var BrothersNames = new Array("DOS ·toky proti Napsterov²m potomk∙m","ProΦerviv∞lΘ IISky utahat k smrti ?!","BezpeΦnostnφ workshop : MikulßÜskß kryptobesφdka","Oracle9iAS Web Cache buffer overflow","AES mß zelenou","Novß chyba ve WMP","╚eskΘ freemaily : jedna dφra za druhou !","Omluva za nedostupnost Krypty","PHP 4.x problΘm na unixech, v∞tÜφ problΘm na Windows","sudo nedostateΦn∞ Φistφ prost°edφ","Tiny Personal Firewall zφskal jako prvnφ certifikßt ICSA","Root pφÜe o IDS","zlib/libz lze zneu₧φt","Nejpou₧φvan∞jÜφ heslo je password","BezpeΦnostnφ aktuality","OpenWeekend","Internet banking jen pro IE ?!","Studie: d∞rav² BIND stßle pu₧φvßn","DivX na XBoxech?","VPNka o 100% za 4 roky","Fake IIS na Apachi ;-)","Nezßvisl² fix na Gopher bug v IE","Ach jo...","Vß₧n² remote buffer overrflow ve Win NT4&2k/IIS","Jak dßl se superbezpeΦn²m Linuxem?","CRYPTO-GRAM 6/02","Vydr₧el RoBoX?","Apache encoding flaw?","{Exploit k Apache 'chunking' vulnerabil...}","Krypta o prßzdninßch","Omluva","Autentizujte se prosφm","");
var BrothersIDs = new Array("66","67","72","73","97","99","115","119","120","121","129","133","164","174","180","188","189","194","196","197","199","200","201","203","204","206","208","209","212","213","214","227","");
</SCRIPT><A Name="Title1"><FONT Size=3><DIV Class=Headline>DMCA je nejspφÜ mφn∞no vß₧n∞</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Americk² federßlnφ soud zamφtl nßvrh stßhnout ob₧alobu firmy ElcomSoft v prvnφ soudnφ p°i podle kontroverznφho zßkona Digital Millennium Copyright Act (DMCA). V pr∙b∞hu p°edb∞₧nΘho lφΦenφ prßvnφci zmi≥ovanΘ firmy argumentovali tφm, ₧e program "ElcomSoft's Advanced eBook Processor", kter² dokß₧e obejφt slab² bezpeΦnostnφ mechanizmus ochrany autorsk²ch prßv v elektronick²ch knihßch je legßlnφ v Rusku a byl distribuovßn p°es internet. Z tohoto d∙vodu mß b²t ob₧aloba p°ed americk²m soudem bezp°edm∞tnß, co₧ ovÜem soudce Judge R. Whyte zamφtl s od∙vodn∞nφm, ₧e se server fyzicky nachßzel ve Spojen²ch stßtech, zßkaznφci si tudφ₧ objednßvali produkt ze Spojen²ch stßt∙ a zisk Üel do rukou spoleΦnosti, kterß sφdlφ ve Spojen²ch stßtech.
Mno₧stvφ bezpeΦnostnφch chyb v IIS Φekalo na masivnφ update napravujφcφ deset nov∞ objeven²ch bezpeΦnostnφch problΘm∙ IIS (Internet Information Server). T²kß se vÜech verzφ serverovΘho softwaru, tedy IIS - 4.0, 5.0 i 5.1. Microsoft doporuΦuje vÜem u₧ivatel∙m t∞chto produkt∙, aby okam₧it∞ stßhli a instalovali tuto opravu.
Microsoft vydal dalÜφ kumulativnφ balφk oprav pro Internet Explorer. Jsou jφm opravovßny chyby nejr∙zn∞jÜφho ra₧enφ, p°edevÜφm manipulace s bezpeΦnostnφmi z≤nami, neoprßvn∞nΘ Φtenφ cookies, Φtenφ soubor∙ z disku a podobnΘ "features". Opravy jsou k dispozici pro IE 6, 5.5 SP-2, 5.5 SP-1 a 5.01 SP-2 pod Windows 2000 a NT. Stahovan² soubor mß p°ibli₧n∞ 2,5 MB.
<A Name="Title5"><FONT Size=3><DIV Class=Headline>Multiple UNC Provider s chybami</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Multiple UNC Provider ve Windows NT, 2000 a XP obsahuje neoÜet°en² buffer overflow, kter² m∙₧e b²t zneu₧it jak ke zm∞n∞ u₧ivatelov²ch prßv, stejn∞ tak je pomocφ n∞j mo₧nΘ provΘst spuÜt∞nφ libovolnΘho ·toΦnφkova k≤du. UNC znamenß Universal Name Convention, UNC pracuje jako slu₧ba systΘmu. SvΘ po₧adavky uklßdß do dvou buffer∙, p°iΦem₧ p°eteΦenφ jedoho nenφ oÜet°eno a je tak p°φhodn² ke stßle opakovnΘmu ·toku typu "buffer overflow". Microsoft oznaΦuje tuto chybu jako "Moderate", ovÜem z odborn²ch zdroj∙ na internetu jsou patrnΘ nßzory, ₧e toto vyjßd°enφ o nebezpeΦnosti chyby je minimßln∞ podhodnocenΘ.
DalÜφ novß chyba systΘm∙ na jßd°e NT se t²kß skupinovΘ bezpeΦnostnφ politiky (Group Policy). Byla objevena mo₧nost, jak odep°φt systΘmu po₧adavky na Φtenφ dat (pomocφ tzv. exkluzivnφho p°φstupu), co₧ zßkonit∞ vede k nep°φstupnosti soubor∙. Pr∙nik do systΘmu pomocφ tohoto nedostatku by vypadal asi tak, ₧e po ·sp∞ÜnΘm nalogovßnφ by ·toΦnφk aplokoval exploit, Φφm₧ by po druhΘm p°ihlßÜenφ (tj. najednou) nebyly soubory s nastavenφm ochrany k dispozici a pou₧ily by se dle nastavenφ sytΘmu standardnφ.
Ke cti jim rozhodn∞ slou₧φ, ₧e dφry a nedostatky hledajφ sami. Sletujte patche pro Oracle Configurator (Win), Oracle 8i, Progress, Oracle E-Business Suite 11i a Oracle 9i.
Podle vyjßd°enφ Jonathana Lewise je navφc v Oracle 9.0.1 zajφmavß chyba. Umo╛≥uje toti₧ pomocφ SQL konstrukcφ, kterΘ obsahujφ JOIN Φφst data z tabulek, k nim₧ nemß u₧ivatel p°φstup. Chyba je opravena ve verzi 9iR2.
D∞ravΘ jsou n∞kterΘ PHP aplikace, resp. alespo≥ ty, jejich₧ dφry dostaly p°id∞leno BID. Chyby ve webov²ch strßnkßch, cross-site scripting chyby a podobn∞ obΦas asi nejsou brßny p°φliÜ vß₧n∞. Podce≥ovßnφ problΘm∙ je neoprßvn∞nΘ - webmaily nachßzejφ pou₧itφ v intranetech, a poÜta m∙₧e b²t citlivou zßle₧itostφ. U ve°ejn∞ dostupn²ch server∙ jsou zase zranitelnΘ instalace snadno k nalezenφ nap°φklad zadßnφm dotazu do Googlu. V okam₧iku, kdy majφ www rozhranφ, zßvisφ na bezpeΦnosti browser∙ a skript∙ i velmi "vß₧nΘ" aplikace.
Äe ochrana dodr₧ovßnφ bezpeΦnostnφch z≤n p°i prohlφ₧enφ WWW strßnek nenφ v∙bec nepr∙st°elnß, je ji₧ delÜφ dobu jasnΘ. Metod, jak donutit Internet Explorer, aby internetovou strßnku prohlφ₧el v "bezpeΦnΘ" z≤n∞ je na nezßplatovan²ch prohlφ₧eΦφch mnoho, nebo¥ se jednß o velmi Φastou chybu. Poslednφ objeven² nedostatek spoΦφvß ve zneu₧itφ Microsoft Office Web Components (OWC), co₧ umo₧≥uje p°epsat n∞kterß nastavenφ IE. Jednß se o n∞kolik zßva₧n²ch chyb, mimo jinΘ povolenφ aktivnφho skriptovßnφ na www strßnkßch (zkrßtka JavaScript a VBScript), o mo₧nost volnΘ manipulace s Document Object Model (tedy cross-frame scripting) a Φtenφ soubor∙ z u₧ivatelova disku.
Nejednß se ovÜem o jedin² nov² problΘm IE. V konferenci bugtraq na SecurityFocusu se objevil zp∙sob manipulace s bezpeΦnostnφmi z≤nami, kter² je zajφmav² : na javascript v internetovΘ adrese nejsou kladena ₧ßdnß bezpeΦnostnφ omezenφ. Inu, nastavenφ t∞chto z≤n skuteΦn∞ nenφ v∞c, kterΘ by se dalo d∙v∞°ovat.
Ruskß hackerskß skupina zve°ejnila novou, neuv∞°iteln∞ amatΘrskou chybu v antivirovΘm systΘmu firmy Symantec, v Norton Antivirusu. Je tomu n∞kolik t²dn∙, co byla na SecurityFocusu zve°ejn∞na zprßva o mo₧nosti obejitφ antivirovΘ kontroly e-mailu. "Nynφ vyÜla najevo dalÜφ, ovÜem a₧ neuv∞°iteln∞ Ükolßckß chyba : Case sensitivity of Content-Type and Content-Disposition. Norton AV sel₧e a p°φlohu nezkontroluje, jestli₧e je hlaviΦka MIME p°φlohy psßna VELK▌MI P═SMENY. Nap°: CONTENT-type: text/plain;. PisatelΘ vir∙ si nemusφ lßmat hlavu s n∞jak²mi RFC standardy. Na vÜechny mo₧nΘ kombinace proto musφ pamatovat tv∙rci antivirov²ch systΘm∙. Jinak jejich produkty zklamou, jako to bylo v p°φpad∞ Φerva MyParty (nestandardnφ formßt UUEnecode p°φlohy)." (citace security.namodro.cz).
Microsoft uvolnil nßstroj, kter² by m∞l pomoci u₧ivatel∙m systΘm∙ Windows XP, NT a 2000 lΘpe zabezpeΦit sv∙j stroj. Microsoft Baseline Security Analyzer (MBSA) jednak analyzuje chyby v konfiguraci a poskytuje zprßvu umo₧≥ujφcφ p°ehledn∞ vyhodnotit problΘmy, jednak sleduje bezpeΦnostnφ problΘmy s IIS 5/4.0, SQL Server 2000/7.0, IE 5.01 (a vφce) a Office XP/2000. Podle security.namodro.cz lze instalovat MBSA bohu₧el pouze na XP Home, XP Professional a Windows 2000. U₧ivatelΘ NT 4.0 musφ program spouÜt∞t z W2K Φi XP stroje.
<A Name="Title14"><FONT Size=3><DIV Class=Headline>Open Source mimo zßkon?</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Na LinuxGuru se objevil zajφmav² Φlßnek o Open Source a americkΘm zßkonu SSSCA. Podle n∞ho by toti₧ platforma voln∞ Üi°itelnΘho softwaru byla postavena vφcemΘn∞ mimo zßkon.
╚erv MyLife se nejen₧e ·sp∞Ün∞ mno₧φ, ale stejn∞ tak p°ib²vajφ novΘ varianty. V dob∞ dokonΦovßnφ t∞chto novinek prßv∞ "let∞ly" varianty s po°adov²m pφsmenem G a H (MyLife.H). Zajφmavß je varianta H, kterß krom∞ jednorßzovΘ akce mno₧enφ d∞lß i to, ₧e odeÜle vÜechny vaÜe kontakty na adresu asdsdfd315@hotmail.com. Autor z°ejm∞ sbφrß e-maily do budoucna pro dalÜφ vßrku.
