Bezpečnostní aktuality
AVG Anti-Virus
Verze: 7.1.375 Free, Professional
Riziko: (nízké)
V antivirovém systému AVG byla objevena méně kritická zranitelnost, které útočník může využít ke zvýšení svých uživatelských práv. Problém spočívá v tom, že po stažení aktualizačních souborů je těmto nepřesně nastaven seznam oprávnění přístupu, což otevírá cestu pro jejich smazání nebo přepsání.
Chyba byla potvrzena jak pro volně šiřitelnou verzi Free (7.1.375), tak komerční Professional. Uživatelé prvně jmenované varianty by podle doporučeného prozatímního řešení měli ručně ošetřit přidělování správných přístupových práv. Ve verzi Professional je chyba opravena novou variantou 7.1.384.
Další informace: Dslreports.com
Microsoft Visual Studio
Verze: 6.0
Riziko: (střední)
Středně kritická zranitelnost byla publikována na účet šesté verze aplikace Visual Studio od společnosti Microsoft. V případě, že uživatel otevře soubory s příponou .dbp (Visual Studio Database Project File) nebo .sln (Visual Studio Solution), může za určitých okolností dojít k přetečení zásobníku, a tedy poskytnutí prostoru pro případné spuštění libovolného kódu.
Problém nastává v tom bodě, kdy pole „DataProject“ obsahuje přespříliš dlouhý řetězec – odpovídající detaily a odkaz pro stažení takového zákeřného souboru naleznete na níže odkazované stránce serveru Spyinstructors. Doporučené prozatímní řešení spočívá v neotevírání uvedených souborů nepocházejících z důvěryhodného zdroje.
Další informace: Spyinstructors.com, Securityfocus.com
Symantec Ghost
Verze: 8.0, 8.2
Riziko: (nízké)
V aplikaci Symantec Ghost bylo objeveno hned několik zranitelností, jichž úspěšný útočník může zneužít pro získání některých potenciálně citlivých informací, neoprávněnou modifikaci dat nebo také získání vyšších uživatelských práv. Ucelený přehled a podrobný popis odpovídajících chyb se k přečtení nabízí na níže odkazované originální stránce společnosti Symantec. Doporučené řešení spočívá v přechodu na variantu Symantec Ghost verze 8.3, která je také dodávána jako součást Symantec Ghost Solutions Suite 1.1.
Další informace: Symantec.com, Secunia.com
Kerio MailServer
Verze: starší než 6.1.3 Patch 1
Riziko: (střední)
Uživatelé aplikace Kerio MailServer by se měli mít na pozoru před středně kritickou zranitelností, která postihuje právě tento produkt. Podle dostupných informací jejím zneužitím může útočník docílit DoS, na vině je přitom nedostatečné ošetření zpracování příkazu IMAP LOGIN. Pokud se útočníkovi podaří tomuto příkazu předat potřebné nekorektní parametry, jádro aplikace se zhroutí. Doporučeným řešením je přechod na verzi 6.1.3 Patch 1, která podle oznámení výrobce opravuje také další DoS chybu.
Další informace: Kerio.com
Další česká phishingová vlaštovka
Z rukou čtenáře se k nám dostala další phishingová zpráva, která tentokráte zamýšlí balamutit uživatele serveru Webzdarma.cz. Ve srovnání s nedávným poměrně propracovaným háčkem na službu Citibank však tento pokus působí dokonce trochu komicky – posuďte sami z lámané češtiny úryvku původního textu:
Tenhle technickej nedostatek
je zapricinenej zlou konfigurcii
nasi databazy a tak je tenhle
krok nutnej k spravnymu chodu
celiho systemu.
Z právě uvedených řádků není těžké odhalit, že s případným oficiálním oznámením správců daného serveru má zpráva jen těžko něco společného. V podobném duchu se samozřejmě nesla také reakce, kterou jsme obdrželi od technické podpory Webzdarma.cz. Odpovídající falešné webové stránky serveru Webzdarma.cz, na které se podvodný e-mail snažit nalákat, již neexistují.
Na téma bezpečnosti zahraniční servery publikovaly například následující zajímavé online články:
Virus names likely a lost cause (Securityfocus.com)
O problémech různorodého pojmenování stejného viru.
Identity Theft for dummies (Zone-h.org)
Úvod do technik a principů krádeže identit.
ISPs must take lead in fighting spam (Theregister.co.uk)
Několik slov na téma možné legislativní obrany proti spamu.
Bezpečnostní software zdarma
File Backup Pro
Homepage: Blackballsoftware.com
Lupa hodnotí:
Jednoduchá utilita File Backup Pro nabízí základní možnosti zálohování, přičemž funguje jakoby ukázkový produkt rozsáhlejšího systému Data Transport Agent od společnosti Blackball Software. Data lze zálohovat nejen v rámci jednoho počítače (resp. síťových disků), ale také nahrávat na vzdálený FTP serveru nebo je z něj naopak stahovat. Nastavit lze také kompresi a samozřejmě nechybí podpora automatického spouštění naplánované úlohy.