Bezpečnost

Mozilla Firefox Mozilla a Mozilla Firefox dovolují webovým serverům vkládat vlastní XUL (XML User Interface Language) so...


Mozilla Firefox
Mozilla a Mozilla Firefox dovolují webovým serverům vkládat vlastní XUL (XML
User Interface Language) soubory. Pomocí zákeřných XUL souborů lze podvrhnout
téměř vše, co uživatelé při práci s prohlížečem vidí (dialogy SSL certifikátů,
údaj URL, nástrojové lišty apod.).

Internet Explorer
Společnost Microsoft porušila zavedený měsíční cyklus uvolňování bezpečnostních
oprav a 30.7. vydala záplatu (Microsoft Security Bulletin MS04-025) pro
Internet Explorer. Záplata mimo jiné opravuje vážnou zranitelnost umožňující
pouhou návštěvou zákeřně upravených webových stránek spustit na napadeném
systému libovolný kód. Postup zneužití této zranitelnosti byl zveřejněn již
začátkem června, přičemž její zneužívání probíhalo pravděpodobně již v květnu.
Další dvě opravované zranitelnosti se týkají práce s BMP a GIF obrázky a jsou
rovněž vážného charakteru.

Check Point
Při sestavování šifrovaného spojení do VPN sítě může potenciální útočník využít
zranitelnosti v dekódovací knihovně ASN.1 u produktů obsahujících VPN-1 a
vyvolat buffer overflow, popřípadě kompromitovat systém. Přehled postižených
produktů a záplat odstraňujících uvedenou zranitelnost naleznete na webových
stránkách výrobce v oznámení s názvem ASN.1 Alert.

JSP Server Software
Uživatel Sun Java System Portal Server Softwaru může změnou voleb zobrazení
docílit získání neomezeného přístupu k datům Calendar Serveru. Zranitelné jsou
systémy, kde na Calendar Serveru je nastavena Admin Proxy Authentication a
přístup ke kalendáři je typu Portal, nikoliv Unified Web Client nebo Calendar
Web Client. Postižena je verze 6.2 (pro Solaris 8, 9). Bližší informace včetně
odkazu na záplatu, kterou najdete na stránkách výrobce v oznámení Sun Alert ID:
57586.

Opera
Byla oznámena zranitelnost webového prohlížeče Opera umožňující zobrazit jiný
URL údaj než ten patřící skutečně zobrazené stránce. Pokud je stránka otevřena
pomocí window.open a následně načtena jiná stránka pomocí funkce
location.replace, je zobrazen URL údaj první stránky a obsah druhé.
Zranitelnost byla potvrzena ve verzi 7.53.

IBM http Server
Koncem června oznámená zranitelnost Apache má dozvuky u IBM HTTP Serveru.
Postiženy jsou verze IBM HTTP Server 2.0.42.x a IBM HTTP Server 2.0.47.x.
Podrobnější informace včetně postupu záplatování najdete na webových stránkách
výrobce v oznámení Potential denial of service exposure through memory
exhaustion and buffer overflow for all current versions of IBM HTTP Server
based on Apache HTTP Server Version 2.0.

Mozilla, Mozilla Firefox
Je možné vytvořit webové stránky, které zneužijí certifikát jiných WWW stránek.
Ikona zámku obsahuje informace o zneužitém certifikátu, zobrazená URL v
prohlížeči však správně ukazuje na zákeřně upravené stránky. Dle Secunie byla
zranitelnost potvrzena u Firefoxu 0.9.2 a Mozilly 1.7.1 na platformě Microsoft
Windows a u Firefoxu 0.9.1 na Linuxu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.