Websecurity - Веб безпека

У вересні, 17.09.2013, вийшов Mozilla Firefox 24. Нова версія браузера вийшла через півтора місяця після виходу Firefox 23.

Mozilla офіційно випустила реліз веб-браузера Firefox 24, а також мобільну версію Firefox 24 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 25 намічений на 29 жовтня, а Firefox 26 на 10 грудня. Випуск віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Одночасно вийшов Thunderbird 24, що також віднесений до випусків із тривалим терміном підтримки.

Також був випущений Seamonkey 2.20 та оновлений коригувальний реліз гілки із тривалим терміном підтримки Firefox 17.0.9.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 24.0 усунуто 17 уразливостей, серед яких 7 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 24 (деталі)

Виявлені уразливості безпеки в різних Ruby Gem.

Уразливі продукти: Ruby Gem kelredd-pruview 0.3, Ruby Gem ldoce 0.0, Ruby Gem fastreader 1.0, Ruby Gem ftpd 0.2, Ruby gem Rgpg 0.2.

Уразливості в різних бібліотеках.

• Rgpg 0.2.2 Ruby Gem Remote Command Injection (деталі)
• Remote command execution for Ruby Gem ftpd-0.2.1 (деталі)
• Curl Ruby Gem Remote command execution (деталі)
• MiniMagic ruby gem remote code execution (деталі)
• Remote command execution in fastreader ruby gem (деталі)
• Remote command execution in Ruby Gem Command Wrap (деталі)
• Remote command execution in Ruby Gem ldoce 0.0.2 (деталі)
• Remote command injection in Ruby Gem kelredd-pruview 0.3.8 (деталі)

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 22.10.2012-12.08.2013. Четвертий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.

Всього було взломано 89 сайтів на сервері хостера Besthosting (IP 194.28.172.166). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти vinjust.gov.ua (в 2012 році) і www.miroraj.gov.ua (в 2013 році).

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів NeT.Defacer, Donnazmi та gbs можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

За повідомленням www.xakep.ru, бекдор без букв.

Адміністратор одного з веб сайтів поскаржився, що його сайт взломали. Він знайшов PHP-шел, у коді якого не було ні однієї букви чи цифри.

Як відомо суть бекдорів у максимальній скритності, тому їхні автори часто прибігають до незвичних методів обфускації. Даний шел можна вважати одним з найбільш прихованих PHP-бекдорів.

За повідомленням digit.ru, Доктор Веб знайшов мережу з 200000 заражених пристроїв на Android.

Компанія Доктор Веб знайшла найбільшу бот-мережу з 200 тисяч інфікованих мобільних пристроїв на базі ОС Android.

Смартфони, за даними Доктора Веб, були заражені шкідливими програмами сімейства Android.SmsSend. Основними джерелами зараження визнані приналежні зловмисникам чи взломані ними інтернет-ресурси.

Торік я писав про ботнет з Android-пристроїв. Цього разу ботнет значно більший.

За повідомленням www.xakep.ru, довгими паролями можна задосити сервери на Django.

15 вересня розробники вільного фреймворка Django у терміновому порядку випустили обновлені версії Django 1.4.8, Django 1.5.4 і Django 1.6 beta 4, щоб закрити уразливість, що була публічно оприлюднена ранком того ж дня.

У нових версіях Django закривається дірка у фреймворку аутентифікації django.contrib.auth, що дозволяє здійснювати атаку типу відмова в обслуговуванні (DoS). Вона базується на споживанні ресурсів при обробці довгих паролів, в зв’язку з використанням повільного алгоритму хешування - це так звані DoS атаки через алгоритмічну складність.

Подібна уразливість була знайдена у червні в WordPress і оперативно виправлена в WP 3.5.2. Розробники Django три місяці напружувалися щоб зрозуміти, що аналогічна дірка є в їхньому веб додатку. Нарешті, хоч у вересні вони її виправили.

У вересні місяці Microsoft випустила 14 патчів. Що значно більше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та десять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Internet Explorer, Outlook і SharePoint Server.

Сьогодні вийшли PHP 5.4.20 і PHP 5.5.4. У версії 5.5.4 виправлено декілька багів, а у версії 5.4.20 виправлено біля 30 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

В липні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав 24.12.2011, 14.06.2012-17.09.2012 і 16.01.2013-24.08.2013. Десятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.

Спочатку було взломано 132 сайти, а потім ще 56 - всього 188 сайтів на сервері хостера HostPro (IP 194.28.85.190). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.police.gov.ua, dndc-uz.gov.ua та www.manrayrada.gov.ua, який був взломаний двічі (в 2012 і 2013 роках).

З зазначених 188 сайтів 7 сайтів були взломані хакерами з holy lycans, 45 сайтів хакерами з Lopht Crews, 3 сайти хакером CoupDeGrace, 4 сайти хакером Hmei7, 1 сайт хакером Moroccan Hassan, 3 сайти хакером Kurd007, 74 сайти хакером NeT.Defacer, 10 сайтів хакерами з P4kurd-TeaM, 8 сайів хакером Harez Kurdstan, 2 сайти хакером ghost-dz, 2 сайти хакером misafir, 25 сайтів хакерами з AHS-CREW та 1 сайт хакером WeWe ArAr.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів Lopht Crews, NeT.Defacer, P4kurd-TeaM та AHS-CREW можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

За повідомленням www.xakep.ru, Google знає майже всі WiFi-паролі у світі.

Якщо ваш Android-пристрій (смарфтон чи планшет) коли-небудь авторизувався в якому-небудь WiFi-хотспоті, то з великою імовірністю пароль від хотспота став відомий також і компанії Google. З огляду на те, як багато “андроїдів” ходить по світу, можна припустити, що в Google є доступ практично до всіх запаролених точок доступу у світі.

Починаючи з версії Android 2.2 операційна система сконфігурована за замовчуванням на автоматичний бекап налаштувань системи. Серед налаштувань на сервери Google передаються також паролі від точок доступу в незашифрованому вигляді.

За повідомленням www.opennet.ru, більше 10% з мільйона найбільших веб сайтів небезпечні.

Компанія, що спеціалізується в області комп’ютерної безпеки, Sucuri опублікувала результати дослідження безпеки мільйона найбільших сайтів Мережі, представлених у рейтингу Alexa. Проаналізувавши дані сайти дослідники виявили, що 108781 з них (10,9%) мають явні проблеми з безпекою чи вже уражені шкідливим ПЗ.

Зокрема, 2% сайтів (18557) виявилися внесені у відомі чорні списки антивірусних компаній і пошукових систем. Цікаво, що Yandex заблокував помітно більше сайтів (2154 сайта), чим Google (357 сайтів). З антивірусних компаній з великим відривом лідирує McAfee, що заблокував 11 тисяч сайтів.

За повідомленням www.xakep.ru, ментальне стомлення: користувачі ігнорують до 70% попереджень у браузері.

Учені з університету Берклі разом з розробниками з Google опублікували результати дослідження зі статистикою по 25,4 мільйонів попереджень про загрози безпеки, показаних у браузерах Google Chrome і Mozilla Firefox у травні-червні 2013 року.

Як з’ясувалося, 15,1% користувачів не реагують на повідомлення про присутність шкідливого коду на сайті (7,1% аудиторії Firefox і 23,5% аудиторії Chrome).

Для попереджень про фішинг CTR складає 20,4%, тут найменш обережні користувачі під Linux (32,9%).

Найчастіше користувачі ігнорують попередження про невідповідність SSL-сертифіката: залишено без уваги 70,2% попереджень у Chrome і 33,0% попереджень у Firefox.

У серпні, 22.08.2013, вийшли версії PHP 5.4.19 і PHP 5.5.3. В яких виправлені один баг (збій при компіляцїї з включеним ZTS) та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.19 і PHP 5.5.3:

• Виправлений UMR в патчі для уразливості в OpenSSL модулі (CVE-2013-4248), що був зроблений в версіях PHP 5.4.18 і 5.5.2.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS13-069 - Critical Cumulative Security Update for Internet Explorer (2870699) (деталі)