Websecurity - Веб безпека

Виявлені слабкі дозволи в Firefox для Android.

Уразливі версії: Mozilla Firefox 19.0.

Слабкі дозволи на каталог app_tmp дозволяють перезапис доповнень для браузера.

• World read and write access to app_tmp directory on Android (деталі)

Виявлені уразливості безпеки в Apache mod_security.

Уразливі версії: Apache mod_security 2.6.

Доступ до локальних даних, вичерпання ресурсів.

• libapache-mod-security security update (деталі)

Виявлені XSS уразливості (міжсайтовий скриптінг) у різних продуктах Microsoft.

Уразливі продукти: Microsoft InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Office Web Apps 2010, Groove Server 2010.

Некоректна нормалізація символів.

• Microsoft Security Bulletin MS13-035 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818) (деталі)

Виявлені слабкі дозволи в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2013.

Слабкі права доступу до документів.

• Microsoft Security Bulletin MS13-030 - Important Vulnerability in SharePoint Could Allow Information Disclosure (2827663) (деталі)

За повідомленням www.xakep.ru, Microsoft уводить двохфакторну аутентифікацію.

Найближчим часом користувачі Microsoft Account одержать можливість активувати в налаштуваннях на сайті http://account.live.com нову опцію - двохфакторну аутентифікацію. Це означає, що доступ в аккаунт буде захищений не тільки паролем, але і додатковим одноразовим кодом, що буде приходити на телефон під час аутентифікації.

Google ввела двохфакторну аутентифікацію ще два роки тому, так само як це давно вже зробили інші компанії (в тому числі українські). І от нарешті Microsoft дійшла до цього.

За повідомленням www.opennet.ru, віджет соціальних мереж для WordPress виявився джерелом спама.

У плагині Social Media Widget для WordPress, з реалізацією віджета для вставки кнопок швидкого звернення до соціальних мереж, виявлена наявність шкідливого коду для підстановки спаму. Погіршує ситуацію те, що плагін користається великою популярністю і був завантажений більше 900 тисяч разів. В даний час плагін уже вилучений з каталогу WordPress, а всім користувачам дана рекомендація негайного відключення даного плагіна у своїх системах.

Торік в своїй статті Включення бекдорів у веб додатки я писав про основні шляхи потрапляння бекдору у веб додатки та численні приклади популярних веб додатків в яких були виявленні бекдори (серед них був і WordPress). Я досліджую цю тему на протязі багатьох років. І з моєї статті випливало, що в будь-який веб додаток, в тому числі плагіни, можуть потрапити бекдори. І цей випадок з плагіном для WP наявне цьому підтвердження.

За повідомленням www.xakep.ru, SQL ін’єкції - головна зброя армії скрипт-кідді.

У квітні 2013 року компанія Veracode опублікувала черговий щорічний звіт State of Software Security із тенденціями і статистикою в області інтернет безпеки. Компанія дуже докладно досліджує найбільш розповсюджені уразливості веб додатків, а також загальні тенденції на ринку інтернет безпеки.

Ключові тенденції 2013 року від Veracode: Збільшення кількості “повсякденних” хакерів (скрипт-кідді), Зростання попиту на професіоналів в області ІТ-безпеки, Проблеми з криптографією в додатках під Android (64%) та iOS (58%), Криптографічний захист комунікацій стане нормою.

У березні, 26.03.2013, майже через півтора місяці після виходу Google Chrome 25, вийшов Google Chrome 26.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 11 уразливостей, з яких 2 позначені як небезпечні. Це менше ніж у попередній версії браузера.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті при роботі Web Audio і проблемами з обробкою ізольованих сайтів в окремому процесі.

• Увидел свет web-браузер Chrome 26 (деталі)

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4, PostgreSQL 9.1, PostgreSQL 9.2.

DoS, слабкий PRNG, підвищення привілеїв.

• PostgreSQL vulnerabilities (деталі)

Численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Численні пошкодження пам’яті, підвищення привілеїв, слабкі дозволи на файли, DoS, обхід захисту, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2013-30 (деталі)
• Mozilla Foundation Security Advisory 2013-31 (деталі)
• Mozilla Foundation Security Advisory 2013-32 (деталі)
• Mozilla Foundation Security Advisory 2013-33 (деталі)
• Mozilla Foundation Security Advisory 2013-34 (деталі)
• Mozilla Foundation Security Advisory 2013-35 (деталі)
• Mozilla Foundation Security Advisory 2013-36 (деталі)
• Mozilla Foundation Security Advisory 2013-37 (деталі)
• Mozilla Foundation Security Advisory 2013-38 (деталі)
• Mozilla Foundation Security Advisory 2013-39 (деталі)
• Mozilla Foundation Security Advisory 2013-40 (деталі)

У березні, 14.03.2013, вийшли PHP 5.3.23 та PHP 5.4.13. В яких виправлено біля 15 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.23 та PHP 5.4.13:

• Виправлена XML External Entity уразливість, що дозволяла читання довільних файлів через SOAP WSDL-файли.
• Виправлений обхід open_basedir через SOAP.

По матеріалам http://www.php.net.

За повідомленням www.xakep.ru, Scribd взломаний, вкрадені email-и користувачів і хеші паролів.

Веб-сервіс для публікації документів і презентацій Scribd взломаний. Зловмисники одержали доступ до адрес електронної пошти і парольних хешів (із сіллю) користувачів. Незабаром ця інформація може бути опублікована у відкритому доступі.

Регулярно відбуваються подібні взломи популярних сервісів. І як за звичай трапляється у таких випадках, власники взломаного ресурсу (в даному випадку Scribd), зробили хорошу міну про поганій грі - вони заявили, що вкрали лише емайли і хеші (й нічого більше), та із-за використання хешів із сіллю наслідки взлому для користувачів не будуть великими. При тому, що існує імовірність підбору паролів для всіх хешів.

За повідомленням www.opennet.ru, на змаганні Pwn2Own були успішно взломані Chrome, Firefox, IE 10 і Java.

В березні пройшов Pwn2Own 2013. Перший день змагань Pwn2Own, що проводиться щорічно в рамках конференції CanSecWest, виявився як ніколи плідний - були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей в Chrome, Firefox, IE 10, Windows 8 і Java.

В усіх випадках атака була зроблена при обробці в браузері спеціально оформленої веб сторінки, відкриття якої завершилося одержанням повного контролю над системою. При демонстрації атаки використовувалися самі свіжі стабільні випуски браузерів і операційних систем Windows 7, 8 і Mac OS X Mountain Lion із усіма доступними оновленнями в конфігурації за замовчуванням.

За повідомленням www.opennet.ru, виявлено новий ботнет з незахищених маршрутизаторів із прошиванням на базі Linux.

Чеські дослідники в області безпеки комп’ютерних систем повідомили про виявлення нового мережного хробака, що одержав назву “Чак Норріс”, що складається з незахищених належним чином міні-маршрутизаторів, DSL-модемів і супутникових TV-ресиверів, що працюють на базі прошивань, заснованих на Linux. Як правило інфікування маршрутизаторів відбувається через виставляння адміністратором ненадійного пароля, що підбирається шляхом нескладного перебору типових варіантів, чи збереження пароля, заданого за замовчуванням.

Як видно окрім ботнета з маршрутизаторів створеного для проведення секюріті досліджень, також створюють такі ботнети для проведення DDoS та інших атак. Про уразливі маршрутизатори та інші мережеві пристрої і про можливості використання їх для атак (в тому числі створення ботнетів) я писав на протязі багатьох років.