Виявлена можливість звертання по неініціалізованому вказівнику в Apache mod_isapi.
Уразливі версії: Apache 2.2.
За певних умов відбувається виклик функції за адресою після вивантаження бібліотеки.
Пропоную вашій увазі добірку цікавих нових на тему безпеки.
За повідомленням www.cnews.ru, Інтернет-шахраї за рік украли $560 мільйонів. Відповідно до нового дослідження, в 2009 р. різного роду Інтернет-злочинці вкрали в користувачів біля $560 мільйонів - це майже в два рази перевищує аналогічний показник 2008 р. Про це говориться в звіті організації Internet Crime Complaint Center (IC3), що підтримується ФБР.
За словами авторів дослідження, у 2009 році IC3 зареєструвала більш 336000 скарг на різні злочини, пов’язані з Інтернетом. Зростання кількості злочинів на 22,3% за рік.
За повідомленням internetua.com, сільський хакер переказував гроші з чужих банківських карток у колонію. На Полтавщині розкрита безпрецедентна для України (як заявляють в МВС) схема крадіжки коштів з банківських карткових рахунків за допомогою веб сайта.
Міліція Полтавщини розкрила раніше невідому схему зняття коштів з особистих рахунків клієнтів банків через Інтернет. Що цікаво, автор цієї схеми використовував зняті з кредиток кошти для поповнення мобільних телефонів в колонії. Ось так, після попереднього разу, знову наша міліція спіймала хакера 
.
За повідомленням internetua.com, анталітики США знайшли хакера, що атакував пошуковці. Аналітиками США, що працюють в області кібернетичної безпеки, було виявлене джерело, звідки відбувалися атаки на сервери компанії Google. Що мали місце наприкінці грудня - початку січня під час Операції Аврора.
Раніше я вже писав про п’ятірку найгучніших випадків витоку даних у 2009 році, а зараз розповім про найбільш гучні справи 2009 року в галузі безпеки.
Як повідомляє www.xakep.ru в публікації 2009 - cамые громкие дела ушедшего года, в минулому році було багато цікавих секюріті справ.
Серед взломів найбільш виділився взлом хакерами з команди Zero for 0wned aka ZF0 сайтів двох секюріті експертів: Кевіна Мітника і Дена Камінски. Хакери взломали їх сайти та виклали всю отриману особисту інформацію експертів в публічний доступ . Якщо сайти Мітника взламують вже не вперше (цього разу хакнули його блог на WordPress), то сайти Камінски раніше не взламували. Але все буває вперше 
.
Також торік дісталося війсковим США. Була взломана мережа Пентагона і викрадені дані по проекту Joint Strike Fighter. А також був взломаний сайт army.mil - офіційний сайт армії США.
Найбільш поширеним в Інтернеті в 2009 році став вірус відомий як Conficker aka Downloadup aka Kido. Зазначу, що в цьому році він також продовжує очолювати вірусні рейтинги.
Також торік відбувалися події пов’язані з QIP. Зокрема був взломаний офіційний сайт месенджера qip.ru, а потім була виявлена серйозна уразливість на сайті games.qip.ru, що призвела до чималого витоку даних.
Також торік хакерами з Team Elite був взломаний сайт MI5 - mi5.gov.uk (через локальну пошукову систему). Зазначу, що в 2007 році я вже знаходив уразливості на www.mi5.gov.uk, причому як раз в локальному пошуковці сайта, що використовував Google Search Appliance 
.
В минулому році відбувався судовий процес проти The Pirate Bay. Що призвело до DDoS атак та взломів сайтів антипіратських організацій. І навіть до DDo$-атаки - розподіленої атаки на відмову в доларах.
Також в минулому році було багато атак на соціальні мережі. Зокрема найбільш гучними були взломи Twitter. Окрім цього торік були гучні справи й арешти. Такі як справа з The Pirate Bay, арешт Альберта Гонсалеса, хакера з Казахстану та засудження українця Максима Ястремського у Турції. Про справу Ястремського я вже писав і весною 2009 його засудили на 30 років за крадіжку і продаж номерів кредитних карт, на чому він заробив 11 мільйонів долларів.
Виявлена можливість проведення DoS атаки через mod_proxy_ajp в Apache.
Уразливі версії: Apache 2.2.
Не звільняються ресурси при завершенні з’єднання клієнтом без відправлення даних.
10.11.2009
Виявлена можливість впровадження даних в SSL в Apache.
Уразливі версії: Apache 2.2.
Можливість підміни даних пов’язана з переузгодженням протоколу без перевстановлення з’єднання.
08.03.2010
Додаткова інформація.
Виявлена можливість впровадження даних в SSL в багатьох інших додатках окрім Apache.
Пропоную вашій увазі добірку цікавих нових на тему безпеки.
За повідомленням searchsecurity.techtarget.com.au в публікації How URL-shortening services are manipulated, сервіси редирекції представляють загрозу безпеці Інтернет користувачів. Тому що вони можуть використовуватися для атак на користувачів. Я вже розповідав про можливі атаки через редиректори. До того ж вони є недостатньо надійними і не можуть гарантувати 100% uptime.
За повідомленням internetua.com, хакер взломав базу даних “Укртелекома” і намагався її продати. У Луцьку 21-літній місцевий житель знайшов в Інтернеті дані про абонентів Укртелекома, записав їх на диски і намагався їх продати. Зазначу, що подібні диски з Базою 09 продаються в Україні вже багато років. А УДСБЕЗ спіймали даного діяча і обвинувачили в тому, що він взломав електронну базу ВАТ “Укртелеком”. Зазначу, що на сайті Укртелекома є уразливість, що дозволяє отримати всі дані з їхньої БД (в тому числі потенційно й ті, яких не знайдеш в Базі 09).
Як видно з цього та попереднього випадків, останнім часом спецслужби і міліція почали активно знаходити продавців БД чи шкідливого ПЗ, при цьому голосно називаючи їх хакерами, і притягати їх до відподальності.
За повідомленням www.focus.ua, хакери взломали сайт ЦВК Угорщини. Напередодні парламентських виборів, що пройдуть в Угорщині в квітні 2010 року, хакери взломали сайт Центральної виборчої комісії країни. Вони розмістили на сайті свою інформацію про політичні партії, що будуть приймати участь у виборах.
22.02.2010
Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird і SeaMonkey.
Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, Firefox 3.6, Thunderbird 3.0, SeaMonkey 2.0.
Численні пошкодження пам’яті, використання пам’яті після звільнення, міжсайтовий скриптінг.
02.03.2010
Додаткова інформація.
Виявлена можливість витоку інформації в Google Chrome.
Уразливі версії: Google Chrome 3.0, Chrome 4.0.
Менеджер паролів може автоматично заповнити ім’я і пароль користувача при включенні об’єкта з зовнішнього джерела.
В лютому місяці Microsoft випустила 13 патчів. Що значно більше ніж у січні.
У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетеней по безпеці, що в цілому закривають 26 уразливостей. З них п’ять бюлетенів “критичні”, сім “важливі” і один “середньої важливості”. Дані патчі стосуються різних версій Windows та Office.
До речі, серед виправлених уразливостей є і 17-літня уразливість в ОС Windows, про яку стало відомо минулого місяця.
You are currently browsing the archives for the Новини category.
Copyright © 2006-2010 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.
За підтримки SHALB - Агентства Інформаційної Безпеки.