Antivirus Avast!

Internet Explorer Několik nových zranitelností oznámených v Microsoft Internet Exploreru 6 může způsobit pád prohlí...


Internet Explorer
Několik nových zranitelností oznámených v Microsoft Internet Exploreru 6 může
způsobit pád prohlížeče nebo jeho "zatuhnutí" jde tedy o útok typu DoS
(Denial-of-Service, odepření služby). V tomto případě jsou na všechny
zranitelnosti už veřejně na internetu dostupné koncepce útoku. V době uzávěrky
tohoto Computerworldu nebyla záplata vydána, řešením je jedině nasazení
proaktivních technologií.
Router D-Linku
Zranitelnost v routeru D-Link DSA-3100 znamená, že vzdálený útočník může
provést útok typu cross-site skripting. Problém spočívá v tom, že
"login_error.shtml" skript nekorektně filtruje HTML kód ze vstupu v "uname"
parametru. Vzdálený uživatel tak může vytvořit speciální adresu URL, která když
je nahrána cílovým uživatelem, způsobí spuštění škodlivého skriptovacího kódu.
Výsledkem je, že kód je schopen přistupovat k uživatelským cookies (včetně těch
autentizačních). Útočník může v konečném důsledku na zařízení vykonat akce, při
kterých se tváří jako oprávněný uživatel.
WeOnlyDo! SFTP
ActiveX komponenta WeOnlyDo! SFTP (Secure File Transfer Protocol) je implicitně
považována za bezpečnou pro skriptování. A díky této vlastnosti ve spojení s
nově objevenou zranitelností může útočník uploadovat nebo downloadovat soubory
mezi zranitelným systémem a SFTP serverem. WeOnlyDo! je komponenta, která
umožňuje spojení SFTP pro šifrovaný přenos souborů. Problém spočívá v tom, že
každá navštívená webová stránka může ActiveX označené jako bezpečné ke
skriptování volat a používat bez potřeby dalšího souhlasu. To v důsledku
znamená, že útočník může navrhnout webovou stránku, která při zobrazení
automaticky přenáší soubory mezi webem a SFTP serverem. Řešením je vypnout
příslušný ovladač v Internet Exploreru.
Chyba v DokuWiki
Zranitelnost reportovaná v systému DokuWiki znamená, že vzdálený uživatel může
vložit a na cílovém systému vykonat škodlivý PHP kód. Na uvedenou chybu byla
vydána nejen záplata, ale zranitelný software byl i upgradován.
Zranitelnost v AWStats
Analyzátor logů AWStats ve verzi 6.5 (a také ve všech předchozích) obsahuje
chybu, která může být útočníkem zneužita k překonání nastavených bezpečnostních
restrikcí a také k následnému spuštění (škodlivých) příkazů na zasaženém
systému. Produkt slouží mimo jiné ke grafickému zpracování výstupů z webových,
FTP a e-mailových serverů jedná se tedy o aplikaci, která bezprostředně
neohrožuje bezpečnost systému a přesto se může podle některých odborníků stát
jeho Achillovou patou.
Chyba je způsobena nekorektním ověřením ve skriptu "awstats.pl", který nemůže
ověřit parametry "configdir" a "config" ještě před tím, než jsou použity k
nahrání konfiguračního souboru. A právě to může být zneužito útočníkem k
nahrání škodlivého souboru a jeho následnému spuštění přes konfigurační
direktivu LogFile. V době uzávěrky nebyla zveřejněna oprava.
(pal) 6 0950

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.