Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Firefox a Mozilla Suite<br />
Osm nových zranitelností<br />
Těsně před uzávěrkou byla<br />
objevena v produktech nadace<br />
Mozilla řada nových bezpečnostních<br />
děr. Jedná se o produkty<br />
Mozilla Firefox ve verzi<br />
1.5 a nižší, Mozilla Suite verze<br />
1.7.12 a nižší, Mozilla Thunderbird<br />
verze 1.5 a nižší<br />
a Mozilla SeaMonkey do verze<br />
1.0 včetně.<br />
První chyba je v javascriptovém<br />
enginu a týká se nedostatečné<br />
ochrany dočasných proměnných.<br />
Druhá chyba<br />
nastane při dynamické změně<br />
stylu elementů z „position:relative“<br />
na „position:static“. Třetí<br />
chyba vznikne při načítání<br />
stránky s extrémně dlouhým<br />
názvem a může způsobit pád<br />
nebo několikaminutové zamrznutí<br />
aplikace.<br />
Čtvrtá chyba nastane při<br />
volání metody „QueryInterface“<br />
zabudované v objektech „Location“<br />
a „Navigator“. Špatně<br />
ošetřená jména atributů při<br />
volání XULDocument.persist()<br />
může způsobit pátou zranitelnost,<br />
kterou může útočník zneužít<br />
k vložení libovolného XML<br />
či javascriptového kódu do<br />
„localstore.rdf“, kde bude při<br />
příštím startu automaticky<br />
spuštěn. Šestá zranitelnost je<br />
typu integer overflow v E4X,<br />
SVG a Canvasu.<br />
Sedmou chybu má na svědomí<br />
XML parser a může způsobit<br />
přetečení bufferu a pád<br />
počítače.<br />
Poslední, osmá chyba je<br />
v implementaci E4X v objektu<br />
„AnyName“. Dopad zranitelnosti<br />
je velmi různorodý, od totální<br />
kompromitace systému až po<br />
pád aplikace či obejití bezpečnostních<br />
nastavení. Záplaty<br />
jsou již k dispozici. Přímé odkazy<br />
na podrobné informace<br />
o chybách:<br />
www.mozilla.org/security/ann<br />
ounce/mfsa<strong>2006</strong>-01.html až<br />
www.mozilla.org/security/ann<br />
ounce/mfsa<strong>2006</strong>-08.html<br />
Info: zpravy.actinet.<strong>cz</strong><br />
Apple<br />
iTunes a Quicktime s problémy<br />
V „applovském“ softwaru se množí<br />
chyby, a to jak pod Windows, tak i<br />
pod Mac OS. Útočníci tak teoreticky<br />
mohou v Quicktime 7.0.3 a v iTunes<br />
6.0.1 využít „buffer overflow“ ke<br />
spouštění vlastních programů na<br />
cizích počítačích. Kdo dosud používá<br />
iTunes 5, vystavuje se dalšímu nebezpečí<br />
útoku: ve staré verzi by hacker<br />
mohl svůj záškodnický program spustit<br />
přes rutinu iTunes Helper. Přinejmenším<br />
tuto mezeru odstraní update<br />
na iTunes 6. Pro buffer overflow ve<br />
verzi 6 však do naší uzávěrky nebyla<br />
žádná oprava od Applu k dispozici.<br />
Info: www.apple.com/support/<br />
C H I P B Ř E Z E N 2 0 0 6