Bezpečnostní aktuality
Kaspersky AntiVirus
Verze: 6.0
Riziko: (vysoké)
V antivirovém programu Kaspersky AntiVirus byla objevena významná zranitelnost, která případnému úspěšnému útočníkovi dokáže zajistit až vzdálené spuštění vlastního kódu. Na vině je chyba v zahrnutém ovládacím prvku v souboru AxKLSysInfo.dll, přesněji jeho metodě StartUploading dovolující přenos libovolného souboru z počítače oběti pomocí protokolu FTP. Jedinou podmínkou pro zneužití je návštěva speciálně upravené webové stránky, větší interakce se od uživatele nevyžaduje.
Další informace: Idefense.com
MyBB
Verze: 1.x
Riziko: (vysoké)
Jak se můžete dočíst na webových stránkách níže odkazovaného bezpečnostního serveru Secunia, je aplikace MyBB náchylná na útoky typu SQL injection. Problém spočívá v nedostatečné kontrole vstupu předávaného pomocí Client-IP v souboru index.php a v nejhorším případě může vést až k nahrání vlastních PHP souborů a spuštění vlastního kódu. Doporučené řešení spočívá v přechodu na MyBB verze 1.2.4.
Další informace: Secunia.com
IrfanView
Verze: 3.99
Riziko: (vysoké)
Není tomu tak dlouho, co se diskutovalo o staronové kritické zranitelnosti systému Windows, která kvůli nesprávné práci se speciálně upravenými soubory animovaných kurzorů dovolovala spustit libovolný kód. Podobně je na tom také aplikace IrfanView, jež podlehne při otevření souboru ANI – na níže odkazovaných webových stránkách je k dispozici zdrojový kód, který zneužitím spustí calc.exe.
Další informace: Milw0rm.com
Bezpečnost na Lupě
Ani minulý týden samozřejmě nesmělo chybět aktuální pokračování pravidelného bezpečnostního sumáře, tentokráte pod názvem Bezpečnost v uplynulém týdnu: chyby kancelářských balíků a přenosná hesla. Zprávička I Firefox opraví chybu s animovanými kurzory přinesla informace o další aplikaci, která si kvůli známé chybě vyžádá opravu. O ilegálních licencích jste se mohli dočíst v Microsoft se zaměřuje na další podvodníky s licencemi a konečně například příspěvek Server YouTube je nově blokován také v Thajsku se zaměřil na východoasijskou národní cenzuru.
Jestliže raději prolistujete obsahy příspěvků zahraničních serverů, můžete vyzkoušet například následující:
Five best practices for mitigating zero-day threats like Windows ANI (Computerworld.com)
Jak čelit takzvaným zero-day útokům.
2006 Operating System Vulnerability Study (Schneier.com)
Bruce Schneier k předlouhé analýze bezpečnosti systému v rámci zranitelností roku 2006.
Britney fears used as ANI exploit lure (Theregister.co.uk)
A aby zneužití zranitelnosti animovaných kurzorů nebylo málo.
Bezpečnostní software zdarma
IEasy Cleaner
Homepage: Truecrypt.org, ke stažení na Slunečnici
Lupa hodnotí:
Slunečnice hodnotí:
V minulém týdnu v rámci bezpečnostního softwaru na stránky serveru Slunečnice.cz přibyl například jednoduchý program IEasy Cleaner 2.5, jenž slouží pro základní odstranění historie webového surfování. Důraz je zde skutečně kladen na jednoduchost a základní smazání, jelikož je podporován pouze prohlížeč Internet Explorer a program vlastně nahrazuje základní čištění přímo z něj. Odstranit tak lze historii navštívených stránek, cookies nebo dočasně uložené soubory. Další nástroje a postupy pro zabezpečení nejen zdarma můžete najít například v knize 333 tipu a triku pro Internet.