Websecurity - Веб безпека

У квітні, 02.04.2013, вийшов Mozilla Firefox 20. Нова версія браузера вийшла через півтора місяця після виходу Firefox 19.

Mozilla офіційно випустила реліз веб-браузера Firefox 20, а також мобільну версію Firefox 20 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 21 намічений на 14 травня, а Firefox 22 на 25 червня. Також був випущений Seamonkey 2.17.

Одночасно з Firefox 20 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.5 і Thunderbird 17.0.5.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 20.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 20 (деталі)

Виявлені уразливості безпеки в Firebird.

Уразливі версії: Firebird 2.5.

Переповнення буфера, DoS.

• firebird2.5 security update (деталі)

У березні місяці Microsoft випустила 7 патчів. Що значно менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 18 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості і три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, Silverlight та SharePoint.

За повідомленням www.xakep.ru, пограбування казино за допомогою взлому камер спостереження.

Казино Crown у Мельбурні (Австралія) понесло збитки в розмірі 32 мільйонів доларів через взлом внутрішньої системи відеоспостереження. Один із гравців на високих ставках (хай-роллер) одержував по радіозв’язку інформацію про карти своїх суперників. Інформацію йому передавав спільник, що мав віддалений доступ до системи відеоспостереження казино.

Про уразливості в системах відеоспостереження, що дозволяють отримати доступ до камер писалося багато за останні роки, а розробники і користувачі таких систем все ще забивають на їх безпеку. Що цікаво, скільки фільмів було випущено на тему пограбувань казино, але в жодному з них не було згадано ідеї використання камер спостереження казино. Сценаристи не додумалися то того, до чого додумалися справжні шахраї .

За повідомленням ain.ua, у 2012 році шахраї вкрали з банківських карт 11 млн грн.

Торік шахраї вкрали з банківських платіжних карт українців 11 мільйонів гривень. Директор департаменту платіжних систем НБУ Наталія Лапко вважає, що це не дуже велика цифра. Про це вона повідомила на засіданні недержавної громадської організації “Ліга фінансового розвитку”.

Якщо в 2011 році збитки від шахрайства в інтернет-банкінгу в Україні становили 9,1 млн. грн., то в 2012 році вже 11 млн. грн. Це на 1,9 млн. грн. більше (зростання на 20,9%). І дивно, що НБУ не вважає це проблемою.

За повідомленням www.opennet.ru, проведено сканування портів всіх IPv4-адрес з використанням ботнета з маршрутизаторів.

Підведені підсумки амбіційного проекту Internet Census 2012, націленого на повне сканування портів для всіх IPv4-адрес у мережі Інтернет. Сканування здійснювалося з березня по грудень 2012 року з використання ботнета, побудованого на базі незахищених маршрутизаторів. У результаті вдалося зібрати саму повну в історії статистику по активності хостів і розподілу мережевих портів у мережі Інтернет.

Це найбільший проект по скануванню портів і перший, що охопив всі адреси IPv4. Процес сканування тривав 10 місяців з використанням 420 тисяч незахищених маршрутизаторів, з яких була зроблена бот мережа для сканування портів. В результаті був отриманий великий масив інформації про хости в Інтернеті. Але окрім цього даний проект також показав, що дуже поширеним є мережеві пристрої з дефолтними паролями або зовсім без паролів, що дозволяє отримувати віддалений доступ до цих пристроїв.

Виявлені численні уразливості безпеки в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Foundation 2010.

Переповнення буфера, зворотний шлях у каталогах, міжсайтовий скриптінг, виконання коду.

• Microsoft Security Bulletin MS13-024 - Critical Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2780176) (деталі)

В період з 30.04.2011 по 10.03.2013 відбувся новий масовий взлом сайтів на сервері Freehost. Третій масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом в 2011-2013 роках складався з декількох дефейсів та одного крупного дефейса сайтів. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері Astratelcom.

Всього було взломано 33 сайти на сервері хостера Freehost (IP 91.206.31.130). Це наступні сайти: doippo.dp.ua, www.kiyana.com.ua, www.tmk.te.ua, mebel.ng.gov.ua, roo.ng.gov.ua, shop.ng.gov.ua, vm.ng.gov.ua, www.ng.gov.ua, dogtorska.com, legkoves.com, shpola.gov.ua, xkc.com.ua, www.bistfor.kiev.ua, www.all-monte.ru, www.elite-mebel.kiev.ua, www.bushinkan-honbu.info, www.benito.com.ua, www.staff-shoes.kiev.ua, test.web-service.kiev.ua, www.knigi-online.com.ua, www.jiu-jitsu.com.ua, www.kovka-metall.com.ua, www.kutsevych.com, www.legalland.kiev.ua, www.oldcenter.info, www.web-service.kiev.ua, www.jiu-jitsu-kiev.com, www.xn--80ahscp.in.ua, www.xn--80aa2agsg.com, lodkacapral.com, www.grimarine.com, www.antikrazka.com.ua, kinderland.org.ua. Серед них українські державні сайти mebel.ng.gov.ua, roo.ng.gov.ua, shop.ng.gov.ua, vm.ng.gov.ua, www.ng.gov.ua та shpola.gov.ua.

З зазначених 33 сайтів 3 сайти були взломані хакером Hmei7, 1 сайт хакером Anonymous Albania, 4 сайти хакером LaMiN3 DK, 4 сайти хакером Sejeal, 15 сайтів хакером urbanr00ts та 6 сайтів хакером iskorpitx.

У випадку крупного дефейса urbanr00ts, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі версії: Microsoft Silverlight 5.

Пошкодження пам’яті.

• Microsoft Security Bulletin MS13-022 - Critical Vulnerability in Silverlight Could Allow Remote Code Execution (2814124) (деталі)

12.02.2013

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі версії: Oracle JRE 6, JDK 6, JDK 7, JRE 7.

Виправлено близько 50 різних уразливостей.

• Details of issues fixed by Feb 2013 Java SE CPU (деталі)

27.03.2013

Додаткова інформація.

• The “allowed behavior” in Java SE 7 (Issue 54) (деталі)
• Oracle Java Contains Multiple Vulnerabilities (деталі)
• Java for OS X 2013-002 and Mac OS X v10.6 Update 14 (деталі)
• One more attack affecting Oracle’s Java SE 7u15 (деталі)
• New security issues affecting Oracle’s Java SE 7u15 (деталі)
• Oracle Java Multiple Vulnerabilities (деталі)
• Updated Release of the February 2013 Oracle Java SE Critical Patch Update (деталі)
• Oracle Java SE Critical Patch Update Advisory - February 2013 (деталі)

У лютому, 22.02.2013, майже через півтора місяці після виходу Google Chrome 24, вийшов Google Chrome 25.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 22 уразливості, з яких 8 позначені як небезпечні. Це майже стільки ж як у попередній версії браузера.

Уразливості, що мають статус небезпечних, відзначені в звуковій підсистемі, IPC, SVG, коді для роботи з БД, декодувальнику vorbіs, обробнику URL і системі плагінів. Окремо відзначається відключення за замовчуванням підтримки MathML через виявлення проблем безпеки і необхідності переробки представленої в минулому випуску реалізації.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Релиз web-браузера Chrome 25 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні уразливості використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 “OnMove” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Internet Explorer 10-9-8-7-6 “OnResize” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Security Bulletin MS13-021 - Critical Cumulative Security Update for Internet Explorer (2809289) (деталі)