03.08.2013
Виявлені численні уразливості безпеки в Google Chrome та Chromium.
Уразливі продукти: Google Chrome 27.0, Chromium 27.0.
Обхід захисту, підвищення привілеїв, DoS, використання пам’яті після звільнення, витік інформації, пошкодження пам’яті.
15.08.2013
Додаткова інформація.
У серпні, 06.08.2013, вийшов Mozilla Firefox 23. Нова версія браузера вийшла через півтора місяця після виходу Firefox 22.
Mozilla офіційно випустила реліз веб-браузера Firefox 23, а також мобільну версію Firefox 23 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 24 намічений на 17 вересня, а Firefox 25 на 29 жовтня.
Також був випущений Seamonkey 2.20 та оновлені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.8 і Thunderbird 17.0.8.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 23.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).
Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і People Soft.
Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, 5.5 і 5.6, Oracle E-Business Suite 11i, Solaris 8, 9 і 10, PeopleSoft HRMS 9.1, PeopleSoft PeopleTools 8.53, JRockit 27.7 і 28.2, Oracle Access Manager 11.1, Oracle HTTP Server 10.1 та інші продукти Oracle.
89 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.
На початку року відбувся третій масовий взлом сайтів на сервері Hvosting. Він тривав у 2012 та у 2013 роках: 05.01.2012 та від 11.01.2013 до 18.05.2013.
Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів та одного крупного дефейсу. Раніше я писав про другий масовий взлом сайтів на сервері Hvosting.
Всього було взломано 28 сайтів на сервері хостера Hvosting (IP 91.200.40.62). Це наступні сайти: www.businessclimate.dn.ua, www.forexrevolution.biz, umoks.com.ua, www.ppvr.kiev.ua, olevsk-rada.gov.ua, dentasept.com.ua, donkidsclub.com.ua, fri.dn.ua, human-design.com.ua, imagedesign.dn.ua, jeremy-grand.com.ua, kudinov.com.ua, kumovya.ru, massage.donetsk.ua, masterlevsha.com.ua, mebeldonetsk.dn.ua, milliontut.ru, napravo.com.ua, organicpro.com.ua, oriflame-kym.ru, promteh.dn.ua, rime.com.ua, textile-plus.com.ua, tsk-comfort.com.ua, uglekachestvo.com.ua, www.master-levsha.dn.ua та dance-land.com (в 2012 і повторно в 2013). Серед них український державний сайт olevsk-rada.gov.ua.
З зазначених 28 сайтів 2 сайти були взломані хакером Hmei7, 20 сайтів хакером Jack Riderr та по 1 сайту хакерами s13doeL, erreur404, Cloudx, Sejeal, KaraCeri та kosovali16.
У випадку крупного дефейса Jack Riderr, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.
Виявлена можливість проведення DoS атаки проти Apache mod_dav_svn.
Уразливі продукти: mod_dav_svn для Apache в Subversion 1.7 і 1.8.
Відмова при обробці команд COPY, DELETE, MOVE.
За повідомленням www.xakep.ru, четверо росіян і один українець здійснили найбільший взлом в історії за допомогою SQL-ін’єкцій.
Міністерство юстиції США повідомляє про найбільший взлом в історії, що вдалося розкрити правоохоронним органам. У федеральному суді Ньюарка (Нью-Джерсі) пред’явлене обвинувачення п’яти хакерам, що несуть відповідальність за крадіжку більше 160 мільйонів “дампів” платіжних карт, що привело до збитку в сотні мільйонів доларів.
Жертвами взломів у 2005-2012 роках сталі компанії фінансового сектора, банки і торгові мережі. Слідчі пояснюють, що за аферою стоять п’ять чоловік - четверо росіян і один українець - у кожного з який була специфічна роль в організації.
За повідомленням bugtraq.ru, HP визнала існування бекдорів у двох лінійках своїх продуктів.
HP визнала існування недокументованих бекдорів у StoreOnce D2D Backup і StoreVirtual Storage, що забезпечують адміністраторський доступ до керуючої системи. Зокрема у випадку StoreOnce досить увійти по SSH користувачем HPSupport і паролем badg3r5 (який підібрали по SHA1 хешу).
Про бекдори у веб додатках, мережевих пристроях та серверних програмах я вже писав неодноразово. Зараз це актуальна тема.
За повідомленням ko.com.ua, нова уразливість дозволяє обійти HTTPS-захист за 30 секунд.
На проведеній у Лас-Вегасі конференції Black Hat була анонсована BREACH - нова техніка атаки на TLS і SSL. Вона продовжує традиції таких технік як BEAST і CRIME.
Як було показано у доповіді на конференції, протокол HTTPS має серйозну уразливість, що дозволяє в багатьох випадках обійти криптографічний захист усього за 30 секунд. Експлоіт BREACH дає можливість одержувати адреси електронної пошти, кукіси та інші дані користувачів із зашифрованих сторінок.
03.07.2013
Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.
Уразливі продукти: Mozilla Firefox 21.0, Firefox ESR 17.0, Thunderbird 17.0, Seamonkey 2.18.
Пошкодження пам’яті, використання після звільнення, підвищення привілеїв, витік інформації.
02.08.2013
Додаткова інформація.
У липні, 18.07.2013, вийшла версія PHP 5.5.1. В якій виправлено біля 20 багів. Даний реліз направлений на покращення безпеки та стабільності гілки 5.5.x.
Серед секюріті виправлень в PHP 5.5.1:
По матеріалам http://www.php.net.
Виявлені численні уразливості безпеки в Microsoft Internet Explorer.
Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.
Численні пошкодження пам’яті.
Виявлені уразливості безпеки в Apache.
Уразливі версії: Apache 2.2.
DoS через запит MERGE в mod_dav, маніпуляція лог-файлами в mod_rewrite.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.