Aktuální bezpečnostní hrozby (zranitelnosti a chyby softwaru)

Jaká jsou současná rizika ohledně využívaní některých softwarových řešení či jiných služeb ukazuje naše nová pravidelná rubrika.


 

Cisco WLC
Wireless LAN Controller (kontrolér bezdrátových sítí LAN) od firmy Cisco obsahuje chybu, při jejímž zneužití může vzdálený uživatel modifikovat konfiguraci a získat tak kompletní kontrolu nad zasaženým systémem. K zneužití chyby dojde tak, že vzdálený uživatel pošle speciálně formátované požadavky přes http nebo https administrátorskému rozhraní, které je zpracuje a odpovídajícím způsobem upraví konfigurace. Zranitelnost se týká verzí od 4.1 do 4.2.205.0 a od 5.0 do 5.2.191.0, přičemž zasahuje hardware sérií Cisco 1500, 2000, 2100, 4400, 4100 a 4200. Stejně tak se problém týká modulů WiSM, WLC a integrovaných ovladačů Cisco Catalyst 3750G. Zasaženy nejsou verze 6.0 a ovladače řady 5500. Výrobce již vydal opravu.

OpenSolaris
Nově objevená chyba v softwaru OpenSolaris znamená, že vzdálený (privilegovaný) autentizovaný uživatel může způsobit stav DoS (Denial of Service, odepření služby). Stačí, aby poslal speciálně označené pakety, které následně způsobí systémovou „paniku" - a kolaps programu. Problém se týká jen verze 10, přičemž aktualizace je již k dispozici.

Microsoft IE
Několik zranitelností je hlášeno v prohlížeči Microsoft Internet Explorer. Ty mají nejrůznější dopad, přičemž nejzávažnějším projevem může být spuštění škodlivého kódu na zasaženém systému. Kód se přitom skryje do modifikované webové stránky, která po zobrazení umožní napadení. Chyba se týká prohlížečů verze 5.01, 6, 6 SP1, 7 i 8 a je aktivně zneužívaná. Proto výrobce již vydal příslušné aktualizace.

Mozilla Firefox
Verze 3.5.1 a předchozí Mozilly Firefox obsahují zranitelnost, s jejíž pomocí může útočník podvrhnout URL s pomocí speciálně upravených HTML kódů. Ty po zobrazení v prohlížeči nahrají URL obsahující neplatný znak, takže je zobrazená pouze část URL odkazu. Prohlížeč pak spustí obsah stránky se škodlivým kódem namísto toho, aby zobrazil chybové hlášení o tom, že nejde o korektní odkaz. Chyba je aktivně zneužívaná, v době uzávěrky tohoto Computerworldu na ni ovšem neexistovala oprava.

Adobe Flash
Několik zranitelností bylo objeveno v aplikaci Adobe Flash. Vzdálený agresor může s jejich pomocí spustit škodlivý kód na cílovém systému a následně získat přístup k citlivým informacím. Stane se tak poté, co útočník vytvoří modifikovaný flashový obsah nebo URL, které po spuštění na zranitelném systému spustí předpřipravený malware. Ten pak běží s právy aktuálně přihlášeného uživatele. Problém se týká verzí 9.0 až 9.0.159.0 a 10.0 až 10.0.22.87, oprava již byla výrobcem vydána.

Apple iPhone
Verze 3.0 a předchozí Apple iPhone obsahují zranitelnost, s jejíž pomocí může útočník spustit škodlivý kód na cílovém systému. Stačí, aby útočník poslal sérii speciálních SMS zpráv, které budou obsahovat inkriminovaný kód. Chyba se nachází v řídící aplikaci SpringBoard a procesu CommCenter. Chyba se týká verzí 3.0 a dřívějších, výrobce již vydal opravenou verzi 3.0.1 (je dostupná skrze iTunes, nikoliv přes Software Update nebo přímé stažení).

 











Komentáře