Bezpečnost v uplynulém týdnu: Internet Explorer DoS a "ptačí" spam

Ondřej Bitto 2. 11. 2005

V uplynulém týdnu byly publikovány informace o několika zranitelnostech v programu Skype, stejně tak DoS chyba Internet Exploreru. Spam si zase začíná brát na mušku nabídku přípravku proti ptačí chřipce. V sekci o bezpečnostním softwaru zdarma bude kromě jiného představen jednoduchý a snadno použitelný zálohovací program Right Backup Lite.

3 názory

Pravidelný cyklus článků Bezpečnost ve dvou týdnech v sobě počínaje dnešním dílem ukrývá jak sumář aktualit, tak přehled některých bezpečnostních utilit dostupných zdarma. S aktualizovaným hávem přichází také nová jednotýdenní periodicita.

Bezpečnostní aktuality

Microsoft Internet Explorer
Verze: 6.0 (Windows XP SP2)
Riziko: (střední)
V nejrozšířenějším webovém prohlížeči od společnosti Microsoft byla objevena zranitelnost, která dokáže způsobit DoS. K tomu navíc musí mít uživatel nainstalováno běhové prostředí J2SE Runtime Environment. Jádro chyby spočívá v souboru mshtmled.dll, a jak se můžete dočíst v prvně citovaném zdroji, lze ji vyvolat například následujícím kódem (samozřejmě po odstranění znaků '):


<'FRAMESET >
<'FRAME SRC=AAAA >
<'EMBED NAME=SP STYLE= >
<'APPLET HSPACE=file://AAAA >

Další informace: Security-protocols.com, Securityfocus.com

Skype
Verze: 1.1.*.0 až 1.4.*.83 (Windows)
Riziko: (vysoké)
V oblíbeném programu Skype byla objevena zranitelnost, jejímž zneužitím může útočník způsobit přetečení zásobníku, a docílit tak spuštění libovolného kódu. Na počátku všeho stojí následování podvrženého odkazu začínajícího klasicky callto:// nebo skype://. Ke stejné chybě může dojít také během importování speciálně upravené VCARD. Doporučeným řešením je aktualizace na verzi 1.4.*.84 nebo vyšší.
Další informace: Skype.com, Secunia.com, Pentest.co.uk

Skype
Verze: 1.4.*.83 a starší (Windows)
Riziko: (vysoké)
Skype nechal odhalit ještě jednu svou chybu, která spočívá v přetečení haldy a jíž má útočník možnost dosáhnout zasláním speciálně upraveného proudu dat. Nejčastější reakcí na tento typ útoku bude ukončení programu Skype z důvodu vnitřní chyby, nelze však vyloučit ani jiné chování. V dosavadním testování se nepodařilo využít tuto zranitelnost až pro vykonání libovolného kódu. U Windows verze doporučené řešení spočívá v přechodu na verzi 1.4.*.84 nebo vyšší.
Další informace: Skype.com, Secunia.com

Je libo lék proti ptačí chřipce?
Prakticky každá nepříjemná nebo nešťastná událost s sebou přináší nepřeberné množství podvodných e-mailů nabízejících efektivní a levné řešení. Bylo proto jen otázkou času, než se objeví první spam s tématikou ptačí chřipky a účinné ochrany před ní. Podle článku na serveru ZDNet lze narazit na zprávu nabízející prostředek Tamiflu, důvěryhodnost a spolehlivost se však rovná variantám proklamujícím viagru nebo stoprocentně legální software za zlomek jeho ceny.

Samozřejmě přinášíme také stručný sumář některých zajímavých článků, jež během toulek Internetem stojí za povšimnutí:

An Assessment of the Oracle Password Hashing Algorithm (Sans.org)
Jedenáctistránkový dokument od J.Wrighta a C.Cida rozebírá bezpečnost ukládání hesel v Oracle.

Cookie Dethroning: Demystified (Infosecwriters.com)
Osvětlení a náhled do problematiky bezpečnosti cookies. Článek je rozdělen na první a druhý díl.

Fear of phishing hurts banks (Computerworld.com)
Jaký dopad má rhybaření na současné bankovnictví a důvěru v banky?

Bezpečnostní software zdarma

Right Backup Lite
Homepage: Systweak.com
Lupa hodnotí:

1993

U programu Right Backup Lite (RBL) od společnosti Systweak jsme nejprve zvažovali, zda jej vůbec zařadit mezi volně šiřitelné varianty s neomezenou dobou použití. Po jeho instalaci je totiž zapotřebí provést bezplatnou registraci, na základě které výrobce zašle registrační číslo. Jeho platnost však vyprší po době přibližně jednoho měsíce, takže uživatel musí registraci provést znovu.
Jak již u zálohovacích programů bývá dobrým zvykem, snaží se také RBL zaujmout především snadností ovládání. Při vytváření nového zálohovacího schématu tak stačí zadat jeho název, složku pro zálohovaná data a doplnit seznam souborů a adresářů, jejichž kopie se má vytvořit. Samozřejmě nechybí ani možnost naplánování pravidelného automatického zálohování či komprese do ZIP souborů. Mezi nepříjemnosti RBL patří všudypřítomné volby dostupné až ve vyšších, a tudíž placených, verzích Standard a Pro – nefunkčnost uživatel zjistí až po jejich vybrání a zobrazení okna nabízejícího objednání některé z těchto pokročilých variant.

SSO Plus
Homepage: SSOPlus.com
Lupa hodnotí:

2007

Každý den používáme rozličná hesla pro přihlašování do různých systémů. Abychom se v nich neztratili, přichází na pomoc aplikace SSO Plus, která za nás dokáže tyto citlivé údaje automaticky vyplňovat. Může pracovat ve dvou základních režimech, a to aktivním či pasivním. Za použití prvně jmenované varianty nabízí ukládání nově detekovaných hesel a jejich příští automatické zadání, v pasivním módu pak ukládá hesla bez uživatelova výslovného svolení, nicméně je pak automaticky nevyplňuje.

Praktické použití pak vypadá například tak, že při první návštěvě stránky vyžadující heslo SSO Plus uloží požadované citlivé informace, při příští návštěvě je uživatel zadávání ušetřen. Jednotlivé záznamy lze z okna aplikace poměrně komfortně spravovat.