Aktuální bezpečnostní hrozby

Exchange Server Microsoft vydal v květnu tři nové bezpečnostní záplaty, přičemž dvě z nich jsou hodnocené jako kri...


Exchange Server
Microsoft vydal v květnu tři nové bezpečnostní záplaty, přičemž dvě z nich jsou
hodnocené jako kritické (umožňují dálkové spuštění škodlivého kódu). První
zranitelnost zasahuje produkt MS Exchange Server ve verzích 2000 a 2003.
Útočník kvůli ní může zneužít zranitelnost k převzetí kompletní kontroly nad
postiženými servery včetně možnosti instalace svých programů, zobrazováním,
modifikací či mazáním dat nebo vytvářením nových účtů s maximálními právy.
Druhá aktualizace opravuje další kritickou zranitelnost, přičemž její dopady
jsou stejné jako v předchozím případě. Detekovaná je v softwaru Macromedia
Flash Player distribuovaném společně s Windows XP a Internet Explorerem SP1 pro
Windows 98, 98 SE a Me. Poslední zranitelnost je z hlediska nebezpečnosti
považována za středně nebezpečnou. Její zneužití může vést až k odepření
služby. Zasahuje systémy Windows 2000 SP 4, Windows XP SP1 a 2, Windows Server
2003 a konečně Windows Server 2003 pro Itanium.

Zranitelný QuickTime
Několik zranitelností bylo odhaleno v aplikaci QuickTime. Ty mohou být útočníky
zneužity ke kompromitaci napadeného systému. Mezi zranitelnostmi je třeba
možnost "shození" aplikace pomocí speciálně upraveného obrázku formátu JPEG
nebo filmu typu MPEG-4. Řešením problémů je přechod na verzi 7.1.

Mozilla Firefox
Debian vydal aktualizační balíčky pro zranitelnost identifikovanou v linuxové
verzi prohlížeče Mozilla Firefox. Chyba může být zneužita vzdálenými útočníky k
převzetí kontroly nad napadeným systémem. Zasaženy jsou produkty Debian
GNU/Linux stable (sarge) a Debian GNU/Linux unstable (sid).

Sun Solaris Xorg
Firma Sun potvrdila zranitelnost v Xorgu, jednom z X Window serverů dostupných
pro platformu x86. Vzdáleně zneužitelná chyba vychází z přetečení zásobníku při
požadavcích RenderComposite TriStrip a XrenderComposite TriFan selhává ve
chvíli, kdy je změněn charakter ("&" namísto "*") výpočtu rozdělení paměti.
Výsledkem je vytvoření bufferu, jenž je příliš malý k uložení požadavků
parametru to vede k přetečení zásobníku. Sun doporučuje kromě aplikace patche i
přidat do souboru xorg.conf(4) následující možnosti:
Section "Extensions"
Option "RENDER" "disable"
EndSection

Mac OS X
Hned 25 chyb opravuje bezpečností aktualizace 2006-03 pro Mac OS X. Dosah
zranitelností je různý (například možnost spuštění škodlivého kódu po zobrazení
modifikovaného souboru GIF nebo TIFF, chyba v antivirovém řešením ClamAV zase
umožňuje spouštět útočné programy apod.), nicméně celá bezpečnostní aktualizace
má hodnocení jako "vysoce kritická".

VeriSign I-Nav ActiveX
Zranitelnost ve VeriSign I-Nav ActiveX ovladači může být zneužita vzdálenými
útočníky k převzetí kompletní kontroly nad postiženým systémem. Chyba je v
rutině "InstallProduct", která nedostatečně ověřuje soubory formátu Microsoft
Cabinet (.cab), což může být útočníky zneužito ke spuštění kódu na zasaženém
počítači poté, co uživatel navštíví speciálně naformátovanou webovou stránku.
Řešením je přechod na nejnovější verzi softwaru.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.