Websecurity - Веб безпека

За повідомленням www.xakep.ru, PayPal закрила уразливість, що дозволяла видалити чужий акаунт.

Незалежний фахівець з безпеки Йонут Черніка, розкрив інформацію про серйозну уразливість на сайті платіжної системи PayPal. Донедавна будь-який бажаючий міг видалити чужий акаунт PayPal і створити новий під тим же ім’ям. Зараз уразливість вже виправлена працівниками платіжної системи.

Про дірявий PayPal я вже писав раніше.

За повідомленням ain.ua, за DDoS-атаку на сайт політичної партії киянину загрожує 6 років в’язниці.

Тридцатидвухлітнього киянина будуть судити за DDoS-атаку на сайт однієї з політичних партій. Зокрема, прокуратурою АР Крим був затверджений обвинувальний висновок у карному проваджені по факту блокування роботи сайта регіонального відділення однієї з політичних партій. Безпосередньо мережева атака, що була підкріплена підробкою звертання глави кримського уряду, відбулася під час останніх виборів.

Хоча в заяві прокуратури не фігурує назва політичної партії, не виключено, що мова йде про “Партію Регіонів”. У жовтні 2012 року сайт кримської республіканської організації “Партії регіонів” був взломаний, а пізніше на нього була проведена DDoS-атака.

Це вже третій затриманий DDoS-ер в Україні, про два подібних випадки я писав раніше. Першого затримали в 2009 році, а другого - на початку 2013 року.

За повідомленням www.xakep.ru, шкідливу програму Jekyll провели в каталог AppStore.

Традиційно прийнято вважати, що модерація мобільних додатків для включення в каталог Apple AppStore відбувається дуже ретельно, і провести туди шкідливе ПЗ неможливо. Фахівцям з безпеки з Технологічного інституту Джорджії (США) вдалося довести зворотне. Вони успішно помістили додаток у AppStore і зуміли реалізувати в ньому шкідливу функціональність за допомогою ROP-атаки (атака повернення в бібліотеку, Return Oriented Programming). Грамотно проведена ROP-атака дозволяє обійти захист за допомогою цифрового підпису в AppStore і механізм захисту DEP, що і зробив автор програми Тіелей Ванг.

Про malware в Google Play я вже писав, а зараз черга дійшла до Apple AppStore.

У серпні, 16.08.2013, вийшов Mozilla Firefox 23.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 23. І в ній виправлені баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 23.0.1 у якому усунуті три помилки:

• Непрацездатність системи перевірки орфографії при розміщенні профілю в директорії, що містить не ASCII-символи.
• Порушення якості звуку при використанні WebRTC.
• Артефакти відображення при відтворенні H.264-відео в Windows Vista.

В березні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 12.03.2013-26.05.2013. Дев’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з трьох невеликих дефейсів і одного крупного дефейса сайтів.

Всього було взломано 290 сайтів на сервері хостера HostPro (IP 80.91.189.17). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти rayrada.gov.ua та dity-zhitomir.gov.ua.

З зазначених 290 сайтів 287 сайтів були взломані хакерами з islamic ghosts team, 1 сайт хакерами з BD GREY HAT HACKERS, 1 сайт хакером Hmei7 та 1 сайт хакером s13doeL.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу islamic ghosts team можна сказати, що враховуючи дефейс 287 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

У серпні, 15.08.2013, вийшла версія PHP 5.4.18. В якій виправлено біля 30 багів та дві уразливості. А 16.08.2013 вийшла версія PHP 5.5.2. В якій виправлено біля 20 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.18 і PHP 5.5.2:

• Виправлена уразливість в XML parser (CVE-2013-4113) в PHP 5.4.18, що раніше була виправлена у версіях 5.3.27 і 5.5.1.
• Виправлена уразливість в OpenSSL модулі (CVE-2013-4248).
• Виправлена проблема з session fixation (CVE-2011-4718) в PHP 5.5.2.

Останнє секюріті покращення додає реалізацію захищених сесій в гілку PHP 5.5.x. Які дозволяють захиститися від атак по перехопленню фіксованих ідентифікаторів сесій і підбору ідентифікаторів через виявлення колізій в алгоритмах генерації ідентифікаторів сесій.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 22.0, Firefox ESR 17.0, Thunderbird 17.0, Thunderbird ESR 17.0, Seamonkey 2.19.

Пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних, підміна інформації, міжсайтовий скриптінг, підвищення привілеїв, обхід захисту, DoS, виконання коду, витік інформації.

• Mozilla Foundation Security Advisory 2013-63 (деталі)
• Mozilla Foundation Security Advisory 2013-64 (деталі)
• Mozilla Foundation Security Advisory 2013-65 (деталі)
• Mozilla Foundation Security Advisory 2013-66 (деталі)
• Mozilla Foundation Security Advisory 2013-67 (деталі)
• Mozilla Foundation Security Advisory 2013-68 (деталі)
• Mozilla Foundation Security Advisory 2013-69 (деталі)
• Mozilla Foundation Security Advisory 2013-70 (деталі)
• Mozilla Foundation Security Advisory 2013-71 (деталі)
• Mozilla Foundation Security Advisory 2013-72 (деталі)
• Mozilla Foundation Security Advisory 2013-73 (деталі)
• Mozilla Foundation Security Advisory 2013-74 (деталі)
• Mozilla Foundation Security Advisory 2013-75 (деталі)

У червні, 18.06.2013, майже через місяць після виходу Google Chrome 27, вийшов Google Chrome 28.

В браузері зроблено декілька нововведень та виправлені помилки. Та збільшені мінімальні вимоги до Linux-систем.

А також виправлено 19 уразливостей, деякі з яких позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), обхід SOP при обробці фреймів, плутанина типів у движку v8 та інші уразливості.

• Релиз web-браузера Chrome 28 с повышением минимальных требований к Linux-системам (деталі)

За повідомленням www.opennet.ru, в OpenX виявлений бекдор.

У коді OpenX, відкритого движка для організації показу онлайн реклами, виявлений бекдор. Наявність бекдора підтверджена у версії 2.8.10, але за заявою дослідників безпеки шкідливий код поставлявся починаючи з листопада 2012 року. Розробники проекту підвердили даний інцидент і радять усім користувачам оновити OpenX до версії 2.8.11.

Про бекдори у веб додатках я вже писав неодноразово і це черговий випадок.

За повідомленням www.xakep.ru, Google підтвердила баг у генераторі псевдовипадкових чисел під Android.

Розробник Алекс Клюбін з компанії Google підтвердив наявність уразливості в криптографічному модулі Java Cryptography Architecture, що використовується додатками Android для генерації ключів, підпису і генерації псевдовипадкових чисел. Уразливість пов’язана з некоректною реалізацією генератора псевдовипадкових чисел (PRNG) в операційній системі.

Він опублікував повідомлення в блозі для розробників Android незабаром після того, як стало відомо про крадіжку як мінімум 55 BTC з одного з біткоін-гаманців, згенерованих у Android-додатку.

За повідомленням bugtraq.ru, Facebook засвітив особисті дані шести мільйонів користувачів за рік.

Помилка в реалізації механізму “Download Your Information” привела до того, що користувач при завантаженні своїх даних міг прихопити й електронну пошту/телефони інших користувачів зі свого списку контактів або тих, з ким він був яким-небудь чином пов’язаний у соціальній мережі.

Витоки ці почалися ще в 2012, але розробники усунули уразливість лише наприкінці червня. Загальне число потерпілих оцінюється в шість мільйонів.

Те, що Facebook дірявий, я писав неодноразово. Витоки інформації та інші уразливості там знаходять увесь час. Сам знаходив багато уразливостей на сайтах цієї соцмережі.

Виявлені уразливості безпеки в Apache suexec.

Уразливі продукти: Apache 2.2.

Підвищення привілеїв, обхід захисту.

• Apache suEXEC privilege elevation / information disclosure (деталі)

В січні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2011 - 2013 років: 12.08.2011 (1 сайт), від 05.04.2012 до 03.07.2012 (25 сайтів) та від 11.01.2013 до 08.06.2013 (144 сайти). Восьмий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів та трьох крупних дефейсів сайтів.

Всього було взломано 170 сайтів на сервері хостера HostPro (IP 193.169.188.27). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт mon-ark.gov.ua, який був взломаний двічі - в минулому і поточному році.

З зазначених 170 сайтів 79 сайтів були взломані хакером 3xp1r3, 6 сайтів хакером omarxarmy, 13 сайтів хакерами з Anonymous Albania, 5 сайтів хакером X_MAN 3R3R, 2 сайти хакером Hmei7, 30 сайтів хакером BADI, 4 сайти хакером misafir, 20 сайтів хакером Haranobu, 3 сайти хакером control_7rb та по 1 сайту хакерами SiR Abdou, Pak Cyber Eaglez, Mr Exploits, HeRoTurk, Pakhtun72, s13doeL, Ev!LsCr!pT_Dz, SnIpEr_39, iskorpitx.

При крупних дефейсах, як у випадку 3xp1r3, BADI і Haranobu, сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлені численні уразливості безпеки в Microsoft .NET і Silverlight.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, Silverlight 5.

Критичні уразливості в .NET і Silverlight.

• Microsoft Security Bulletin MS13-052 - Critical Vulnerabilities in .NET Framework and Silverlight Could Allow Remote Code Execution (2861561) (деталі)