Hlavní navigace

Bezpečnost v uplynulém týdnu: chyby PowerArchiveru a Firefoxu

Autor: 29
Ondřej Bitto

V posledním týdnu byla vydána souhrnná aktualizace webového prohlížeče Mozilla Firefox, která opravovala více než desítku bezpečnostních mezer. Zneužití formou spuštění vlastního kódu neunikl PowerArchiver, podobně je na tom také MyBB. Symantec Brightmail AntiSpam se nedokáže bránit DoS útoku, část bezpečnostního softwaru zdarma popisuje aplikaci Free Internet Eraser.

Bezpečnostní aktuality

MyBB

Verze: 1.1.6 a starší
Riziko: střední riziko (střední)
V oblíbené webové aplikaci MyBB byla objevena středně kritická zranitelnost, jejímž zneužitím by útočník mohl dosáhnout vložení vlastního kódu. Chyba se jmenovitě týká zahrnutého souboru usercp.php, kde se předává parametr nazvaný avatarurl. Odpovídající URL však na úrovni kódu není dostatečně ošetřeno, a zde tedy vzniká možnost vložení vlastního. Chyba byla přímo v původním (níže odkazovaném) ohlášení potvrzena pro MyBB verze 1.1.6 a starší, přičemž v době psaní tohoto článku zatím není k dispozici žádná adekvátní oprava.
Další informace: Evuln.com

PowerArchiver

Verze: 9.62.03
Riziko: nizke riziko (nízké)
Správce komprimovaných souborů PowerArchiver je náchylný na zranitelnost, která dokáže způsobit až spuštění libovolného kódu. Pokud je do archivu ZIP přidáván nový soubor a daný archiv obsahuje soubor s přespříliš dlouhým názvem, dojde k přetečení zásobníku a následné možnosti spuštění libovolného kódu. Podle původního ohlášení se nejedná o nikterak závažnou zranitelnost, jelikož pro její zneužití uživatel musí ručně přidat soubor do již speciálně upraveného archívu. Chyba byla potvrzena pro PowerArchiver verze 9.62.03 a doporučené řešení spočívá v aktualizaci na variantu 9.63.
Další informace: Vuln.sg

Symantec Brightmail AntiSpam

Verze: všechny
Riziko: střední riziko (střední)
V produktu Brightmail AntiSpam od společnosti Symantec se nachází vícero zranitelností, jež jsou zneužitelné v podobě „shození“ jmenované aplikace (DoS), případně také získání některých původně nepřístupných informací. Jejich základ spočívá v nedostatečném ošetření názvů souborů zpracovávaných prostřednictvím DATABLOB-GET a DATABLOB-SAVE. Podle níže odkazovaného původního oznámení jsou postiženy všechny verze aplikace Symantec Brightmail AntiSpam.
Další informace: Symantec.com

Hromadná oprava Firefoxu

Populární webový prohlížeč Mozilla Firefox prošel pomyslnou ozdravnou kúrou v podobě velkého množství záplat. Celkem se jednalo o více než desítku různých oprav, jejich ucelený seznam je možné nalézt například na odpovídající stránce serveru Secunia.com – ta obsahuje také odkazy na původní oznámení pocházející z domovského serveru Mozilla.org. Popisované záplaty souvisejí kromě jiného s chybami při zpracování Javy a JavaScriptu, skriptů pro automatickou konfiguraci HTTP proxy serveru či zpracování specifických URI. Všechny odpovídající chyby jsou již opraveny v nové verzi Firefoxu, tedy variantě 1.5.0.5 – ke stažení.

Při pravidelném brouzdání zahraničními webovými stránkami s tématikou bezpečnosti je možné za uplynulý týden narazit například na následující zajímavé přírůstky:

Will Vista make you more secure? (Techrepublic­.com.com)
Popis nových bezpečnostních funkcí ve Windows Vista.

Spyware poses as Firefox extension (Theregister.co­.uk)
Spyware v podobě rozšíření Firefoxu?

6 Steps To Protect Your Wireless Network (Informationwe­ek.com)
Tipů pro zabezpečení bezdrátové sítě není nikdy dost – zde je dalších šest kroků na cestě k vysněnému cíli.

MIF17

Bezpečnostní software zdarma

Free Internet Eraser

Homepage: ke stažení na Slunečnici
Lupa hodnotí: 1749
Slunečnice hodnotí: Slunecnice 3

Free Internet Eraser

Podobně jako v minulém bezpečnostním sumáři se také řádky dnešního softwaru zdarma věnují mazání stop internetového surfování. Aplikace Free Internet Eraser potěší poměrně širokým spektrem možností nastavení odstraňovaných kategorií – uživatel má na výběr například i z některých systémových historií. Volitelně lze také konfigurovat automatické čištění při startu či vypnutí Windows, případně parametry bezpečného mazání jednotlivých souborů. Nechybí ani plánované čištění v předem stanovený čas, ovládání klávesovými zkratkami a nastavení výchozích proměnných Internet Exploreru.

Anketa

Jakým způsobem ve Windows pracujete s archívy ZIP?

Našli jste v článku chybu?