Websecurity - Веб безпека

У грудні місяці Microsoft випустила нові патчі.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають 39 уразливостей в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Dynamics NAV, Office Web Apps і SharePoint Server, .NET Core, ASP.NET Core і ChakraCore, Windows Azure Pack, Exchange Server та Visual Studio.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

У жовтні, 17.10.2018, через півтора місяці після виходу Google Chrome 69, вийшов Google Chrome 70.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 40 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що трохи менше ніж в попередній версії.

• Релиз web-браузера Chrome 70 (деталі)

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у грудні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019.

Обхід безпеки та підняття привілеїв.

Цього року відбувся новий масовий взлом сайтів на сервері Goodnet. Він відбувся 11.03.2018 і деякі сайти в попередні роки. Четвертий масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з двох масових дефейсів та кількох окремих дефейсів по одному або декількох сайтах, відбувся після масового взлому сайтів на сервері URAN.

Всього було взломано 389 сайтів на сервері Goodnet (IP 91.203.147.183). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: zaryabinka-rada.gov.ua, letrada.gov.ua.

З них були взломані хакерами TeaM_CC 351 сайт, ще 30 сайтів хакером ElKiller, 2 сайти хакером Unknown Al і по одному сайту хакерами LUN4T1C0, MuhmadEmad, mohamed.xo, Moroccanwolf, d3b~X, w4l3XzY3.

Масовий дефейс хакерами TeaM_CC і ElKiller явно були зроблені через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

У листопаді, 08.11.2018, вийшли PHP 7.1.24 і PHP 7.2.12. У версії 7.1.24 виправлено багато багів і уразливостей, у версії 7.2.12 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.24 і 7.2.12 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у грудні.

Уразливі продукти: Microsoft .NET Core 2.1, ASP.NET Core 2.1, Windows Azure Pack (WAP), ChakraCore.

Виконання коду та відмова в обслуговуванні (DoS).

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у грудні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, SharePoint Server 2019.

Обхід безпеки, підробка вмісту та виконання коду.

У жовтні, 23.10.2018, вийшов Mozilla Firefox 63. Нова версія браузера вийшла через два місяці після виходу Firefox 62.

Mozilla офіційно випустила реліз веб-браузера Firefox 63, а також мобільну версію Firefox 63 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 64 вийде 11 грудня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 60.3.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додані налаштування для управління блокуванням вмісту (зокрема блокуються скрипти і Cookie для слідкування за користувачами) і для кожного сайту тепер виводиться значок, що показує статус блокування скриптів і Cookie. Та доданий інтерфейс SecurityPolicyViolationEvent, що дозволяє генерувати події при порушенні CSP.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 63.0 усунуто 14 уразливостей, що значно менше ніж в попередній версії. Серед яких дві добірки уразливостей позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 63 (деталі)

Цього року відбувся масовий взлом сайтів на сервері URAN. Він відбувся з 10.01.2018 по 06.02.2018 і ще три сайти в 2017 році. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії URAN (Ukrainian Research & Academic Network). Взлом, що складався з одного масового дефейсу та трьох окремих дефейсів, відбувся після згаданого масового взлому сайтів на сервері Укртелекому.

Всього було взломано 141 сайтів на сервері URAN (IP 212.111.212.230). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: jna.bio.gov.ua, journal.sops.gov.ua.

З них 138 сайтів були взломані хакером B0c4H_Id30T, 2 сайти хакером Miracle і один сайт хакером Mr E[R].

Масовий дефейс хакером B0c4H_Id30T явно був зроблений через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у грудні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.