Aktuální bezpečnostní hrozby

Aktualizace pro Apple Firma Apple vydala bezpečnostní aktualizaci pro Mac OS X, která odstraňuje patnáct známých zrani...


Aktualizace pro Apple
Firma Apple vydala bezpečnostní aktualizaci pro Mac OS X, která odstraňuje
patnáct známých zranitelností. Ty mohou způsobit různé problémy od útoku typu
DoS přes spuštění nepřátelského kódu a eskalaci uživatelských práv až po buffer
overflow. Aktualizace se aplikuje hned na několik míst v systému (PHP modul
Apache, IPSec služby, WebKit nebo prohlížeč Safari) nejde tedy o chybu
ojedinělé vadné komponenty a záplaty je nutné aplikovat.

IBM WebSphere
Nově objevená chyba v IBM WebSphere Application Server znamená, že vzdálený
uživatel si za určitých okolností může zobrazit zdrojový kód JavaServer Pages
na cílovém systému (namísto toho, aby viděl jen zpracovaný výstup). Zasažené
jsou řada 5.0, verze 5.0.2.15, série 5.1 a konečně i varianta 5.1.1.9. Verze
6.0.2 a pozdější nejsou touto zranitelností zasaženy. Na chybu už byly vydány
záplaty, avšak pouze pro verze 5.0.2.16 a 5.1.1.10.

Internet Explorer
Další z řady problémů se objevil pro nejrozšířenější prohlížeč Internet
Explorer. Problém je v tom, že jistá funkce aplikace umožňuje při lokálním
sdílení zobrazovat pouze část obsahu složek. Útočník tak může nic netušícímu
uživateli ukázat složku, jejíž smazání následně způsobí, že dojde ke smazání i
složky (respektive složek) na lokálním počítači. Zranitelnost se týká plně
záplatovaného Internet Exploreru 6.0 a systému Windows XP SP2. Vzhledem k tomu,
že jde o poměrně krkolomný útok bez většího praktického přínosu, byl
Microsoftem klasifikovaný jako nízké riziko.

Chyby v Gallery
Software sloužící ke zveřejňování fotografií na webových stránkách Gallery
obsahuje několik zranitelností. Jednou z chyb je skutečnost, že pokud útočník
vloží do komentářů k fotografiím speciální kód, tak může dojít ke spuštění
malwaru v okamžiku, kdy si majitel galerie chce prohlédnout komentáře. Chybu
odstraňuje verze 2.0.3.

PHP Upload Center
Nově hlášená zranitelnost v PHP Upload Center je způsobena chybou v zacházení s
nahrávanými soubory v okamžiku, kdy soubor má několik přípon (respektive kdy
jeho název formát souboru pouze předstírá platná je totiž vždy pouze ta
poslední). Této chyby je možné zneužít k zavedení upravených PHP skriptů do
nahrávacích adresáře v rootu. Zranitelnost byla odhalena ve verzi 1.4, ale
zasaženy jsou i ty předcházející. Řešením je překonfigurovat soubor tak, aby
bylo zajištěno, že PHP skriptové soubory jsou korektně odmítnuty nebo umístěny
do adresáře mimo root webu. Žádná oficiální záplata nebyla v době uzávěrky
tohoto Computerworldu vydána.

Visual Studio
Zranitelnost ve Visual Studiu umožňuje vzdálené (neoprávněné) osobě spustit
škodlivý kód na zasaženém systému. Program totiž nezpracovává korektně obsah
databázových projektových souborů (.dbp) a souborů SLN. Útočník tak může
vytvořit kód, který vloží do jednoho z těchto souborů a jenž po jejich otevření
na zasaženém počítači způsobí přetečení zásobníku a následné spuštění útočného
programu. Ten bude spuštěn na úrovni práv zasaženého uživatele. V době uzávěrky
tohoto Computerworldu nebylo známo žádné řešení problému.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.