Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird і Seamonkey.

Уразливі продукти: Mozilla Firefox 25.0, Firefox ESR 24.1, Thunderbird 24.1, Seamonkey 2.22.

Численні пошкодження пам’яті, XSS, витік інформації, проблеми з перевіркою сертифікатів.

• Mozilla Foundation Security Advisory 2013-104 (деталі)
• Mozilla Foundation Security Advisory 2013-105 (деталі)
• Mozilla Foundation Security Advisory 2013-106 (деталі)
• Mozilla Foundation Security Advisory 2013-107 (деталі)
• Mozilla Foundation Security Advisory 2013-108 (деталі)
• Mozilla Foundation Security Advisory 2013-109 (деталі)
• Mozilla Foundation Security Advisory 2013-110 (деталі)
• Mozilla Foundation Security Advisory 2013-111 (деталі)
• Mozilla Foundation Security Advisory 2013-112 (деталі)
• Mozilla Foundation Security Advisory 2013-113 (деталі)
• Mozilla Foundation Security Advisory 2013-114 (деталі)
• Mozilla Foundation Security Advisory 2013-115 (деталі)
• Mozilla Foundation Security Advisory 2013-116 (деталі)
• Mozilla Foundation Security Advisory 2013-117 (деталі)

Виявлені численні уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, Exchange 2013.

Виконання коду в machine authentication check, міжсайтовий скриптінг, уразливості в компонентах Oracle.

• Многочисленные уязвимости безопасности в Microsoft Exchange Server (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і People Soft.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.1, 5.5 і 5.6, JDK 7, JRE 7, Solaris 11.1, PeopleSoft HRMS 9.1, JRockit 28.2, Oracle Access Manager 11.1, GlassFish Server 3.1, Oracle HTTP Server 12c, Oracle Portal 11.1, WebLogic 12.1 та інші продукти Oracle.

Більше 130 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Issue 69 details and IBM Java vulnerabilities (деталі)
• PL/SQL Injection in Oracle Portal Demo Organization Chart (деталі)
• Oracle Critical Patch Update Advisory - October 2013 (деталі)

У грудні місяці Microsoft випустила 11 патчів. Що більше ніж і у лиспопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають 24 уразливості в програмних продуктах компанії. П’ять патчів закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Exchange, Visual Studio, SharePoint та ASP.NET SignalR.

Після початку революційних подій в Україні наприкінці листопада, в Уанеті відбулося багато DoS і DDoS атак, про які я писав. Також в грудні відбулося чимало взломів сайтів та акаунтів в соціальних мережах, що безпосередньо пов’язані з політичними подіями в Україні.

Серед грудневих взломів:

Хакери Anonymous взломали сайти: economy.cg.gov.ua, cg.gov.ua, bahadm.cg.gov.ua, borzadm.cg.gov.ua, bobradm.cg.gov.ua, varadm.cg.gov.ua, koradm.cg.gov.ua, pladm.cg.gov.ua, goradm.cg.gov.ua, ichadm.cg.gov.ua, kozadm.cg.gov.ua, kpadm.cg.gov.ua, kuladm.cg.gov.ua, meadm.cg.gov.ua, neadm.cg.gov.ua, novgadm.cg.gov.ua, nosadm.cg.gov.ua, rpadm.cg.gov.ua, semadm.cg.gov.ua, sosadm.cg.gov.ua, sribadm.cg.gov.ua, taladm.cg.gov.ua, schorsadm.cg.gov.ua, chadm.cg.gov.ua.

Anonymous compromised several Ukrainian government servers in retaliation to the government brutality toward its people.

Взлом хакерами Anonymous поштового сервера mail.voladm.gov.ua і великої кількості поштових скриньок працівників державних органів. Після того, як вони отримали доступ до Єдиного Державного Реєстру Виборців України (наприкінці 2012 року).

Ukraine government emails leaked! @gov.ua accounts and gov databases.

Ці хакери зробили багато різних взломів (поштових скриньок і серверів та мобільних пристроїв таких високопосадовців як Рибак і Захарченко) на замовлення Ігоря Калетника - першого заступника Голови Верховної Ради України. Але той їх кинув і не оплатив роботу, тому вини вирішили оприлюднити цю інформацію.

Також були взломані Twitter акаунт Юрія Луценка (@Lutsenko_Yuri) та пошта, твіттер і ФБ-акаунт його прес-секретаря Лариси Сарган.

Виявлена Cross-Site Scripting уразливість у бібліотеці Microsoft SignalR.

Уразливі продукти: Microsoft ASP.NET SignalR 2.0, Visual Studio Team Foundation Server 2013.

Міжсайтовий скриптінг в транспорті Forever Frame.

• Microsoft Security Bulletin MS13-103 - Important Vulnerability in ASP.NET SignalR Could Allow Elevation of Privilege (2905244) (деталі)

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 31.0, Chromium 31.0.

Підміна адреси, пошкодження пам’яті, переповнення буфера.

• chromium-browser security update (деталі)

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint 2010, SharePoint 2013, Office Web Apps 2013.

Можливе виконання коду при можливості впровадження даних у сторінку SharePoint.

• Microsoft Security Bulletin MS13-100 - Important Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2904244) (деталі)

За повідомленням www.xakep.ru, огляд ринку 0day-експлоітів.

Останнім часом ринок 0day-експлоітів став об’єктом суспільного інтересу. Хоча найбільші ІТ-компанії почали платити хакерам за виявлення уразливостей у своїх продуктах, але на чорному ринку експлоіти можна продати набагато дорожче. Про цей чорний ринок відомо небагато, тому компанія NSS Labs провела дослідження.

Причому компанія переважно розповіла та навела статистику публічного ринку експлоітів. А про чорний ринок лише зробила деякі припущення.

За повідомленням www.facebook.com, витік інформації на сайті Укрзалізниці.

Наслідки витоку інформації можуть бути сумними. Контент-редактора сайта Укрзалізниці було звільнено, після того як на сайті оприлюднили інформацію (причому приблизну) про кількість потягів з мітингувальниками на Антимадайн. Яких влада привезла у Київ для акції на свою підтримку. Коли ця інформація була оприлюднена на Facebook активістами Євромайдану і про це стало відомо керівництву Укрзалізниці, даного працівника звільнили.

Тому в наших реаліях навіть така незначна інформація для влади може вважатися конфіденційною. Так що окрім DDoS атак, грудень виявився насиченим в Україні в контексті ІБ.

За повідомленням www.xakep.ru, ботнет використовує Fіrefox для взлому сайтів.

Був виявлений дуже незвичний ботнет. Шкідлива програма поширювалася під виглядом розширення для Firefox. За півроку з травня 2013 розширення встановили як мінімум 12500 разів, якщо вірити скріншоту адміністративної панелі.

Після встановлення програма намагалася здійснити SQL-ін’єкції практично на всіх сайтах, що відвідував користувач. Надалі зловмисники використовували заражені сайти для атак типу drive-by, тобто для подальшого збільшення армії ботів.

Стосовно шкідливого коду під виглядом розширення для Firefox я вже писав раніше. Але це перший випадок, коли така malware використовувалася для пошуку уразливостей на сайтах.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті і підвищення привілеїв.

• Microsoft Security Bulletin MS13-097 - Critical Cumulative Security Update for Internet Explorer (2898785) (деталі)