Bezpečnost

Winamp Ve Winampu byla nalezena zranitelnost dovolující vzdálenému útočníkovi vykonat kód na napadeném systému. Na ...


Winamp
Ve Winampu byla nalezena zranitelnost dovolující vzdálenému útočníkovi vykonat
kód na napadeném systému. Na vině je chyba při zpracování Winamp skin zip
souborů (.wsz). Ke skutečně efektivnímu zneužití je potřeba mít nainstalovaný
Internet Explorer. Dle společnosti Secunia byla zranitelnost potvrzena na
stroji s Winampem 5.04, Internet Explorerem 6.0 a Windows XP SP1. Byl zveřejněn
postup zneužití. Výrobce uvolnil verzi 5.05, která již zranitelná není.

Cisco IOS a DoS
Zařízení Cisco provozující Internetwork Operating System (IOS) s povoleným Open
Shortest Path First (OSPF) protokolem umožňují uskutečnění DoS útoku pomocí
zákeřně upraveného OSPF paketu. OSPF protokol není implicitně povolen. Původní
oznámení výrobce Document ID: 61365 přináší seznam postižených verzí a
zařízení. Rovněž obsahuje postup záplatování.

NNSS
Společnost Internet Security Systems (ISS) oznámila zranitelnost v knihovně
Netscape Network Security Services umožňující vzdálenému neautentizovanému
útočníkovi vykonání kódu na napadeném systému při použití protokolu SSLv2.
Knihovna je používána například v Netscape Enterprise Serveru a Sun One.

Cisco IOS
Vzdálený uživatel může pomocí zákeřného TCP spojení na telnet nebo reverse
telnet port uskutečnit DoS útok. Výsledkem je stav, kdy zařízení není schopno
uskutečnit další telnet, reverse telnet, RSH nebo SSH spojení. V některých
případech může dojít i k odmítání dalších HTTP spojení. Zranitelnost především
omezuje možnost vzdálené správy zařízení. Bližší informace včetně možných
postupů omezení zneužití zranitelnosti najdete v původním oznámení Document ID:
61671 dostupném na webových stránkách výrobce.
Zařízení Cisco provozující IOS s povoleným Open Shortest Path First (OSPF)
protokolem rovněž umožňují uskutečnění DoS útoku pomocí zákeřně upraveného OSPF
paketu. OSPF protokol není implicitně povolen. Zpráva Document ID: 61365
přináší seznam postižených verzí a zařízení a obsahuje rovněž postup
záplatování.

Cisco Secure ACS
Výrobce oznámil několik zranitelností v produktech Cisco Secure Access Control
Server for Windows a Cisco Secure Access Control Server Solution Engine. Cisco
Secure ACS pro Unix není zranitelný. Vzdálený útočník může vykonat DoS útok,
úspěšně projít autentizací beze znalosti hesla či získat přístup k
administrátorskému rozhraní. Bližší informace včetně postupu záplatování
přináší oznámení výrobce Document ID: 61603.

Internet Explorer
Byla oznámena zranitelnost webového prohlížeče MS Internet Explorer umožňující
vzdálenému útočníkovi v konečném důsledku vykonání libovolného kódu pomocí
umístění spustitelného programu do startup adresáře. Nutná je spolupráce
uživatele, která může spočívat pouze v jediném kliknutí. Dle Secunie byla
zranitelnost potvrzena i na plně záplatovaném systému Win XP SP1 i SP2 s
Internet Explorerem 6.0. Řešením je vypnutí aktivního skriptování.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.