Hlavní navigace

Bezpečnost v uplynulém týdnu: na pranýři je software i hardware

Autor: 29
Ondřej Bitto

První týden letošního roku byl co do nově publikovaných zranitelností o něco skoupější, přesto se však odhalení dočkala například skulina v přehrávači RealPlayer, potažmo MyPHP Forum. Zranitelný byl také hardware, přesněji řečeno firmware routeru Zyxel. Nakonec se podíváme na správu procesů s Quick Startup.

Bezpečnostní aktuality

RealPlayer

Verze: 11.x
Riziko: vysoké riziko (vysoké)
V přehrávači Real byla objevena nová zranitelnost, v důsledku níž může útočník způsobit spuštění svého vlastního kódu. Na vině je přitom blíže nespecifikovaná chyba, jež vede k přetečení zásobníku – zranitelnost byla podle původního, níže odkazovaného ohlášení na serveru Secunia.com potvrzena pro verzi 11 (build 6.0.14.748), ostatní vydání mohou být také náchylná. Doporučené řešení až do vydání odpovídající opravy spočívá v obligátním neotevírání nedůvěryhodných souborů.
Další informace: Secunia.com

ZyXEL

Verze: P-330W
Riziko: nizke riziko (nízké)
Na účet bezdrátového routeru ZyXEL P-330W, tedy jeho výchozího firmwaru, byly publikovány informace o chybě, která zapříčiňuje XSS a XSRF útoky. Základním kamenem úrazu se stává nekorektní funkce webového rozhraní, kdy je možné podstrčením speciálně upraveného kódu získat vyšší přístupová oprávnění, a to i v rámci administrátorského účtu. Ukázku kódu pro zneužití najdete na odkazované stránce, kde jsou údaje o této (již předvánoční, nicméně teprve nedávno diskutované) skulině k dispozici.
Další informace: Grok.org.uk

MyPHP Forum

Verze: 3.x
Riziko: střední riziko (střední)
V MyPHP Forum byly objeveny nové zranitelnosti, které mohou útočníkovi poskytnout prostor pro útoky typu SQL injectoin. Skuliny jsou způsobeny různými chybami v souborech faq.php, member.php a search.php, souhrnně se jedná o nedostatečné ošetření předávaných parametrů. Aby však útočník mohl vlastní SQL kód vložit, musí být vypnuta možnost magic_quotes_gpc. Zranitelnost byla potvrzena pro verzi 3.0, není ale vyloučeno, že mohou být postižena také jiná vydání. Prozatímní doporučené řešení spočívá v ruční úpravě zdrojového kódu.
Další informace: Secunia.com

Bezpečnost na Lupě

Minulý týden jste si na Lupě na téma bezpečnosti mohli přečíst například článek o potenciálním nebezpečí Googlu, a to díky glose Davida Antoše s názvem Tvůj velký bratr Google. Samozřejmě nechybělo ani předchozí pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: problémy přehrávačů a pakovačů. Důležitým byl však také pokus o podvod, jenž si bral na mušku klienty České spořitelny – podrobnosti se můžete dočíst v krátké zprávičce pojmenované Klienti České spořitelny opět terčem útoku.

Nesmíme opomenout ani pravidelný průlet některými online příspěvky zahraničních serverů, které se věnovaly právě světu bezpečnosti, vybíráme proto následující trojici:

Microsoft apologizes to Corel, users for Office 2003 SP3 muck-up (Computerworld­.com)
Softwarový gigant Microsoft se dodatečně omluvil Corelu za chybné nařčení a prohlášení o nebezpečí jeho formátu.

Firefox spoofing bug raises phishing fears (Theregister.co­.uk)
Nedostatek v autentizaci v podání Firefoxu může být začátkem bezpečnostních trablů.

MS preps critical Vista patch for Tuesday (Theregister.co­.uk)
Předpověď dalších z pravidelných oprav společnosti Microsoft.

EBF17 tip Braverman 2

Bezpečnostní software zdarma

Quick Startup

Homepage: Glarysoft.com, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice 3

quick startup

Programů, s jejichž pomocí si můžete zobrazit seznam automaticky spouštěných procesů, existuje celá řada. Liší se jak možnostmi, tak tím, které doplňující funkce nabízejí. Jedněmi z těch povedenějších, stále ale ne zcela špičkových, je také Quick Startup, který můžete získat zcela zdarma. U každého z nalezených automaticky spouštěných procesů můžete prozkoumat všechny detaily, jakými jsou například úplná cesta, hodnocení nebezpečnostního rizika apod. Nechybí ani nejdůležitější funkce, tedy vypnutí daného programu, jeho úplné odstranění nebo naopak přidání nové aplikace.

Anketa

Aktualizujete firmware zařízení, když je k dispozici nová verze?

Našli jste v článku chybu?