Tři důležité aktualizace: QuickTime, Chrome, Adobe Reader

18. 9. 2010

Sdílet

Apple konečně vydal opravu pro kritickou bezpečnostní zranitelnost v přehrávači QuickTime. Záplata také řeší problém umožňující útočníkovi podvrhnout falešnou knihovnu DLL.

Nová verze přehrávače má číslo 7.6.8 (vydán pouze pro Windows). Opraven byl také zranitelný plug-in QuickTime pro Internet Explorer.

Apple byl na problém upozorněn již před několika měsíci společností TippingPoint. Možné zneužití zranitelnosti bylo před několika dny objeveno/publikováno nezávisle. Uživatelé by měli být na aktualizace upozorněni automaticky.

Viz také: V přehrávači QuickTime je kritická chyba, Apple měl na opravu dva měsíce

 

Google vydává aktuální verzi prohlížeče Chrome číslo 6.0.472.59. Je to již druhá várka záplat v tomto měsíci. Celkem bylo vydáno 10 oprav, byť kritická má být podle Googlu pouze 1 z nich (a to ve verzi pro MacOS X). Podrobnosti o zranitelnostech Google nezveřejňuje, známo je ovšem, že chyba byla např. v parseru pro zpracování formátu SVG a v práci s geografickými informacemi v aplikacích typu Google Maps: zranitelné bylo v tomto případě API, přes které bylo možné vyvolat porušení paměti. Nálezci zranitelností tentokrát od Googlu získali celkem 4 000 dolarů.

Uživatelé stabilní nebo beta verze získají aktualizace automaticky. Google současně oznámil, že asi za 2 měsíce by měl být vydán Chrome ve verzi 7.

 

Adobe zřejmě vydá opravu kritických zranitelností v Acrobatu a Readeru až asi za 3 týdny. Do té doby nabízí ochranu jinak neznámá bezpečnostní firma RamzAfzar. Záplatu lze stáhnout z jejího webu (https://www.rafzar.com/node/22). Má podobu aktualizované knihovny CoolType.dll (CoolType je technologie Adobe pro vykreslování fontů), kterou se přepíše knihovna původní.

Samotná Adobe přirozeně není nadšena a nasazení cizí knihovny nedoporučuje.

Ať tak či onak, pozor na PDF soubory z neznámých zdrojů. Exploit se v tomto případě provádí hlavně pomocí příloh e-mailu a je značně sofistikovaný, dokáže obejít i bezpečnostní mechanismy Windows (DEP a ASLR).

bitcoin školení listopad 24

Viz také: Nástroj Microsoftu proti kritické chybě v Adobe Readeru