Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://reskomstroy.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://reskomtrans.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://minenergy.ark.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://doroga-zhizni.com (хакером ynR)
• http://www.britishcouncil.dn.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Oracle Java та OpenJDK.

Уразливі продукти: Oracle JRE 6, JDK 6, JRE 7, JDK 7.

Знайдено 30 різних уразливостей.

• HP-UX Running Java, Remote Indirect Vulnerabilities (деталі)
• Oracle Java Font Processing Glyph Element Memory Corruption Vulnerability (деталі)
• Oracle Java Font Processing “maxPointCount” Heap Overflow Vulnerability (деталі)
• Oracle Java SE Critical Patch Update Advisory - October 2012 (деталі)

Продовжуючи розпочату традицію, після попереднього відео про URL Spoofing в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про URL Spoofing в Opera. Рекомендую подивитися всім хто цікавиться цією темою.

Opera Address Bar Spoofing

В ролику демонструється Address Bar Spoofing уразливість в браузері Opera. Спочатку в адресному рядку відображується одна адреса, потім у цьому самому вікні відображується інша адреса та сторінка іншого сайта, при цьому залишається іконка від попереднього сайта. Хоча це значно менша підробка ніж у подібних уразливостях в інших браузерах, але це може бути використано для фішинга.

Атака відбувається при відвідуванні в Opera спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Better WP Security, Slideshow та Archin. Для котрих з’явилися експлоіти. Better WP Security - це секюріті плагін для движка, Slideshow - це плагін для створення слайдшоу, Archin - це комерційна (преміум) тема движка.

• Better WP Security v3.4.3 Wordpress - Web Vulnerabilities (деталі)
• Multiple Vulnerabilities in Wordpress Slideshow Plugin (деталі)
• WordPress Archin Theme Unauthenticated Configuration Access (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У жовтні місяці Microsoft випустила 7 патчів. Що більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 20 уразливостей в програмних продуктах компанії. Один патч закриває дві критичні уразливості і шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Word, SQL Server, Works та FAST Search Server.

В даній добірці уразливості в веб додатках:

• HP StorageWorks File Migration Agent RsaFTP.dll Remote Code Execution Vulnerability (деталі)
• Cross-Site Scripting (XSS) Vulnerabilities in Flogr (деталі)
• Multiple Vulnerabilities in TorrentTrader 2.08 (деталі)
• Atlassian Confluence Wiki XSS Vulnerability (деталі)
• HP StorageWorks File Migration Agent RsaCIFS.dll Remote Code Execution Vulnerability (деталі)
• Vbulletin (blog_plugin_useradmin) v4.1.12 Sql Injection Vulnerability (деталі)
• Axis VoIP Manager v2.1.5.7 - Multiple Web Vulnerabilities (деталі)
• NeoBill CMS v0.8 Alpha - Multiple Web Vulnerabilities (деталі)
• Microsoft Windows Unauthorized Digital Certificates (деталі)
• Switchvox Asterisk v5.1.2 - Multiple Web Vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://selfremember.net - інфекція була виявлена 01.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://ofinans.com.ua - інфекція була виявлена 16.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://kvvaiu.net - інфекція була виявлена 14.10.2012. Зараз сайт входить до переліку підозрілих.
• http://radioera.com.ua - інфекція була виявлена 26.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://tuare.org.ua - інфекція була виявлена 25.10.2012. Зараз сайт не входить до переліку підозрілих.

У жовтні, 27.10.2012, вийшов Mozilla Firefox 16.0.2. Нова версія браузера вийшла через 18 днів після виходу Firefox 16 і через 15 днів після виходу попереднього коригувального релізу Firefox 16.0.1, і в ній виправлені три уразливості.

Доступні коригувальні випуски Firefox 16.0.2 і Firefox 10.0.10 з виправленням трьох критичних уязвимостей, пов’язаних з можливістю некоректного використання об’єкта Location. Зокрема усунута недоробка, що дозволяє здійснити підстановку фіктивного значення window.location і зробити обхід обмежень cross origin policy.

Це вже вдруге в цьому місяці Мозіла випускає виправлення для останньої версії Firefox 16, яку вони не спромоглися випустити якісно. І тепер поспішно латають перед випуском наступної мажорної версії браузера.

• Обновление Firefox 16.0.2 и 10.0.10 с устранением уязвимостей (деталі)

24.09.2012

Виявлені можливості пошкодження пам’яті в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Уразливість use-after-free активно використовується для встановлення шкідливого програмного забезпечення.

• Microsoft Releases Patch for Internet Explorer Exploit (деталі)
• Microsoft Security Advisory for Internet Explorer Exploit (деталі)
• Microsoft Security Advisory (2757760) (деталі)
• Microsoft Security Bulletin MS12-063 - Critical Cumulative Security Update for Internet Explorer (2744842) (деталі)

29.10.2012

Додаткова інформація.

• Microsoft Internet Explorer “scrollIntoView” Use-After-Free Vulnerability (MS12-063) (деталі)
• Microsoft Internet Explorer “OnMove” Use-After-Free Vulnerability (MS12-063) (деталі)

Сьогодні я виявив Cross-Site Scripting уразливість в CorePlayer. Це флеш відео плеєр, що використовується на vybory2012.gov.ua та webvybory2012.ru - сайтах онлайн трансляції виборів в Україні та Росії. Розробники цих сайтів використали один і той же самий дірявий флеш відео плеєр.

XSS:

http://site/core_player.swf?callback=alert(document.cookie)

Уразливі CorePlayer 4.0.6 та попередні версії. На сайті webvybory2012.ru використовується версія 1.3.2, а на сайті vybory2012.gov.ua - 4.0.6.