Websecurity - Веб безпека

У липні місяці Microsoft випустила 7 патчів. Що більше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 32 уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та один патч закриває важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Visual Studio, Lync, Internet Explorer, .NET Framework, Silverlight і Windows Defender.

У липні, 04.07.2013, вийшла версія PHP 5.4.17. В якій виправлено біля 20 багів. А 11.07.2013, вийшла версія PHP 5.3.27. В якій виправлено біля 10 багів та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.27:

• Виправлена уразливість в XML parser (баг #65236).

По матеріалам http://www.php.net.

За повідомленням www.xakep.ru, як заробити $20 тис. за один день на простому базі Facebook.

Протягом декількох років ви могли змінити пароль будь-якому іншому користувачу Facebook, просто змінивши елемент profile_id у формі fbMobileConfirmationForm при аутентифікації з мобільного телефону.

Фахівець з безпеки Джек Уітттен пояснив суть уразливості, що пов’язана з неправильною обробкою параметрів скриптом для підтвердження номера телефону, що прив’язується до аккаунту.

Те, що Facebook дірявий, я писав неодноразово. Сам знаходив багато уразливостей на сайтах цієї соцмережі. А деякі люди навіть заробляють на дірках в Facebook (як от $20000 за цю дірку). Враховуючи, що на Facebook увесь час знаходять різні уразливості і ця дірка існувала на сайті багато років, все це говорить, що власники соцмережі не проводять аудити безпеки (чекаючи, що їм на блюдці принесуть дірки в їхній соціальній мережі).

За повідомленням www.opennet.ru, rubygems.org піддався взлому.

Rubygems.org, популярний репозиторій модулів для додатків на Ruby, був скомпрометований невідомими зловмисниками, що одержали доступ до сервера шляхом експлуатації уразливості в YAML-парсері фреймворка Ruby on Rails, у якому в січні було виправлено кілька критичних проблем безпеки.

Виявлено, що в процесі атаки була задіяна проблема безпеки в парсері Psych YAML, але уразливість була експлуатована не через HTTP, а через інтерфейс обробки метаданих Rubygems.

Торік я писав про взломи репозиторіїв Linux та FreeBSD, а цього року я писав про бекдор у віджеті соціальних мереж для WordPress, що був вставлений в код після компрометації акаунта розробника віджету. А це ще один приклад атаки на репозиторії, для включення бекдорів у вихідний код.

За повідомленням www.xakep.ru, Брайан Кребс розсекретив партнерську програму FeodalCash.

Журналіст і блогер, що спеціалізується на інформаційній безпеці, Брайан Кребс провів нове журналістське розслідування. Цього разу у фокусі його уваги виявилося російськомовне співтовариство FeodalCash, члени якого одержують партнерську винагороду за встановлення шкідливих програм на комп’ютери користувачів. Зокрема трояна Win32/Tarcloin, що здійснює майнінг біткоінів на комп’ютері жертви.

Я вже писав про випадки нелегального майнінга біткоінів. А це ціла партнерка для розповсюдження троянів для генерації Bitcoin.

Виявлені пошкодження пам’яті в PHP.

Уразливі версії: PHP 5.3.

Пошкодження пам’яті при роботі з XML, DoS у функції jdtojewish.

• Vulnerability in PHP (деталі)
• Re: Vulnerability in PHP (деталі)

З 04.11.2012 по 18.05.2013 відбувся сьомий масовий взлом сайтів на сервері Delta-X, після шостого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сьомий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 3 сайти були дефейснуті в 2012 році та 35 сайтів в 2013 році.

Всього було взломано 38 сайтів на сервері української компанії Delta-X (IP 91.206.200.120). Це наступні сайти: dianetica.org.ua, dimitrov-rada.gov.ua, www.budivel-energy.com.ua, www.kremdruk.com.ua, alve.com.ua, newmebel.kiev.ua, xn--b1adem3b.zp.ua (двери.zp.ua), hlebopech.com, advokato.in.ua, www.vidradne.com.ua, www.rakushka.org.ua, www.lamontfaibvre.com, www.vyshka.com.ua, www.ecowood.rv.ua, energyclub.com.ua, lads.com.ua, gcard.com.ua, perha-ledi.com.ua, www.ecotour.com.ua, www.interpreter.kh.ua, stm-instrument.com.ua, autosvet.kiev.ua, princess.od.ua, southts.od.ua, vgcity.com.ua, sosna.kiev.ua, tresdias.net.ua, www.imperiasada.com.ua, www.uachina.org, nechaeva.dp.ua, gruzi.dp.ua, www.poskachey.com, www.handmaderabbit.org.ua, taxi-kiev.co.ua, www.akerman.com.ua, webservis.in.ua, korinv.org.ua, suzir.com.ua. Серед них український державний сайт dimitrov-rada.gov.ua.

Дефейси по одному сайту булу проведені хакерами dr.m1st3r, tn_hacker, Bangladesh Cyber Army, s13doeL, Joulex, Yildiray, Game Over, S4V4S, luckybag, 1923Turk, Dr.SHA6H, 7 сайтів хакером Hmei7, 6 сайтів хакером misafir та 14 сайтів хакером Sejeal.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Виконання коду, DoS.

• Security update: Hotfix available for ColdFusion (деталі)
• Security update: Hotfixes available for ColdFusion (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі продукти: Adobe Shockwave Player 12.0.

Пошкодження пам’яті, виконання коду.

• Security update available for Adobe Shockwave Player (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.7, AIR 3.7.

Численні пошкодження пам’яті, виконання коду.

• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

За повідомленням www.xakep.ru, виплата винагород за уразливості дуже вигідна компаніям.

Учені з Каліфорнійського університету в Берклі провели емпіричне дослідження ефективності програм грошових винагород за уразливості. Як відомо, подібні програми діють у Mozilla, Google, Facebook, Microsoft та інших компаніях: усі вони виплачують винагороду хакерам, що знайдуть небезпечні уразливості у фірмових програмних продуктах.

Як з’ясували дослідники, подібні програми надзвичайно ефективні. За звітний період 27,5% усіх закритих уразливостей у браузері Chrome (371 з 1347) сталі відомі саме завдяки програмі винагород за баги, у Firefox - 24,1% (148 з 613), що теж хороший показник.

Те, що приблизно за три роки у Chrome було знайдено 1347 уразливостей, а у Firefox 613 уразливостей свідчить про рівень дірявості цих браузерів. Особливо виділяється Chrome - за той же період в ньому було знайдено в 2,2 рази більше дірок, ніж у Firefox. При тому, що в своїх офіційних анонсах релізів браузера Google не згадав про таку кількість уразливостей, переважно він згадував лише про дірки знайдені по програмі виплат (що менше третини від всіх знайдених дірок). Не кажучи про всі ті випадки, коли розробники браузерів приховано виправили повідомлені мною уразливості. Тобто про переважну більшість уразливостей Гугл навіть не згадав, приховавши від людей справжню ситуацію з низьким рівнем безпеки їхнього браузера.

За повідомленням ain.ua, київський суд засудив трьох хакерів до 5 років в’язниці за віруси.

Печерський райсуд Києва засудив до кримінальної відповідальності трьох хакерів, що поширювали вірус Carberp. Вірус призначався для крадіжки коштів з рахунків клієнтів кредитно-фінансових установ, зокрема - банків.

Учасників хакерської групи визнали винними в злочині по ч.2 ст. 361-1 Кримінального кодексу. Вірмейкерів засудили до п’яти років позбавлення волі з відстрочкою в три роки.

За повідомленням www.xakep.ru, Microsoft виплатила першу нагороду за уразливість в IE11.

18 червня компанія Microsoft оголосила про запуск трьох програм Microsoft Security Bounty, по яких компанія вперше у своїй історії обіцяє платити хакерам за інформацію про небезпечні уразливості у Windows 8.1 та Internet Explorer 11.

Старший стратег по інформаційній безпеці Microsoft Кеті Муссуріс пише в офіційному блозі, що хакерське співтовариство “з ентузіазмом” сприйняло нову програму виплат винагород. За перші два тижні її дії було подано “більше десяти заявок з описом уразливостей”, що більше ніж у два рази перевищує нормальний потік повідомлень про баги. Отже, 10 липня Microsoft прийняла рішення здійснити першу виплату.

Раніше я вже писав про програми винагород за уразливості від Microsoft. Компанія зрозуміла переваги таких програм і в червні запустила власні програми. Й результати не забарилися.

Виявлене переповнення буфера в nginx.

Уразливі версії: nginx 1.4.

Переповнення буфера при обробці відповіді сервера HTTP зазначеного в proxy_pass.

• nginx security update (деталі)