Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у квітні.
Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.
Численні пошкодження пам’яті та виконання коду.
У квітні я дав інтерв’ю для Українська правда. І 24.04.2018 воно було оприлюднене на сайті.
В інтерв’ю розповідається про блокування російських соцмереж і наслідки за цей рік (про блокування російських соцмереж та інших сервісів виступав торік на телебаченні). В тому числі про мою протидію інформаційній та кібер війні Росії проти України.
Російські соцмережі рік потому. Чи спрацювала заборона
Так що кому буде цікаво прочитати про інформаційну війну та кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема Axios, чи дивився виступи на ТБ, зокрема на каналі Oboz TV та каналі ICTV, так і всім іншим, можете прочитати це інтерв’ю.
Раніше, 30.03.2014-14.04.2014, я знайшов численні уразливості на сайті skype.privatbank.ua, зокрема такі дірки як Cross-Site Scripting, Cross-Site Request Forgery та URL Redirector Abuse. В той час вислав ці уразливості банку.
Cross-Site Scripting:
Три persistent XSS уразливості при доданні товару в кошик. Код спрацює на всіх сторінках, де виводиться кошик. Та інші Cross-Site Request Forgery та URL Redirector Abuse уразливості.
За деякі з них мені видали премію в 2014 році. Як за цю CSRF уразливість на skype.privatbank.ua - значно пізніше після виправлення дірки я виклав відео.
Але більшість уразливостей не були виправлені в тому році. ПриватБанк тоді проігнорував ці дірки, а вже в 2015 році всі вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Таким чином банк кинув мене, як це було з дірками на uniordreams.privatbank.ua та інших сайтах ПБ.
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Easy Social Share Buttons, Unlimited Pop-Ups, Export To Ghost, Advanced Custom Fields і темі Truemag. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
У березні місяці Microsoft випустила нові патчі.
У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.
Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Exchange Server, Office Web Apps і SharePoint Server, .NET Framework і ASP.NET.
Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.
В період з 11.01.2013 по 25.10.2016 та 16.01.2017 відбувся масовий взлом сайтів на сервері NeoCom. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії Ukrnames. Взлом складався з кількох масових дефейсів та багатьох невеликих дефейсів сайтів. Він відбувся після згаданого масового взлому сайтів на сервері TheHost.
Всього був взломаний 51 сайт на сервері хостера NeoCom (IP 212.82.217.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти gorzdrav.ck.ua (2013 і 2014), oblradack.gov.ua.
З зазначених 51 сайту 46 сайтів були взломані хакером TheWayEnd та інші сайти іншими хакерами.
Масовий дефейс хакером TheWayEnd явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.
В даній добірці експлоіти в веб додатках:
Раніше, 16.04.2013, я знайшов численні уразливості на feerverk.privatbank.ua та fireworks.privatbank.ua - це два домени одного сайта. Зокрема такі дірки як Fingerprinting та Insufficient Anti-automation. В той час вислав ці уразливості банку.
Fingerprinting (WASC-45):
http://feerverk.privatbank.ua
Витік версій серверних додатків у HTTP заголовках.
Також використання старих й уразливих версій nginx і PHP.
Insufficient Anti-automation (WASC-21):
В одній формі на сайті не було захисту від автоматизованих атак. Це дозволяло автоматизовано реєструватися на сайті. А також спамити листами і смсками.
В інший формі на сайті не було захисту від автоматизованих атак і OTP код всього два символи. Це дозволяло автоматизовано підтверджувати реєстрацію на сайті.
ПриватБанк тоді проігнорував ці уразливості. За кілька років вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Таким чином банк кинув мене, як це було з дірками на skype.privatbank.ua та інших сайтах ПБ.
В січні, 16.01.2018, вийшла нова версія WordPress 4.9.2.
WordPress 4.9.2 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 21 баг та 1 уразливість. Була виправлена XSS уразливість в Flash fallback файлах в MediaElement.
Також в цій версії зробили звичайні виправлення в движку.
Виявлені уразливості в Microsoft .NET Core і ASP.NET Core. Що були виправлені у вівторку патчів у березні.
Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, .NET Framework.
Обхід безпеки та витік інформації.
* 
You are currently browsing the archives.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.