Websecurity - Веб безпека

У серпні, 20.08.2013, майже через два місяці після виходу Google Chrome 28, вийшов Google Chrome 29.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 25 уразливостей, 5 з яких позначені як небезпечні. Це більше ніж у попередній версії браузера. І це майже рекорд, більше було лише у версії Chrome 22 (в якій було виправлено 26 уразливостей).

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), при роботі з XSLT і при обробці вмісту елемента media, цілочислене переповнення у ANGLE і недостатнє очищенням шляхів у коді роботи з файлами.

• Релиз web-браузера Chrome 29 (деталі)

Виявлені уразливості безпеки в бібліотеках Python.

Уразливі продукти: Python 3, python-setuptools, python-virtualenv.

DoS через SSL-сертифікати, обхід захисту.

• DoS vulnerability in SSL module implementation of Python 3 (деталі)
• Vulnerability in python-setuptools and python-virtualenv (деталі)

22.08.2013

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Обхід захисту, міжсайтовий скриптінг, пошкодження пам’яті.

• Microsoft Security Bulletin MS13-059 - Critical Cumulative Security Update for Internet Explorer (2862772) (деталі)

11.09.2013

Додаткова інформація.

• Microsoft Internet Explorer “ReplaceAdjacentText” Use-after-free (MS13-059) (деталі)
• Microsoft Internet Explorer Protected Mode Sandbox Bypass (Pwn2Own 2013 / MS13-059) (деталі)

14.11.2012

Виявлені уразливості безпеки в WebKit, Apple Safari, Google Chrome.

Уразливі продукти: Apple Safari 6.0. Google Chrome 22.0.

Короткочасні умови, використання пам’яті після звільнення.

• APPLE-SA-2012-11-01-2 Safari 6.0.2 (деталі)

10.09.2013

Додаткова інформація.

• Apple Safari Heap Buffer Overflow (деталі)

Виявлена проблема символьних лінків в Perl Proc-ProcessTable.

Уразливі продукти: Proc::ProcessTable 0.45 модуль для Perl.

Проблема символьних лінків при роботі з /tmp/TTYDEVS. Що дозволяє локальному користувачу перезаписувати довільні файли.

• Vulnerability in perl-Proc-ProcessTable (деталі)

12.07.2013

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Java SE 7, OpenJDK 7.

Понад 40 різних уразливостей.

• Oracle Java Preloader Click-2-Play Warning Bypass Vulnerability (деталі)
• Oracle Java SE Critical Patch Update Advisory - June 2013 (деталі)

23.08.2013

Додаткова інформація.

• Oracle Java storeImageArray() Invalid Array Indexing (деталі)

30.08.2013

Додаткова інформація.

• Oracle Java IntegerInterleavedRaster.verify() Signed Integer Overflow (деталі)
• Oracle Java BytePackedRaster.verify() Signed Integer Overflow (деталі)

Виявлена можливість підміни сертифіката в PHP і Python при MITM атаках.

Уразливі продукти: PHP 5.4, PHP 5.5, Python.

Некоректна обробка \0 в Subject Alternative Name.

• Vulnerability in php (деталі)
• Vulnerability in python (деталі)

На початку року відбувся масовий взлом сайтів на сервері XServer. Він тривав від 11.01.2013 до 25.07.2013.

Був взломаний сервер української компанії XServer. Взлом складався з декількох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого десятого масового взлому сайтів на сервері HostPro.

Всього було взломано 67 сайтів на сервері хостера XServer (IP 91.226.213.223). Це наступні сайти: a-xa.com, beru.net.ua, bulgakov.pp.ua, sunlove.pp.ua, fermery.pp.ua, blesk.cn.ua, tni.net.ua, anlider.com.ua, hope.pp.ua, volleyball-cn.pp.ua, nogtigel.org.ua, kravtsov.pp.ua, buhuchet.in.ua, lesha.pp.ua, chso.com.ua, alta-tour.biz, niva.pp.ua, andrlakes.org.ua, ranchoclub.pp.ua, art.geliar.com, atributplus.com, avtolift.com.ua, kyokusinkan.org.ua, fl.cn.ua, lyubava.org.ua, lascala.cn.ua, manific.com, prodvizheniesajta.net.ua, maremi.com.ua, svet-tm.com, mebel4all.com, neruhomist.cn.ua, svetnadom.com.ua, studio-remont.ru, ookna.cn.ua, vseest.net.ua, rusi4i.org.ua, webmoney-cn.com, bmyvg.org.ua, irgt.org.ua, hdvstudio.com.ua, chggme.org.ua, hdvstudio.net.ua, chmyvg.org.ua, imyvg.org.ua, avtolife2012.pp.ua, komyvg.org.ua, nmyvg.org.ua, kreschatik.in.ua, smyvg.org.ua, workofdream.com, desna-buvr.gov.ua, ymadam.com.ua, wp.atributplus.com, wp.mebel4all.com, parnik.com.ua, udesign.net.ua, teplica.com.ua, krmyvg.org.ua, kievkarate.com.ua, avtolife25.pp.ua, cook-info.org.ua, cook-info.cn.ua, upuc.net.ua, www.audiodoctor.com.ua, koryukivka-rada.gov.ua, www.dm-mebel.com. Серед них українські державні сайти koryukivka-rada.gov.ua та desna-buvr.gov.ua.

З зазначених 67 сайтів 61 сайт був взломаний хакером hasnain haxor, 3 сайти хакером Hmei7, 1 сайт хакером ghost-dz, 1 сайт хакером s13doeL та 1 сайт хакером misafir.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу hasnain haxor можна сказати, що враховуючи дефейс 61 сайта за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 28.0, Chromium 28.0.

Численні пошкодження пам’яті, цілочисленні переповнення, витік інформації.

• chromium-browser security update (деталі)

У серпні місяці Microsoft випустила 8 патчів. Що більше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Internet Explorer і Exchange Server.