Bezpečnost

Internet Explorer Byly oznámeny dvě zranitelnosti, které v kombinaci s přispěním uživatele mohou vést ke kompromitaci...


Internet Explorer
Byly oznámeny dvě zranitelnosti, které v kombinaci s přispěním uživatele mohou
vést ke kompromitaci systému. Dle serveru secunia.com byla zranitelnost
potvrzena i na Microsoft Windows XP SP2 s nainstalovaným Internet Explorerem
6.0. Problém je obdobou díry "drag and drop" oznámené v půlce srpna, která byla
odstraněna říjnovou dávkou záplat společnosti Microsoft. Druhá zranitelnost
dovoluje obejití restrikcí v SP2 týkajících se zóny Local Computer (místní
počítač).

Sun J2ME
Adam Gowdiak oznámil dvě zranitelnosti v Sun Java 2 Micro Edition, které mohou
být zneužity ke kompromitaci systému. Za bezpečnostním problémem stojí chyba v
KVM (Kilobyte Virtual Machine), pomocí níž lze vykonat na napadeném systému
libovolný kód. Zranitelnosti byly testovány na mobilním telefonu Nokia DCT4.
Bylo ověřeno, že je možné ukrást z napadeného telefonu seznam kontaktů i došlé
SMS zprávy, posílat SMS apod. Ostatní mobilní telefony vybavené Javou mohou
vykazovat podobné bezpečnostní díry.

Antiviry a ZIP
Útočník může záměrně upravit soubory .zip a vložit do nich zákeřný kód tak, že
u některých antivirových produktů nedojde k jeho detekci. Postup je založen na
změně údaje o nekomprimované velikosti souborů v lokálních a globálních
hlavičkách .zip souborů. V původním oznámení Security Advisory 10.18.04
společnosti iDefense z 18. října najdete bližší informace a seznam produktů,
které v době testování byly zranitelné.

Kouzla se záložkami
Byly oznámeny bezpečnostní chyby hned v několika webových prohlížečích, které
dovolují neaktivní záložce zobrazit dialogový box, jenž lze podvrhnout jako box
patřící jiné záložce. Ke zneužití zranitelnosti je třeba, aby uživatel klikl na
odkaz na zákeřně upraveném webu, který v nové záložce otevře důvěryhodný web.
Zranitelnost, kterou zveřejnil server secunia.com, se týká webových prohlížečů
Opera, Mozilla/Mozilla Firefox/Camino, Safari, Netscape, Konqueror, Avant
Browser a Maxthon.

Veritas NetBackup
Výrobce oznámil zranitelnost dovolující vzdálenému autentizovanému útočníkovi
vykonávat na napadeném systému příkazy s právy roota. Za dírou stojí chyba v
Java GUI. Když se Java GUI připojuje k serveru, je na straně serveru
nastartován proces bpjava-susvc. Uživatel může předat tomuto procesu zákeřně
upravené příkazy. Bližší informace včetně postupu odstranění zranitelnosti
najdete v původním oznámení Document ID: 271727 na webových stránkách výrobce.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.