Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у травні.
Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.
Численні пошкодження пам’яті та виконання коду.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
В даній добірці експлоіти в веб додатках:
У березні, 13.03.2018, вийшов Mozilla Firefox 59. Нова версія браузера вийшла через два місяці після виходу Firefox 58.
Mozilla офіційно випустила реліз веб-браузера Firefox 59, а також мобільну версію Firefox 59 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 60 вийде 9 травня.
Також була оновлена гілка із тривалим терміном підтримки Firefox 52.7.
В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема припинена підтримка відкриття в основній сторінці URL “data:” для захисту від фішингу, в тому числі лінки та редиректи на data:, в приватному режимі при звернені до зовнішнього ресурсу в заголовку Referer тепер передається лише ім’я хоста, більше не виводиться діалог HTTP-аутентифікації при завантаженні зображень з зовнішніх ресурсів.
Нарешті вони виправили уразливість в браузері, про яку я повідомив Mozilla в березні 2011 року. Це уразливість, що стосується різних браузерів (Bug 647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth). Вони спочатку виправили її в Firefox 40, але потім відмінили виправлення через те, що воно змінювало роботу багатьох старих сайтів, адміни яких звикли до такої поведінки браузера. І ось вони знову вирішили виправити дірку - але лише частково, бо заборонили виведення діалогу аутентифікації лише для зображень, але не інших ресурсів. При цьому, як і минулого разу, вони не зробили адвізорі для неї, тому насправді в цій версії Firefox має бути 19 Security Advisory.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 59.0 усунуто 18 уразливостей + моя дірка, що менше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч). Зокрема в цих двох критичних патчах виправлена 21 уразливість.
28.03.2017
У травні, 10.05.2014, я знайшов Directory Traversal та Cross-Site Request Forgery уразливості в Transcend Wi-Fi SD Card. Це флешка з бездротовим доступом.
Раніше я писав про уразливості в Transcend Wi-Fi SD Card.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
12.05.2018
До флеш карти можна під’єднатися в двох режимах: Direct Share та Internet Mode. В першому режимі пристрій з Wi-Fi під’єднується до цієї карти, а в другому режимі сама карта під’єднується до Wi-Fi пристроїв (точки доступу, роутера чи смартфону з увімкненим Personal Hotspot) - тоді всі комп’ютери в LAN отримають до неї доступ. Всі наведені атаки працюють в обох режимах.
Адреса http://192.168.0.70 - це динамічний IP, що виділяється в другому режимі роботи (DHCP на роутері чи AP), адреса буде змінюватися. Тому її потрібно спочатку виявити для атаки. Як то скануванням IP чи в статистиці роутера.
Directory Traversal (WASC-33):
Читання списку директорій:
http://192.168.0.70/cgi-bin/show_pic.cgi?dir=/etc
http://192.168.0.70/cgi-bin/show_video.cgi?dir=/etc
http://192.168.0.70/cgi-bin/file_list.pl?dir=/www/sd/../../etc
Directory Traversal (WASC-33):
Читання довільних файлів (AFD):
http://192.168.0.70/cgi-bin/wifi_download?fn=wsd.conf&fd=/www/sd/../mtd/config
Це файл конфігурації з логіном і паролем до адмінки, до самої карти по Wi-Fi та до точки доступу Wi-Fi.
Cross-Site Request Forgery (WASC-09):
Серед багатьох CSRF уразливостей в адмінці відзначу атаку для віддаленого логіну. В процесі логіна немає капчі, тому окрім відсутності захисту від BF, також можлива CSRF атака. Можна віддалено зайти в адмінку (з логіном і паролем по замовчуванню) для проведення подальших CSRF атак.
<img src=”http://admin:admin@192.168.0.70″>
Transcend Wi-Fi SD Card CSRF.html
Вразлива Transcend Wi-Fi SD Card 16 GB, Firmware v.1.8. Ця модель з іншими прошивками та інші моделі також можуть бути вразливими.
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):
Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 26.03.2015 по 14.02.2018. Восьмий масовий взлом сайтів на сервері Ukraine відбувся раніше.
Був взломаний сервер української компанії Ukraine. Взлом складався з декількох масових дефейсів та багато окремих дефейсів.
Всього було взломано 83 сайти на сервері хостера Ukraine (IP 185.68.16.34). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт doltour.gov.ua.
З них 18 сайтів були взломані хакерами з Guardiran Security Team, 17 сайтів хакерами з D.R.S Dz Team, 14 сайтів хакером ZoRRoKiN та інші сайти іншими хакерами.
Масові дефейси хакерами Guardiran Security Team, ZoRRoKiN і D.R.S Dz Team явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.
У січні, 25.01.2018, через півтора місяці після виходу Google Chrome 63, вийшов Google Chrome 64.
В браузері зроблено багато нововведень. Та виправлені численні уразливості.
Виправлено 53 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що значно більше ніж в попередній версії.
Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в квітні.
В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.
Іноземні хакери провели неполітичні взломи державних сайтів:
eduvzn.gov.ua (хакером BALA SNIPER) - 13.04.2018
lepetykha-rda.gov.ua (хакером RxR) - 18.04.2018
www.sea.gov.ua (хакерами з TeaM_CC) - 20.04.2018
industry.zt.gov.ua (хакерами з ErrOr SquaD) - 20.04.2018
lsp.sea.gov.ua (хакерами з TeaM_CC) - 21.04.2018
mev.gov.ua (хакерами з Electronic Thunderbolt Team) - 22.04.2018
usrinfo.minjust.gov.ua (хакерами з ErrOr SquaD) - 22.04.2018
dffd.gov.ua (хакером AdGhosT) - 23.04.2018
Проукраїнськими хакерами були атаковані наступні сайти:
Квітневі DDoS атаки на сайти ДНР і ЛНР
Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.
Українські Кібер Війська закрили наступні сайти:
Закритий сайт ukrop.dn.ua (через скаргу хостеру) - 04.2018
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Event Registration, BulletProof Security, Brafton, Ninja Forms, WP Mobile Detector. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
* 
You are currently browsing the archives.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.