneužitím má útočník možnost způsobit DoS, případně také kompromitovat náchylný systém. Na vině jsou různé skuliny při testování komprimovaných archívů CAB a RAR, společnost Symantec by již měla doručovat odpovídající opravy prostřednictvím aktualizačního systému LiveUpdate.
Další informace: Secunia.com

QuickTime

Verze: 7.1.3 a 7.1.5 pro Windows a Mac OS X
Riziko: střední riziko (střední)
Apple QuickTime je podle nového upozornění náchylný na zranitelnost při zpracování jazyka SMIL (Synchronized Multimedia Integration Service), prostřednictvím přehrávače je kvůli tomu možné spustit vlastní kód. Chyba přesněji spočívá v nekorektní práci s položkami obsahujícími název a jméno autora, na základě čehož dojde k přetečení zásobníku a otevření cesty k již naznačenému spuštění útočníkova vlastního kódu. Pro zneužití však útočník musí svou oběť nejprve nalákat k otevření takto speciálně podvrženého kódu SMIL. Apple chybu opravil v QuickTime 7.2.
Další informace: Idefense.com

Opravy společnosti Microsoft

Tak jako vždy druhé úterý v každém měsíci, nesměla ani minulý týden chybět pravidelná porce oprav od společnosti Microsoft. Tentokrát se jednalo o šestici záplat, z nichž si tři vysloužily kritický přívlastek. První security bulletin MS07–036 popisuje právě jednu z kritických oprav, jedná se o záplatování možnosti spuštění útočníkova vlastního kódu v tabulkovém procesoru Excel. Security bulletin MS07–037 se pak zaměřuje na důležitou opravu Publisheru 2007 a MS07–038 zase na doporučenou opravu firewallu ve Windows Vista. Dvojice kritických MS07–039 a MS07–040 postupně napravují chybu Active Directory ve Windows 2000 Server a Server 2003, respektive spuštění kódu v .NET Frameworku. Konečně poslední MS07–041 se zaměřuje na opravu IIS 5.1 ve Windows XP SP2.

Bezpečnost na Lupě

Samozřejmě ani v minulém týdnu nesmělo chybět další pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: nezávažné chyby na webu a hashe. Chybám se v glose věnoval také Pavel Houser, zabruste proto do jeho příspěvku Chyby, jejichž cenu nelze (správně) sečíst. Konečně z legislativní sekce se vám nabízí článek Metody k eliminaci výměnných sítí a jejich šance na úspěch od Vojtěcha Bednáře.

Jestliže rádi zalistujete bezpečnostními online články na zahraničních serverech, můžete z minulého týdne vyzkoušet kupříkladu následující:

Huge PDF spam spike reported (Techworld.com)
Přílohy PDF populárním způsobem pro obejití spam filtrů.

Phishing Tool Builds New Sites in Two Seconds (Csoonline.com)
Jak rychle na vlastní phishingový server.

Three critical flaws mark July Patch Tuesday (Theregister.co­.uk)
Opravy od Microsoft na stránkách The Register.

EBF17

Bezpečnost zdarma

Bezpečnost v digitálním věku

Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

Tentokrát pro zpestření nepředstavíme aplikaci zdarma, nýbrž poměrně povedený dokument o bezpečnosti moderních internetových časů. Stáhnout jej můžete jak z odkazovaných stránek serveru Slunečnice, tak z domovských na www.bolekvrany.cz. Autor se ve svém PDF dokumentu věnuje a podrobně rozebírá nejdůležitější oblasti současné počítačové bezpečnosti, nechybí tak představení hesel, spamu, virů a řady dalších témat. Pojetím a stylem představení lze dokument doporučit především začínajícím uživatelům.

Anketa

Považujete za největší bezpečnostní hrozbu samotné uživatele?

Našli jste v článku chybu?