- Uživatel navštíví podvrženou stránku.
- Uživatel následuje odkaz na důvěryhodnou stránku.
- Podvržená stránka po chvíli zobrazí dialogové okno v popředí důvěryhodné stránky, uživatel se tak bude domnívat, že skutečně pochází z této důvěryhodné stránky, a bez tušení zrady zadá požadované informace.
Ze stránek společnosti RealNetworks si můžete stáhnout nové aktualizace pro produkty Real Player, RealOne Player a Rhapsody různých verzí, které opravují hned několik problémů. Updaty řeší trable s možností přepsání lokálního souboru nebo spuštění ActiveX prvku, dále zranitelností vedoucí k přetečení zásobníku na napadaném stroji a nechybí ani oprava chyby s implicitním nastavením prohlížeče Internet Explorer.
Společnost Adobe na svých stránkách zveřejnila aktualizované informace o zranitelnosti produktů Adobe Reader a Acrobat verze 7.0 – 7.0.1, jež je způsobena použitím XML a může zapříčinit odhalení existence lokálního souboru včetně jeho obsahu. Na stránkách serveru SecurityFocus lze jako ukázku nalézt následující kód:
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "c:/boot.ini">
]>
<foo>&xxe;</foo>
Ten zajistí vypsání obsahu souboru c:boot.ini na uživatelově pevném disku, samozřejmě v případě jeho existence. Detailní informace lze nalézt například na stránkách Securiteam. Doporučeným řešením je aktualizace na produkty Adobe Reader a Acrobat verze 7.0.2.
Závěr dnešního dílu shrnujícího bezpečnost v uplynulých dvou týdnech vyplní inovace, a sice stručný výběr některých relevantních článků či studií, které se během půlky měsíce objevily ve vodách Internetu:
Hiring Hackers As Security Consultants (WindowsSecurity.com)
Každá mince má dvě strany, proto také tento článek hledá jak klady, tak zápory najímání hackerů na pozice bezpečnostních konzultantů.
Crypto-Gram Newsletter (Schneier.com)
V polovině června vyšel další z řady sumářů podoby newsletteru světa bezpečnosti v podání Bruce Schneiera.
Analyzing Browser Based Vulnerability Exploitation Incidents
David Ross ve své práci shrnuje možnosti útoků vedených prostřednictvím bezpečnostních chyb prohlížeče Internet Explorer.
7 Security Mistakes Companies Make (Computerworld.com)
Shrnutí sedmi nejčastějších chyb, kterých se firmy dopouštějí, podle autora Petera Gregoryho.
Global Security Survey 2005[PDF, 1,5 MB] (Deloitte.com)
Společnost Deloitte zveřejnila novou verzi své každoroční zprávy Global Security Survey, jež shrnuje fakta týkající se počítačové bezpečnosti, získaná během řady průzkumů.
What Is Spyware? The Industry Can't Agree (CRN.com)
Co je a co není spyware? Tuto otázku se snaží osvětlit článek zveřejněný na serveru CRN.