Aktuální bezpečnostní hrozby (zranitelnosti a chyby softwaru)

Jaká jsou současná rizika ohledně využívání některých softwarových řešení či jiných služeb ukazuje naše pravidelná rubrika.


Sun Management Center

Kvůli chybě ve verzích 3.6.1 a 4.0 aplikace Sun Management Center může vzdálený útočník provést útoky XSS (cross-site scripting). Problém spočívá ve skutečnosti, že logování nedostatečně filtruje uživatelem dodané vstupy předtím, než je zobrazí. V nich tak mohou být i škodlivé kódy, které jsou následně spuštěné v prohlížeči – budou přitom aktivované v bezpečnostním kontextu aktuální webové stránky. Důsledkem případného útoku je, že agresor získá přístup k cookies (včetně těch autentizacích), datům vkládaným do formulářů na webu nebo na dotyčné stránce může vykonávat úkony vydávaje se za cílového uživatele. Příslušná aktualizace již byla vydána.

Oracle Industry Applications

Několik zranitelných verzí a více objevených chyb – to je poměrně obšírná specifikace problému, který postihl řešení Oracle Industry Applications. Jejich společným důsledkem je ovšem neoprávněná modifikace dat v rámci cílové aplikace. Po instalaci dubnového záplatovacího balíčku popsaného v Critical Patch Update by měl být problém odstraněn.

F-Secure Internet Security

Vzdálený a neoprávněný uživatel může v případě programu F-Secure Internet Security ve verzi 2010 a dřívějších obejít antivirovou ochranu. Zneužití chyby je přitom poměrně jednoduché: stačí, aby útočník lehce modifikoval jinak běžně rozšířené archivní formáty 7z, gzip, ca a rar – a v nich obsažené škodlivé kódy nebudou detekovány. Výrobce již vydal příslušnou aktualizaci aplikace, která by měla být stažena a nainstalována společně s pravidelnými aktualizacemi virových databází. Problém se týká i některých dalších verzí bezpečnostních programů od F-Secure (Antivirus, Gatekeeper): ale i v jejich případě by již měl být vyřešen.

Adobe Reader

Několik zranitelností, které mohou způsobit aktivaci škodlivého kódu na zasaženém systému, je přítomno v aplikaci Adobe Reader 9.3.1 a předchozích verzích. Princip útoku přitom není nikterak složitý: stačí, aby agresor vytvořil modifikovaný PDF soubor, jehož nahrání způsobí přetečení zásobníku (buffer overflow) s konečným možným důsledkem v podobě spuštění škodlivého kódu. Ten poběží s právy aktuálně přihlášeného uživatele. Výrobce již vydal opravenou verzi aplikace (9.3.2).

IBM Systems Director

Lokální uživatel může bez jakéhokoliv oprávnění zvyšovat svá práva: alespoň v případě systému IBM Systems Director a jeho agentského softwaru verze 6.1.2. Udílení souhlasu totiž není v případě některých souborů korektním, čehož může uživatel „svépomocí“ zneužít. V konečném důsledku to představuje třeba možnost spuštění škodlivého kódu s vyššími právy. Výrobce již vydal příslušnou aktualizaci (APAR PM08236) a oprava je zařazena i v novém balíčku agentského programu 6.1.2.3.

Mozilla Firefox

Ve verzích 3.6 až 3.6.2 prohlížeče Mozilla Firefox lze nalézt chybu: projevuje se po nahrání modifikovaného HTML souboru, který způsobí porušení paměti a spuštění škodlivého kódu na zasaženém systému. Ten bude spuštěný s právy aktuálně přihlášeného uživatele. Oprava (verze 3.6.3) je již k dispozici.Komentáře