Bezpečnostní aktuality
MySQL
Verze: 5.0.18 a starší
Riziko: (nízké)
Server Secunia.com na svých stránkách přinesl informace o dříve objevené zranitelnosti v MySQL verze 5.0.18 a starších, jejímž zneužitím může útočník obejít některá bezpečnostní omezení. Problém spočívá v chybném zpracování, pokud dotaz obsahuje znak NULL. Jako ukázka je na serveru uveden dotaz
mysql_query("/*".chr(0)."*/ SELECT * FROM table");
Doporučeným prozatímním řešením je univerzální omezení přístupu k databázi pouze důvěryhodným uživatelům.
Další informace: Secunia.com
Internet Explorer
Verze: 6
Riziko: (vysoké)
V oblíbeném webovém prohlížeči Microsoft Internet Explorer verze 6 byla objevena závažná zranitelnost, která útočníka dokáže dovést až k možnosti spuštění libovolného kódu. Vina v tomto případě padá na hlavu potenciálního přetečení zásobníku při volání metody IsComponentInstalled(). Podrobný seznam všech postižených verzí můžete nalézt v níže odkazovaném zdroji na serveru Securityfocus.com, stránky Frsirt.com zase přinášejí zdrojový kód odpovídajícího exploitu.
Další informace: Securityfocus.com, Frsirt.com
MyBB
Verze: 1.3
Riziko: (střední)
Aplikace MyBB ve verzi 1.3 je náchylná na středně kritickou zranitelnost, jíž může útočník dosáhnout vložení vlastního SQL kódu. Chyba spočívá v souboru misc.php, kde dochází k nedostatečnému ošetření předávaného vstupu. K úspěšnému zneužití této zranitelnosti musí být aktivováno „register_globals“, součástí níže odkazovaných stránek serveru Milw0rm.com je také stručný návod, kterak popisované chyby zneužít.
Další informace: Milw0rm.com
První český phishing
Antivirová společnost Eset promptně informovala o prvním výskytu českého phishingu, který si vzal na mušku internetové bankovnictví Citibank. Zpráva podvodného e-mailu obsahuje následující text:
03/02/2006 na Váš běžný účet byl přijat převod v cizí měně na částku ve výši 2000 liber. Se shodou s spotřebitelským souhlasem CitiBank® online, je potřeba potvrdit tento převod pro jeho úspěšné zařazení na Váš běžný účet.
Pro potvrzení platby Vás prosím o návštěvu programu ovládání Vaším účtem CitiBank® online a dále postupujte podle předloženého návodu. V případě nepřijetí potvrzení v průběhu 48 hodin, bude částka vracena odesílateli.
Pro vstup do programu CitiBank® online, klikněte sem >>>
S pozdravem
Služba CitiBank® Alerting Service
Z nově vydaných online článků si o pozornost v podobě přečtení říkají například následující:
How secure is open source? (Computerworld.co.nz)
Článek na téma bezpečnosti otevřeného softwaru.
CNET Top 10 AntiSpyware Apps (Reviews.cnet.com)
Test a výsledné hodnocení deseti antispywarových aplikací.
Cyberthieves Silently Copy Your Passwords as You Type (Nytimes.com)
O neustále hrozícím nebezpečí keyloggerů.
Bezpečnostní software zdarma
TaskPatrol v2.0
Homepage: Asmdev.net
Lupa hodnotí:
Aplikace TaskPatrol slouží k rychlému a snadnému zjištění detailních informací o právě běžících procesech. Kromě jejich seznamu známého ze systémového nástroje Správce úloh přitom poskytuje celou řadu doplňujících funkcí. TaskPatrol je možné získat ve dvou verzích, a to buď základní freeware, nebo pokročilé placené.
Při vybrání některého z procesů TaskPatrol zobrazí například informace o tom, zda tento neobsahuje skrytá okna, jestli může přistupovat k některým systémovým zdrojům apod. Výsledkem analýzy je pak souhrnné číselné označení nazvané Estimated Security Risk. Kromě takovéhoto bezpečnostního shrnutí TaskPatrol navíc zobrazí také údaje o verzi odpovídajícího spustitelného souboru, použitých knihovnách či například extrahuje textové řetězce ze souboru. Podezřelé procesy lze ukončit, případně si přímo z rozhraní programu dohledat detailnější informace na Internetu.