Виявлений слабкий PRNG-генератор в Perl Crypt::DSA.
Уразливі продукти: Crypt::DSA 1.17 модуль для Perl.
За певних умов використовується слабкий генератор.
У жовтні, 01.10.2013, через півтора місяці після виходу Google Chrome 29, вийшов Google Chrome 30.
В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 19 уразливостей, 10 з яких позначені як небезпечні, а 6 як помірні. Загальна кількість дірок менша, зате кількість небезпечних дірок більша ніж у попередній версії браузера. А з врахуванням уразливостей знайдених під час внутрішнього аудиту, то це рекорд серед усіх релізів.
Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті в коді DOM, рендеринга inline-блоків, завантаження ресурсів, розбору XSLT і XML, реалізації PPAPI, діалозі вибору кольору на платформі Windows. Також усунуте пошкодження пам’яті в движку V8 і можливість підміни вмісту адресного рядка. Окремо згадується виправлення ще 27 уразливостей, виявлених у результаті внутрішнього аудиту, 17 з яких позначені як небезпечні.
Виявлена можливість обходу перевірки сертифіката в Python.
Уразливі версії: Python 2.7, Python 3.4.
Некоректна обробка NULL-символів.
Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.
Уразливі продукти: Mozilla Firefox 23.0, Thunderbird 23.0, Seamonkey 2.20.
Пошкодження пам’яті, цілочислені переповнення, підвищення привілеїв, виконання коду, обхід захисту, витік інформації.
За повідомленням www.xakep.ru, персональні дані всіх американців можна купити.
Брайан Кребс після семи місяців розслідування здійснив чергове голосне викриття. Він знайшов, що на підпільних хакерських форумах можна купити інформацію про будь-якого американця, включаючи номер соціального страхування, день народження, номер водійського посвідчення і т.д. Ціни різняться від 50 центів до $2,50 за персональну інформацію і від $5 до $15 за перевірку кредитної історії і більш докладні біографічні дані.
Брайан перевірив, що інформація дійсно правдива, і продавець під ніком SSNDOB реально має доступ до справжніх державних і комерційних баз даних про резидентів США.
За повідомленням www.bbc.co.uk, у Британії створять нову службу по боротьбі з кіберзлочинністю.
Міністр оборони Великобританії заявив, що для того, щоб зміцнити національну безпеку, у країні буде створена нова служба, що буде бороти з кіберзлочинністю.
При створенні нового Об’єднаного відділу по боротьбі з кіберзлочинністю, сотні резервістів, що є фахівцями з комп’ютерних технологій, будуть залучені до роботи разом зі штатними працівниками.
За повідомленням www.opennet.ru, небажання користувачів мігрувати на Java 7 стає серйозною загрозою безпеки.
Компанія Trend Micro опублікувала попередження про виникнення небезпечної ситуації, пов’язаної з припиненням випуску оновлень для Java 6. Незважаючи на те, що гілка Java 6 досягла кінця свого життєвого циклу в лютому і публічні оновлення більше не виходять, біля половини користувачів продовжують користуватися Java 6. З моменту останнього оновлення уже виявлено декілька критичних уразливостей, які торкаються Java 6, що створює серйозну загрозу для сотень мільйонів користувачів, що не поспішають виконати оновлення до Java 7.
Найкращий варіант оновлення старих версій Java - це оновлення не до версії 7, а до ніякої версії 
. Тобто повне видалення з системи. Бо в Java 7 також знаходять уразливості, тому відмова від неї (зокрема від плагіна до браузера) є найбільш безпечним варіантом. Сам використовую цей підхід багато років і всім раджу.
У вересні, 17.09.2013, вийшов Mozilla Firefox 24. Нова версія браузера вийшла через півтора місяця після виходу Firefox 23.
Mozilla офіційно випустила реліз веб-браузера Firefox 24, а також мобільну версію Firefox 24 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 25 намічений на 29 жовтня, а Firefox 26 на 10 грудня. Випуск віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Одночасно вийшов Thunderbird 24, що також віднесений до випусків із тривалим терміном підтримки.
Також був випущений Seamonkey 2.20 та оновлений коригувальний реліз гілки із тривалим терміном підтримки Firefox 17.0.9.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 24.0 усунуто 17 уразливостей, серед яких 7 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).
Виявлені уразливості безпеки в різних Ruby Gem.
Уразливі продукти: Ruby Gem kelredd-pruview 0.3, Ruby Gem ldoce 0.0, Ruby Gem fastreader 1.0, Ruby Gem ftpd 0.2, Ruby gem Rgpg 0.2.
Уразливості в різних бібліотеках.
В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 22.10.2012-12.08.2013. Четвертий масовий взлом сайтів на сервері Besthosting відбувся раніше.
Був взломаний сервер української компанії Besthosting. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.
Всього було взломано 89 сайтів на сервері хостера Besthosting (IP 194.28.172.166). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти vinjust.gov.ua (в 2012 році) і www.miroraj.gov.ua (в 2013 році).
Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів NeT.Defacer, Donnazmi та gbs можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
За повідомленням www.xakep.ru, бекдор без букв.
Адміністратор одного з веб сайтів поскаржився, що його сайт взломали. Він знайшов PHP-шел, у коді якого не було ні однієї букви чи цифри.
Як відомо суть бекдорів у максимальній скритності, тому їхні автори часто прибігають до незвичних методів обфускації. Даний шел можна вважати одним з найбільш прихованих PHP-бекдорів.
За повідомленням digit.ru, Доктор Веб знайшов мережу з 200000 заражених пристроїв на Android.
Компанія Доктор Веб знайшла найбільшу бот-мережу з 200 тисяч інфікованих мобільних пристроїв на базі ОС Android.
Смартфони, за даними Доктора Веб, були заражені шкідливими програмами сімейства Android.SmsSend. Основними джерелами зараження визнані приналежні зловмисникам чи взломані ними інтернет-ресурси.
Торік я писав про ботнет з Android-пристроїв. Цього разу ботнет значно більший.
За повідомленням www.xakep.ru, довгими паролями можна задосити сервери на Django.
15 вересня розробники вільного фреймворка Django у терміновому порядку випустили обновлені версії Django 1.4.8, Django 1.5.4 і Django 1.6 beta 4, щоб закрити уразливість, що була публічно оприлюднена ранком того ж дня.
У нових версіях Django закривається дірка у фреймворку аутентифікації django.contrib.auth, що дозволяє здійснювати атаку типу відмова в обслуговуванні (DoS). Вона базується на споживанні ресурсів при обробці довгих паролів, в зв’язку з використанням повільного алгоритму хешування - це так звані DoS атаки через алгоритмічну складність.
Подібна уразливість була знайдена у червні в WordPress і оперативно виправлена в WP 3.5.2. Розробники Django три місяці напружувалися щоб зрозуміти, що аналогічна дірка є в їхньому веб додатку. Нарешті, хоч у вересні вони її виправили.
У вересні місяці Microsoft випустила 14 патчів. Що значно більше ніж у серпні.
У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та десять патчів закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Internet Explorer, Outlook і SharePoint Server.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.