Aktuální bezpečnostní hrozby

Čtyřikrát od Microsoftu Bezpečnostní bulletin MS06-014 od Microsoftu opravuje chybu v MDAC (Microsoft Data Access Compon...


Čtyřikrát od Microsoftu
Bezpečnostní bulletin MS06-014 od Microsoftu opravuje chybu v MDAC (Microsoft
Data Access Components), která může vést ke spuštění útočného kódu na
zasažených systémech (Windows 2000, Server 2003 a XP). Bulletin MS06-015 naopak
řeší spouštění nekorektního kódu zasaženou aplikací je tentokrát Windows
Explorer (chyba zasahuje Windows 98, Me, 2000, XP a Server 2003). Zbývající dvě
aktualizace se týkají Outlook Expressu (MS06-016) a FrontPage Server (MS06-017).

Zranitelnost v PHPlistu
Kritická zranitelnost byla objevena v aplikaci PHPlist, což je webový software
pro řízení newsletterů. Chyba může vzdálenému uživateli dovolit spustit
škodlivý kód a kompromitovat bezpečnost systému. Problém spočívá v absenci
ověřování nebo normalizace dat získávaných přes některé vstupní parametry (což
je mimochodem typická a známá zranitelnost ve webových aplikacích a je možné ji
zneužít například pro útok typu SQL injection v on-line fórech). V případě
PHPlistu jsou zasaženy parametry "database_module" a "language_module". Pokud
je povolena volba "register_globals", vzdálený uživatel může sestavit URL,
které dovoluje spuštění škodlivého kódu z určité lokality na zranitelném
serveru s PHPlist aplikací. Zasažena je verze PHPlist 2.10.2 a předchozí. Než
bude vydána nová verze nebo záplata (v době uzávěrky tohoto Computerworldu se
tak ještě nestalo), doporučujeme uživatelům vypnout volbu "register_globals"
nebo modifikovat kód tak, aby filtroval či upravoval nekorektní parametry.

Linuxové jádro
Nově objevená zranitelnost v linuxovém jádře může vytvořit podmínky ke vzniku
lokálního DoS útoku. Zranitelnost je ve funkci "_keyring_search_one()", která
nedostatečně ověřuje "keyctl" při přidávání klíče což právě může být zneužito
zlomyslným uživatelem k DoS útoku. Chyba byla potvrzena ve verzích 2.6.16.2 a
předchozích a 2.6.17-rc1 a starších. Řešením problému je nahrát si ze stránky
www.kernel.org nejnovější verzi jádra 2.6.16.3.

Oracle Database
Nová zranitelnost v aplikaci Oracle může znamenat pro vzdáleného uživatele s
alespoň minimálními právy schopnost provést neautorizované změny v obsahu
databáze. Neautorizovaný uživatel s právy "select" může díky této chybě
vkládat, aktualizovat a mazat data za pomoci speciálně vytvořeného kódu. Přesný
dopad zranitelnosti záleží na konkrétní instalaci aplikace. Oracle vydal
doporučení 363848.1 ve znalostní bázi Oracle Metalink s detaily problémy a
modelovým útokem, který zasahuje verze od 9.2.0.0 do 10.2.0.3.

Děravý Firefox
Oznámena byla celá řada chyb v internetovém prohlížeči Firexof, které mohou být
zneužity k phishingu, obejití bezpečnostních opatření, získání citlivých
informací, kompromitaci systému a podobně. Rozepisování všech chyb přesahuje
možnosti tohoto příspěvku, protože jen sdružení Secunia jich napočítalo 21.
Proto se doporučuje aktualizovat na verzi 1.0.8 nebo 1.5.0.

Opera a CSS
Nejnovější zranitelnost v prohlížeči Opera je hodnocena jako "kritická".
Útočník díky ní může získat úplnou kontrolu nad zasaženým systémem, a to vinou
buffer overflow při použití velmi dlouhých atributů CSS (Cascading Style
Sheets). Pomocí speciálních webových stránek tak lze na zasaženém počítači
spustit agresorovy příkazy. Zasažena je verze Opery 8.53 a předchozí řešením je
přejít na verzi 8.54.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.