Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Виконання коду, DoS.

• Security update: Hotfix available for ColdFusion (деталі)
• Security update: Hotfixes available for ColdFusion (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі продукти: Adobe Shockwave Player 12.0.

Пошкодження пам’яті, виконання коду.

• Security update available for Adobe Shockwave Player (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.7, AIR 3.7.

Численні пошкодження пам’яті, виконання коду.

• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

За повідомленням www.xakep.ru, виплата винагород за уразливості дуже вигідна компаніям.

Учені з Каліфорнійського університету в Берклі провели емпіричне дослідження ефективності програм грошових винагород за уразливості. Як відомо, подібні програми діють у Mozilla, Google, Facebook, Microsoft та інших компаніях: усі вони виплачують винагороду хакерам, що знайдуть небезпечні уразливості у фірмових програмних продуктах.

Як з’ясували дослідники, подібні програми надзвичайно ефективні. За звітний період 27,5% усіх закритих уразливостей у браузері Chrome (371 з 1347) сталі відомі саме завдяки програмі винагород за баги, у Firefox - 24,1% (148 з 613), що теж хороший показник.

Те, що приблизно за три роки у Chrome було знайдено 1347 уразливостей, а у Firefox 613 уразливостей свідчить про рівень дірявості цих браузерів. Особливо виділяється Chrome - за той же період в ньому було знайдено в 2,2 рази більше дірок, ніж у Firefox. При тому, що в своїх офіційних анонсах релізів браузера Google не згадав про таку кількість уразливостей, переважно він згадував лише про дірки знайдені по програмі виплат (що менше третини від всіх знайдених дірок). Не кажучи про всі ті випадки, коли розробники браузерів приховано виправили повідомлені мною уразливості. Тобто про переважну більшість уразливостей Гугл навіть не згадав, приховавши від людей справжню ситуацію з низьким рівнем безпеки їхнього браузера.

За повідомленням ain.ua, київський суд засудив трьох хакерів до 5 років в’язниці за віруси.

Печерський райсуд Києва засудив до кримінальної відповідальності трьох хакерів, що поширювали вірус Carberp. Вірус призначався для крадіжки коштів з рахунків клієнтів кредитно-фінансових установ, зокрема - банків.

Учасників хакерської групи визнали винними в злочині по ч.2 ст. 361-1 Кримінального кодексу. Вірмейкерів засудили до п’яти років позбавлення волі з відстрочкою в три роки.

За повідомленням www.xakep.ru, Microsoft виплатила першу нагороду за уразливість в IE11.

18 червня компанія Microsoft оголосила про запуск трьох програм Microsoft Security Bounty, по яких компанія вперше у своїй історії обіцяє платити хакерам за інформацію про небезпечні уразливості у Windows 8.1 та Internet Explorer 11.

Старший стратег по інформаційній безпеці Microsoft Кеті Муссуріс пише в офіційному блозі, що хакерське співтовариство “з ентузіазмом” сприйняло нову програму виплат винагород. За перші два тижні її дії було подано “більше десяти заявок з описом уразливостей”, що більше ніж у два рази перевищує нормальний потік повідомлень про баги. Отже, 10 липня Microsoft прийняла рішення здійснити першу виплату.

Раніше я вже писав про програми винагород за уразливості від Microsoft. Компанія зрозуміла переваги таких програм і в червні запустила власні програми. Й результати не забарилися.

Виявлене переповнення буфера в nginx.

Уразливі версії: nginx 1.4.

Переповнення буфера при обробці відповіді сервера HTTP зазначеного в proxy_pass.

• nginx security update (деталі)

Виявлена можливість ін’єкції заголовків у Perl модулі Dancer.

Уразливі версії: perl-Dancer 1.311.

Включення заголовків у методах роботи з кукісами.

• Vulnerability in perl-Dancer (деталі)

Виявлена можливість підвищення привілеїв у Perl модулі Module::Signature.

Уразливі версії: Module::Signature 0.68.

Викликається додаток по відносному шляху.

• Module::Signature perl module vulnerability (деталі)

За повідомленням www.xakep.ru, SSL: перехопимо сьогодні, розшифруємо завтра.

Мільйони веб сайтів покладаються на SSL для захисту конфіденційної інформації, що передається по загальнодоступних каналах. Передбачається, що використання криптографічного захисту підвищує безпеку даних. У той же час недавно стали відомі секретні розпорядження АНБ по запису великих обсягів зашифрованого інтернет-трафіку для подальшого криптоаналізу.

Сенс запису зашифрованого трафіку в тім, що в майбутньому може виявитися доступним ключ для його розшифровки: у результаті судової постанови, соціальної інженерії, успішної атаки на веб сайт чи шляхом криптоаналізу.

Щоб уникнути негативних наслідків, експерти рекомендують використовувати шифри досконалої прямої таємності (Perfect forward secrecy). Такі шифри гарантують, що сесійні ключі, отримані за допомогою набору відкритих і закритих ключів довгострокового користування, не будуть скомпрометовані при компрометації одного з закритих ключів. При використанні PFS компрометація секретного ключа SSL не дозволить розшифрувати попередній трафік.

За повідомленням www.oszone.net, Microsoft пропонує винагороди за знаходження уразливостей у Windows 8.1 та IE11.

Компанія Microsoft анонсувала програму по пошуку несправностей та експлоітів у версії Windows 8.1 Preview, що була представлена на конференції BUILD 26 червня. Той, кому пощастить знайти по-справжньому невідомий дотепер експлоіт, зможе розраховувати на одержання круглої суми в $100 тисяч як винагороду по програмі Mitigation Bypass Bounty.

Таким фінансовим стимулюванням редмондська компанія бажає відшліфувати нову версію своєї операційної системи в плані безпеки. А пошук уразливостей IE11 у рамках програми IE11 Preview Bug Bounty триватиме з 26 червня по 26 липня.

За повідомленням www.xakep.ru, розсекречений Android майстер-ключ робить уразливими 99% пристроїв.

Фахівці з безпеки з компанії Bluebox Security повідомили про уразливість у моделі безпеки операційної системи Android, що дозволяє зловмиснику модифікувати уміст файлу APK, не змінюючи його криптографічного підпису.

Іншими словами, у будь-який додаток можна додати троян, зберігши криптографічний підпис оригінального автора додатка. Технічні подробиці про уразливість будуть розкриті у виступі на конференції Black Hat USA 2013, що почнеться 27 липня 2013 року.

Про проблеми з криптографією в додатках під Android я вже писав раніше. Як і про уразливості в різних додатках під цю ОС.

У червні, 25.06.2013, вийшов Mozilla Firefox 22. Нова версія браузера вийшла через півтора місяця після виходу Firefox 21.

Mozilla офіційно випустила реліз веб-браузера Firefox 22, а також мобільну версію Firefox 22 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 23 намічений на 6 серпня, а Firefox 24 на 17 вересня. Також був випущений Seamonkey 2.19.

Одночасно з Firefox 22 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.7 і Thunderbird 17.0.7.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 22.0 усунуто 14 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 22 с поддержкой Asm.js (деталі)

Звертання до неініціалізованної пам’яті в cURL і libcurl.

Уразливі продукти: cURL 7.24, libcurl 7.24.

Запис неініціалізованної пам’яті в curl_easy_unescape().

• Vulnerability in curl (деталі)