Websecurity - Веб безпека

За повідомленням www.3dnews.ru, Google визнаний найбільш безпечним пошуковцем.

Цього року Microsoft запустила рекламну кампанію “Scroogled”, у якій описані всі “недоліки” використання пристроїв з Android та пошуковця Google. Як альтернативний варіант Microsoft пропонує користувачам перейти на свій власний пошуковець Bing. Німецькі експерти по безпеці з AV-Test не вважають це оптимальним варіантом.

Фахівці з AV-Test протестували більше 10 мільйонів сайтів в пошукових системах Yandex, Bing, Google і Blekko. Пошуковець Гугла показав найкраще співвідношення інфікованих сайтів до загальної кількості перевірених сайтів.

За повідомленням www.xakep.ru, сисадмін хостинг-провайдера Hostgator поставив бекдори на 2700 серверів.

Колишній співробітник хостинг-провайдера Hostgator викритий у шпигунстві. Він поставив бекдори на 2700 серверів у даті-центрі Hostgator - і одержав необмежений доступ до інформації клієнтів компанії.

В цілому бекдор був установлений на 2723 сервера в мережі компанії Hostgator, на кожному із серверів можуть розміщатися сотні сайтів. Розміщення працівниками хостера бекдорів на серверах - це ще один зі шляхів розповсюдження бекдорів, окрім взломів сайтів та включення бекдорів у репозиторії веб додатків.

За повідомленням www.opennet.ru, дослідження показало жалюгідний стан захищеності SOHO-маршрутизаторів.

Компанія Independent Security Evaluators опублікувала результати дослідження безпеки найбільш популярних моделей бездротових маршрутизаторів для домашніх користувачів і невеликих офісів. У результаті, у всіх розглянутих 13 моделях пристроїв виявлені уразливості, що дозволяють нападнику одержати повний контроль над конфігурацією маршрутизатора чи обійти засоби аутентифікації.

Серед розглянутих у дослідженні пристроїв відзначаються різні моделі бездротових маршрутизаторів Asus, D-Link, TP-Link, Netgear, Linksys, Belkin, Verizon Actiontec і 5 неназваних пристроїв для яких ще не випущені оновлення прошивки з усуненням уразливостей.

Виявлені слабкі дозволи в Firefox для Android.

Уразливі версії: Mozilla Firefox 19.0.

Слабкі дозволи на каталог app_tmp дозволяють перезапис доповнень для браузера.

• World read and write access to app_tmp directory on Android (деталі)

Виявлені уразливості безпеки в Apache mod_security.

Уразливі версії: Apache mod_security 2.6.

Доступ до локальних даних, вичерпання ресурсів.

• libapache-mod-security security update (деталі)

Виявлені XSS уразливості (міжсайтовий скриптінг) у різних продуктах Microsoft.

Уразливі продукти: Microsoft InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Office Web Apps 2010, Groove Server 2010.

Некоректна нормалізація символів.

• Microsoft Security Bulletin MS13-035 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818) (деталі)

Виявлені слабкі дозволи в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2013.

Слабкі права доступу до документів.

• Microsoft Security Bulletin MS13-030 - Important Vulnerability in SharePoint Could Allow Information Disclosure (2827663) (деталі)

За повідомленням www.xakep.ru, Microsoft уводить двохфакторну аутентифікацію.

Найближчим часом користувачі Microsoft Account одержать можливість активувати в налаштуваннях на сайті http://account.live.com нову опцію - двохфакторну аутентифікацію. Це означає, що доступ в аккаунт буде захищений не тільки паролем, але і додатковим одноразовим кодом, що буде приходити на телефон під час аутентифікації.

Google ввела двохфакторну аутентифікацію ще два роки тому, так само як це давно вже зробили інші компанії (в тому числі українські). І от нарешті Microsoft дійшла до цього.

За повідомленням www.opennet.ru, віджет соціальних мереж для WordPress виявився джерелом спама.

У плагині Social Media Widget для WordPress, з реалізацією віджета для вставки кнопок швидкого звернення до соціальних мереж, виявлена наявність шкідливого коду для підстановки спаму. Погіршує ситуацію те, що плагін користається великою популярністю і був завантажений більше 900 тисяч разів. В даний час плагін уже вилучений з каталогу WordPress, а всім користувачам дана рекомендація негайного відключення даного плагіна у своїх системах.

Торік в своїй статті Включення бекдорів у веб додатки я писав про основні шляхи потрапляння бекдору у веб додатки та численні приклади популярних веб додатків в яких були виявленні бекдори (серед них був і WordPress). Я досліджую цю тему на протязі багатьох років. І з моєї статті випливало, що в будь-який веб додаток, в тому числі плагіни, можуть потрапити бекдори. І цей випадок з плагіном для WP наявне цьому підтвердження.

За повідомленням www.xakep.ru, SQL ін’єкції - головна зброя армії скрипт-кідді.

У квітні 2013 року компанія Veracode опублікувала черговий щорічний звіт State of Software Security із тенденціями і статистикою в області інтернет безпеки. Компанія дуже докладно досліджує найбільш розповсюджені уразливості веб додатків, а також загальні тенденції на ринку інтернет безпеки.

Ключові тенденції 2013 року від Veracode: Збільшення кількості “повсякденних” хакерів (скрипт-кідді), Зростання попиту на професіоналів в області ІТ-безпеки, Проблеми з криптографією в додатках під Android (64%) та iOS (58%), Криптографічний захист комунікацій стане нормою.

У березні, 26.03.2013, майже через півтора місяці після виходу Google Chrome 25, вийшов Google Chrome 26.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 11 уразливостей, з яких 2 позначені як небезпечні. Це менше ніж у попередній версії браузера.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті при роботі Web Audio і проблемами з обробкою ізольованих сайтів в окремому процесі.

• Увидел свет web-браузер Chrome 26 (деталі)

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4, PostgreSQL 9.1, PostgreSQL 9.2.

DoS, слабкий PRNG, підвищення привілеїв.

• PostgreSQL vulnerabilities (деталі)

Численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Численні пошкодження пам’яті, підвищення привілеїв, слабкі дозволи на файли, DoS, обхід захисту, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2013-30 (деталі)
• Mozilla Foundation Security Advisory 2013-31 (деталі)
• Mozilla Foundation Security Advisory 2013-32 (деталі)
• Mozilla Foundation Security Advisory 2013-33 (деталі)
• Mozilla Foundation Security Advisory 2013-34 (деталі)
• Mozilla Foundation Security Advisory 2013-35 (деталі)
• Mozilla Foundation Security Advisory 2013-36 (деталі)
• Mozilla Foundation Security Advisory 2013-37 (деталі)
• Mozilla Foundation Security Advisory 2013-38 (деталі)
• Mozilla Foundation Security Advisory 2013-39 (деталі)
• Mozilla Foundation Security Advisory 2013-40 (деталі)

У березні, 14.03.2013, вийшли PHP 5.3.23 та PHP 5.4.13. В яких виправлено біля 15 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.23 та PHP 5.4.13:

• Виправлена XML External Entity уразливість, що дозволяла читання довільних файлів через SOAP WSDL-файли.
• Виправлений обхід open_basedir через SOAP.

По матеріалам http://www.php.net.