Bezpečnostní aktuality
RealPlayer
Verze: 11.x
Riziko: 
(vysoké)
V přehrávači Real byla objevena nová zranitelnost, v důsledku níž může útočník způsobit spuštění svého vlastního kódu. Na vině je přitom blíže nespecifikovaná chyba, jež vede k přetečení zásobníku – zranitelnost byla podle původního, níže odkazovaného ohlášení na serveru Secunia.com potvrzena pro verzi 11 (build 6.0.14.748), ostatní vydání mohou být také náchylná. Doporučené řešení až do vydání odpovídající opravy spočívá v obligátním neotevírání nedůvěryhodných souborů.
Další informace: Secunia.com
ZyXEL
Verze: P-330W
Riziko: 
(nízké)
Na účet bezdrátového routeru ZyXEL P-330W, tedy jeho výchozího firmwaru, byly publikovány informace o chybě, která zapříčiňuje XSS a XSRF útoky. Základním kamenem úrazu se stává nekorektní funkce webového rozhraní, kdy je možné podstrčením speciálně upraveného kódu získat vyšší přístupová oprávnění, a to i v rámci administrátorského účtu. Ukázku kódu pro zneužití najdete na odkazované stránce, kde jsou údaje o této (již předvánoční, nicméně teprve nedávno diskutované) skulině k dispozici.
Další informace: Grok.org.uk
MyPHP Forum
Verze: 3.x
Riziko: 
(střední)
V MyPHP Forum byly objeveny nové zranitelnosti, které mohou útočníkovi poskytnout prostor pro útoky typu SQL injectoin. Skuliny jsou způsobeny různými chybami v souborech faq.php, member.php a search.php, souhrnně se jedná o nedostatečné ošetření předávaných parametrů. Aby však útočník mohl vlastní SQL kód vložit, musí být vypnuta možnost magic_quotes_gpc. Zranitelnost byla potvrzena pro verzi 3.0, není ale vyloučeno, že mohou být postižena také jiná vydání. Prozatímní doporučené řešení spočívá v ruční úpravě zdrojového kódu.
Další informace: Secunia.com
Bezpečnost na Lupě
Minulý týden jste si na Lupě na téma bezpečnosti mohli přečíst například článek o potenciálním nebezpečí Googlu, a to díky glose Davida Antoše s názvem Tvůj velký bratr Google. Samozřejmě nechybělo ani předchozí pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: problémy přehrávačů a pakovačů. Důležitým byl však také pokus o podvod, jenž si bral na mušku klienty České spořitelny – podrobnosti se můžete dočíst v krátké zprávičce pojmenované Klienti České spořitelny opět terčem útoku.
Nesmíme opomenout ani pravidelný průlet některými online příspěvky zahraničních serverů, které se věnovaly právě světu bezpečnosti, vybíráme proto následující trojici:
Microsoft apologizes to Corel, users for Office 2003 SP3 muck-up (Computerworld.com)
Softwarový gigant Microsoft se dodatečně omluvil Corelu za chybné nařčení a prohlášení o nebezpečí jeho formátu.
Firefox spoofing bug raises phishing fears (Theregister.co.uk)
Nedostatek v autentizaci v podání Firefoxu může být začátkem bezpečnostních trablů.
MS preps critical Vista patch for Tuesday (Theregister.co.uk)
Předpověď dalších z pravidelných oprav společnosti Microsoft.
Bezpečnostní software zdarma
Quick Startup
Homepage: Glarysoft.com, ke stažení na Slunečnici
Lupa hodnotí: 
Slunečnice hodnotí: 
Programů, s jejichž pomocí si můžete zobrazit seznam automaticky spouštěných procesů, existuje celá řada. Liší se jak možnostmi, tak tím, které doplňující funkce nabízejí. Jedněmi z těch povedenějších, stále ale ne zcela špičkových, je také Quick Startup, který můžete získat zcela zdarma. U každého z nalezených automaticky spouštěných procesů můžete prozkoumat všechny detaily, jakými jsou například úplná cesta, hodnocení nebezpečnostního rizika apod. Nechybí ani nejdůležitější funkce, tedy vypnutí daného programu, jeho úplné odstranění nebo naopak přidání nové aplikace.
Aktualizujete firmware zařízení, když je k dispozici nová verze?
