Websecurity - Веб безпека

Виявлена можливість обходу захисту в Oracle Java та IBM Java.

Уразливі продукти: JRE 1.7 (версії від Oracle та IBM).

Вихід з обмеженого середовища через Reflection API.

• Yet another Reflection API flaw affecting Oracle’s Java SE (деталі)
• New security vulnerabilities and broken fixes in IBM Java (деталі)

У квітні, 11.04.2013, вийшли PHP 5.3.24 та PHP 5.4.14. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки PCRE.

По матеріалам http://www.php.net.

Виявлене пошкодження пам’яті в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.0.

Пошкодження пам’яті через SVG.

• APPLE-SA-2013-04-16-1 Safari 6.0.4 (деталі)

Виявлене цілочислене переповнення в nginx.

Уразливі версії: nginx 1.4.

Цілочислене переповнення приводить до можливості виконання коду.

• Nginx ngx_http_close_connection function integer overflow (деталі)
• Re: Nginx ngx_http_close_connection function integer overflow (деталі)

За повідомленням www.xakep.ru, 55% користувачів використовують однаковий пароль на більшості веб сайтів.

Міністерство комунікацій Великобританії оголосило тривожні дані відносно занадто безтурботного відношення користувачів до власної безпеки. Проведене опитування показало, що більше половини британських користувачів (55%) використовують один і той самий пароль для більшості, якщо не для всіх, веб сайтів.

Це поширена і давно відома практика серед Інтернет-користувачів. На яку вже багато років звертають увагу фахівці з безпеки. І вона є небезпечною для користувачів у зв’язку з поширеними випадками витоків паролів на різних сайтах, кількість яких постійно зростає.

За повідомленням www.opennet.ru, на серверах з Cpanel виявлений бекдор, інтегрований у виконавчий файл Apache httpd.

На Linux-серверах, що використовують панель керування хостингом Cpanel, виявлений новий бекдор, що вражає компоненти http-сервера Apache. На відміну від попередніх способів впровадження в Apache, заснованих на завантаженні окремого троянського модуля, нове шкідливе ПЗ відрізняється прямою інтеграцією у виконавчий файл httpd. Шкідлива вставка додається безпосередньо у виконавчий файл і перенаправляє на свій код кілька обробників, що викликаються у процесі обслуговування зовнішніх запитів до веб сервера.

Уся пов’язана з бекдором інформація зберігається у розділюваній пам’яті. Команди керування бекдором передаються через спеціальні HTTP GET-запити, що обробляються шкідливою вставкою мовчки, без відображення будь-яких даних у лозі.

Стосовно бекдорів для веб серверів раніше я писав про руткіт для Nginx та шкідливі модулі для Apache. Даний метод розповсюдження інфекції стає все більш поширеним.

За повідомленням www.xakep.ru, фальшивий твіт понизив котирування на фондовій біржі.

У вівторок 23 квітня ми одержали рідку можливість оцінити, який конкретний вплив на фондовий ринок мають твіттер та інформаційні агентства. Як з’ясувалось, ринок уважно стежить за інформаційними потоками і жваво реагує на них. Реакція настільки швидка, що вона по визначенню не може бути обміркованою. У даному випадку ринок відреагував на абсолютно вигадану інформацію зі взломаного твіттера новинного агентства.

Цей випадок зі взломом твіттер акаунта AP наочно показує, як взлом сайта й розміщення на ньому дезінформації може призводити до фінансових втрат. Зокрема, до зниження котирувань на фондовій біржі. Після цього інциденту, вслід за багатьма іншими компаніями, Twitter оголосила про впровадження двохфакторної аутентифікації.

У квітні місяці Microsoft випустила 9 патчів. Що більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, SharePoint та серверних продуктів Microsoft.

Виявлені уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Витік інформації, несанкціонований доступ.

• Уязвимости безопасности в Adobe ColdFusion (деталі)

З 06.04.2012 по 04.02.2013 відбувся шостий масовий взлом сайтів на сервері Delta-X, після п’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний шостий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. Попередні п’ять масових дефейсів на серверах даної компанії відбувалися в 2010 році.

Всього було взломано 19 сайтів на сервері української компанії Delta-X (IP 91.206.201.15). Це наступні сайти: kroshkadekor.com, www.drivers-nout.com, promland.biz, www.clothescloser.com.ua, obuhivzem.gov.ua, 700-800.com, www.komfort.zt.ua, dom2007.com.ua, vadmart.net, viver.net.ua, www.kotovsk-teplokomunenergo.com.ua, www.sitlie.com, pulsarmodel.net, www.uslugikiev.com, ustars.org.ua, artcollege.dn.ua, auto-forum.ikoleso.com.ua, test.music4us.com.ua, divar.com.ua. Серед них український державний сайт obuhivzem.gov.ua.

Дефейси по одному сайту булу проведені хакерами ZoRRoKiN, Newbie3viLc063s, ArTiN, AkSuVaRi, ha4k3r, Aerul Da White-Hkc, Hmei7, david becker, Momik, DaiLexX і netcat та по два сайти хакерами Sejeal, misafir, 1923Turk і TURK KURSUNU.

Враховуючи велику кількість окремих дефейсів по одному або два сайти, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 12.0.

Переповнення буфера, пошкодження пам’яті, витік інформації.

• Security update available for Adobe Shockwave Player (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.6, AIR 3.6.

Численні пошкодження пам’яті.

• Adobe Flash Player RTMP Data Processing Object Confusion (CVE-2013-2555) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)