Bezpečnostní aktuality
Mac OS X
Verze: 10.4.8
Riziko: (vysoké)
V operačním systému Mac OS X byla objevena vysoce kritická zranitelnost, jejímž zneužitím by potenciální útočník mohl docílit až spuštění vlastního kódu. Celá zranitelnost přitom spadá do ohlášené série Month of Apple Bugs a jejím základem je nekorektní práce funkce ffs_mountfs()
– při zneužití dojde k přetečení zásobníku. Útok je možné provést v kombinaci s prohlížečem Safari, který má nastavené automatické spouštění stažených souborů. Doporučené prozatímní řešení spočívá ve vypnutí této funkce a obligátním nestahování souborů z nedůvěryhodných zdrojů.
Další informace: Info-pull.com
Adobe Reader
Verze: 6.x, 7.x
Riziko: (vysoké)
Jak se můžete dočíst na níže odkazovaných stránkách bezpečnostního serveru Secunia.com, byla na účet populární aplikace Adobe Reader publikována informace o vysoce kritické zranitelnosti, kterou lze zneužít ke spuštění útočníkova vlastního kódu. Na vině je blíže nespecifikovaná chyba, jež se naplno projeví při otevření speciálně upraveného dokumentu PDF. Zranitelnost byla přímo potvrzena pro Adobe Reader verze 7.0.8 a starší, není však vyloučeno, že by mohly být postiženy také jiné varianty. Doporučené řešení spočívá v přechodu na novější verze.
Další informace: Secunia.com
Opravy společnosti Microsoft
Tak jako každý měsíc, ani v tomto lednovém nesměla chybět pravidelná dávka záplat produktů od společnosti Microsoft. Původně jich sice bylo plánováno celkem osm, nicméně nakonec se jejich konečný počet snížil na „pouhou“ polovinu. To však nic nemění na jejich důležitosti, obzvláště, když tři z uvedeného kvarteta nesou kritický přívlastek.
V tomto roce historicky první security bulletin logicky nese označení MS07–001 a napravuje předchozí nedostatek v kancelářském balíku Microsoft Office. Jako jediný ze čtveřice vydaných přitom unikl kritickému přívlastku, nese tak stupeň důležitý. Od balíku Office daleko neodbíhá ani security bulletin MS07–002, jelikož ten si bere na mušku opravení tabulkového kalkulátoru Excel. Jedná se hned o několik menších zranitelností, které by mohly zapříčinit spuštění útočníkova vlastního kódu. Třetí security bulletin MS07–003 potěší všechny uživatele poštovního klienta Outlook, protože se zabývá právě jeho chybou. Outlook je ve své neopravené verzi náchylný na spuštění útočníkova vlastního kódu, případně DoS. Konečně v pořadí poslední, čtvrtá záplata, jíž se věnuje security bulletin MS07–004, opravuje kritickou zranitelnost ve VML (Vector Markup Language).
Z nových online článků na téma bezpečnosti, které v minulém týdnu vyšly na zahraničních serverech, za přečtení stojí například následující:
High-Tech Handsets are Hacker Bait (Businessweek.com)
O potenciálním nebezpečí zneužití mobilních telefonů a podobných zařízení.
Handling password hashes (Computerworld.com.au)
K čemu je dobré spojení hesel a hashovacích funkcí, jak je využít.
‚Make your own man-in-the-middle attack‘ online kit found (Scmagazine.com)
Online podvodníci mají k dispozici komplexní nástroje.
Bezpečnostní software zdarma
Microsoft Baseline Security Analyzer
Homepage: Microsoft.com, ke stažení na Slunečnici
Lupa hodnotí:
Slunečnice hodnotí:
Aplikace Baseline Security Analyzer představuje jednoduše použitelný nástroj pro nalezení rizik v lokální síti. Uživatel se může zaměřit jak na jeden vyhlédnutý počítač, tak vybrat celou skupinu danou rozsahem odpovídajících IP adres. Kromě nedostatků přímo v použitých operačních systémech Baseline Security Analyzer odhalí i neopravené zranitelnosti v dalších produktech s hlavičkou Microsoft, najde slabá hesla, zranitelnosti v SQL, vypíše související detaily apod.