Websecurity - Веб безпека

Виявлені уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Витік інформації, несанкціонований доступ.

• Уязвимости безопасности в Adobe ColdFusion (деталі)

З 06.04.2012 по 04.02.2013 відбувся шостий масовий взлом сайтів на сервері Delta-X, після п’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний шостий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. Попередні п’ять масових дефейсів на серверах даної компанії відбувалися в 2010 році.

Всього було взломано 19 сайтів на сервері української компанії Delta-X (IP 91.206.201.15). Це наступні сайти: kroshkadekor.com, www.drivers-nout.com, promland.biz, www.clothescloser.com.ua, obuhivzem.gov.ua, 700-800.com, www.komfort.zt.ua, dom2007.com.ua, vadmart.net, viver.net.ua, www.kotovsk-teplokomunenergo.com.ua, www.sitlie.com, pulsarmodel.net, www.uslugikiev.com, ustars.org.ua, artcollege.dn.ua, auto-forum.ikoleso.com.ua, test.music4us.com.ua, divar.com.ua. Серед них український державний сайт obuhivzem.gov.ua.

Дефейси по одному сайту булу проведені хакерами ZoRRoKiN, Newbie3viLc063s, ArTiN, AkSuVaRi, ha4k3r, Aerul Da White-Hkc, Hmei7, david becker, Momik, DaiLexX і netcat та по два сайти хакерами Sejeal, misafir, 1923Turk і TURK KURSUNU.

Враховуючи велику кількість окремих дефейсів по одному або два сайти, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 12.0.

Переповнення буфера, пошкодження пам’яті, витік інформації.

• Security update available for Adobe Shockwave Player (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.6, AIR 3.6.

Численні пошкодження пам’яті.

• Adobe Flash Player RTMP Data Processing Object Confusion (CVE-2013-2555) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

За повідомленням www.3dnews.ru, Google визнаний найбільш безпечним пошуковцем.

Цього року Microsoft запустила рекламну кампанію “Scroogled”, у якій описані всі “недоліки” використання пристроїв з Android та пошуковця Google. Як альтернативний варіант Microsoft пропонує користувачам перейти на свій власний пошуковець Bing. Німецькі експерти по безпеці з AV-Test не вважають це оптимальним варіантом.

Фахівці з AV-Test протестували більше 10 мільйонів сайтів в пошукових системах Yandex, Bing, Google і Blekko. Пошуковець Гугла показав найкраще співвідношення інфікованих сайтів до загальної кількості перевірених сайтів.

За повідомленням www.xakep.ru, сисадмін хостинг-провайдера Hostgator поставив бекдори на 2700 серверів.

Колишній співробітник хостинг-провайдера Hostgator викритий у шпигунстві. Він поставив бекдори на 2700 серверів у даті-центрі Hostgator - і одержав необмежений доступ до інформації клієнтів компанії.

В цілому бекдор був установлений на 2723 сервера в мережі компанії Hostgator, на кожному із серверів можуть розміщатися сотні сайтів. Розміщення працівниками хостера бекдорів на серверах - це ще один зі шляхів розповсюдження бекдорів, окрім взломів сайтів та включення бекдорів у репозиторії веб додатків.

За повідомленням www.opennet.ru, дослідження показало жалюгідний стан захищеності SOHO-маршрутизаторів.

Компанія Independent Security Evaluators опублікувала результати дослідження безпеки найбільш популярних моделей бездротових маршрутизаторів для домашніх користувачів і невеликих офісів. У результаті, у всіх розглянутих 13 моделях пристроїв виявлені уразливості, що дозволяють нападнику одержати повний контроль над конфігурацією маршрутизатора чи обійти засоби аутентифікації.

Серед розглянутих у дослідженні пристроїв відзначаються різні моделі бездротових маршрутизаторів Asus, D-Link, TP-Link, Netgear, Linksys, Belkin, Verizon Actiontec і 5 неназваних пристроїв для яких ще не випущені оновлення прошивки з усуненням уразливостей.

Виявлені слабкі дозволи в Firefox для Android.

Уразливі версії: Mozilla Firefox 19.0.

Слабкі дозволи на каталог app_tmp дозволяють перезапис доповнень для браузера.

• World read and write access to app_tmp directory on Android (деталі)

Виявлені уразливості безпеки в Apache mod_security.

Уразливі версії: Apache mod_security 2.6.

Доступ до локальних даних, вичерпання ресурсів.

• libapache-mod-security security update (деталі)

Виявлені XSS уразливості (міжсайтовий скриптінг) у різних продуктах Microsoft.

Уразливі продукти: Microsoft InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Office Web Apps 2010, Groove Server 2010.

Некоректна нормалізація символів.

• Microsoft Security Bulletin MS13-035 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818) (деталі)

Виявлені слабкі дозволи в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2013.

Слабкі права доступу до документів.

• Microsoft Security Bulletin MS13-030 - Important Vulnerability in SharePoint Could Allow Information Disclosure (2827663) (деталі)

За повідомленням www.xakep.ru, Microsoft уводить двохфакторну аутентифікацію.

Найближчим часом користувачі Microsoft Account одержать можливість активувати в налаштуваннях на сайті http://account.live.com нову опцію - двохфакторну аутентифікацію. Це означає, що доступ в аккаунт буде захищений не тільки паролем, але і додатковим одноразовим кодом, що буде приходити на телефон під час аутентифікації.

Google ввела двохфакторну аутентифікацію ще два роки тому, так само як це давно вже зробили інші компанії (в тому числі українські). І от нарешті Microsoft дійшла до цього.

За повідомленням www.opennet.ru, віджет соціальних мереж для WordPress виявився джерелом спама.

У плагині Social Media Widget для WordPress, з реалізацією віджета для вставки кнопок швидкого звернення до соціальних мереж, виявлена наявність шкідливого коду для підстановки спаму. Погіршує ситуацію те, що плагін користається великою популярністю і був завантажений більше 900 тисяч разів. В даний час плагін уже вилучений з каталогу WordPress, а всім користувачам дана рекомендація негайного відключення даного плагіна у своїх системах.

Торік в своїй статті Включення бекдорів у веб додатки я писав про основні шляхи потрапляння бекдору у веб додатки та численні приклади популярних веб додатків в яких були виявленні бекдори (серед них був і WordPress). Я досліджую цю тему на протязі багатьох років. І з моєї статті випливало, що в будь-який веб додаток, в тому числі плагіни, можуть потрапити бекдори. І цей випадок з плагіном для WP наявне цьому підтвердження.

За повідомленням www.xakep.ru, SQL ін’єкції - головна зброя армії скрипт-кідді.

У квітні 2013 року компанія Veracode опублікувала черговий щорічний звіт State of Software Security із тенденціями і статистикою в області інтернет безпеки. Компанія дуже докладно досліджує найбільш розповсюджені уразливості веб додатків, а також загальні тенденції на ринку інтернет безпеки.

Ключові тенденції 2013 року від Veracode: Збільшення кількості “повсякденних” хакерів (скрипт-кідді), Зростання попиту на професіоналів в області ІТ-безпеки, Проблеми з криптографією в додатках під Android (64%) та iOS (58%), Криптографічний захист комунікацій стане нормою.