Hlavní navigace

Bezpečnost v uplynulém týdnu: spuštění kódu a dolování ICQ

Autor: 29
Ondřej Bitto

Poslední týden s sebou na poli bezpečnosti přinesl především zranitelnosti, které přes přetečení zásobníku dovolují až spuštění útočníkova kódu. Takto byly postiženy například programy Notepad++, Sun Java JDK nebo Norton Personal Firewall. Po pravidelném přehledu aktuálních bezpečnostních článků nakonec bude řeč o aplikaci ICQr Information, která zjišťuje řadu informací z ICQ profilu, heslo nevyjímaje.

Doba čtení: 2 minuty

Bezpečnostní aktuality

Notepad++

Verze: 3.9, 4.1
Riziko: vysoké riziko (vysoké)
V aplikaci Notepad++ byla objevena nová zranitelnost, jejímž zneužitím by úspěšný útočník mohl dosáhnout až spuštění vlastního kódu. Základem je chybná práce součásti SciLexer v rámci knihovny scilexer.dll, která dokáže způsobit přetečení zásobníku. Postiženy jsou verze 3.9 a 4.1, do vydání adekvátní opravy se lze bránit neotevíráním nedůvěryhodných souborů.
Další informace: Secunia.com

Sun Java JDK

Verze: 1.5.0
Riziko: vysoké riziko (vysoké)
Podle níže odkazovaného ohlášení je Sun Java JDK náchylné na novou zranitelnost, která má základ v nekorektní práci se speciálně upravenými grafickými soubory. Jmenovitě se jedná o dva typy zneužití, které využívají obrázky BMP a JPG. Jejich otevřením dojde k pádu JVM, postiženo je JDK verze 1.5.0_07-b03, naopak opravena je varianta 1.5.0_11-b03.
Další informace: Beasts.org

Norton Personal Firewall

Verze: 2004
Riziko: vysoké riziko (vysoké)
Jak se můžete dočíst například na níže dokazovaných stránkách bezpečnostního serveru Secunia, byla v aplikaci Norton Personal Firewall od společnosti Symantec objevena nová zranitelnost – také jejím zneužitím může útočník spustit svůj vlastní kód. Chyba je způsobena ActiveX prvkem ISAlertDataCOM v rámci knihovny ISAlert.dll a odpovídající oprava by měla být doručena automaticky prostřednictvím aktualizačního systému LiveUpdate.
Další informace: Secunia.com

Bezpečnost na Lupě

Ani minulý týden samozřejmě nesmělo chybět pravidelné pokračování bezpečnostního sumáře, které neslo název Bezpečnost v uplynulém týdnu: kritické chyby Microsoftu. Stále ožehavému a hojně diskutovanému tématu se na řádcích článku Jak ohlídat děti na Internetu věnoval Martin Pírko, a pokud si raději prolistujete kratší aktuální zprávičky, můžete vyzkoušet například Google: každý desátý web může být nebezpečný nebo Adware stále častější, v dubnu překonal trojany.

V případě, že dáte přednost zahraničním zdrojům, tak se vám z nových příspěvků nabízejí například následující:

Pirates release fully cracked Vista (Theinquirer.net)
Windows Vista by měla být po dlouhé době craknuta, a to při zachování plné funkčnosti.

Gone in 120 seconds: cracking Wi-Fi security (Theregister.co­.uk)
Jak rychle vyzrát na WEP ochranu bezdrátových sítí.

Famous Google Hack Jobs (Itsecurity.com)
Největší kauzy, které si braly za cíl Google.

KL2018 Tip nominace

Bezpečnostní software zdarma

ICQr Information 1.5

Homepage: Headstrong.de, ke stažení na Slunečnici
Lupa hodnotí: 1756
Slunečnice hodnotí: Slunecnice rating 4

ICQr Information

Freewarová aplikace ICQr Information patří do kategorie těch programů, které se snaží získat co možná nejvíce informací z ICQ profilu vybraného uživatele. Stačí vybrat soubor DAT některé z podporovaných verzí a tato jednoduchá utilita již z něj vydoluje všechno možné – přezdívkou počínaje přes zadané osobní informace až po to nejdůležitější, tedy přímo heslo pro přihlášení se k danému ICQ účtu. Samozřejmě nechybí například ani zahrnutý seznam kontaktů. Bohužel je zde jedna poměrně výrazná vada na kráse, a sice že jsou podporovány pouze profily ICQ vybraných verzí.

Anketa

Používáte ve svém IM klientovi automatické uložení hesla?

Našli jste v článku chybu?