Websecurity - Веб безпека

У березні, 26.03.2013, майже через півтора місяці після виходу Google Chrome 25, вийшов Google Chrome 26.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 11 уразливостей, з яких 2 позначені як небезпечні. Це менше ніж у попередній версії браузера.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті при роботі Web Audio і проблемами з обробкою ізольованих сайтів в окремому процесі.

• Увидел свет web-браузер Chrome 26 (деталі)

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4, PostgreSQL 9.1, PostgreSQL 9.2.

DoS, слабкий PRNG, підвищення привілеїв.

• PostgreSQL vulnerabilities (деталі)

Численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Численні пошкодження пам’яті, підвищення привілеїв, слабкі дозволи на файли, DoS, обхід захисту, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2013-30 (деталі)
• Mozilla Foundation Security Advisory 2013-31 (деталі)
• Mozilla Foundation Security Advisory 2013-32 (деталі)
• Mozilla Foundation Security Advisory 2013-33 (деталі)
• Mozilla Foundation Security Advisory 2013-34 (деталі)
• Mozilla Foundation Security Advisory 2013-35 (деталі)
• Mozilla Foundation Security Advisory 2013-36 (деталі)
• Mozilla Foundation Security Advisory 2013-37 (деталі)
• Mozilla Foundation Security Advisory 2013-38 (деталі)
• Mozilla Foundation Security Advisory 2013-39 (деталі)
• Mozilla Foundation Security Advisory 2013-40 (деталі)

У березні, 14.03.2013, вийшли PHP 5.3.23 та PHP 5.4.13. В яких виправлено біля 15 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.23 та PHP 5.4.13:

• Виправлена XML External Entity уразливість, що дозволяла читання довільних файлів через SOAP WSDL-файли.
• Виправлений обхід open_basedir через SOAP.

По матеріалам http://www.php.net.

За повідомленням www.xakep.ru, Scribd взломаний, вкрадені email-и користувачів і хеші паролів.

Веб-сервіс для публікації документів і презентацій Scribd взломаний. Зловмисники одержали доступ до адрес електронної пошти і парольних хешів (із сіллю) користувачів. Незабаром ця інформація може бути опублікована у відкритому доступі.

Регулярно відбуваються подібні взломи популярних сервісів. І як за звичай трапляється у таких випадках, власники взломаного ресурсу (в даному випадку Scribd), зробили хорошу міну про поганій грі - вони заявили, що вкрали лише емайли і хеші (й нічого більше), та із-за використання хешів із сіллю наслідки взлому для користувачів не будуть великими. При тому, що існує імовірність підбору паролів для всіх хешів.

За повідомленням www.opennet.ru, на змаганні Pwn2Own були успішно взломані Chrome, Firefox, IE 10 і Java.

В березні пройшов Pwn2Own 2013. Перший день змагань Pwn2Own, що проводиться щорічно в рамках конференції CanSecWest, виявився як ніколи плідний - були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей в Chrome, Firefox, IE 10, Windows 8 і Java.

В усіх випадках атака була зроблена при обробці в браузері спеціально оформленої веб сторінки, відкриття якої завершилося одержанням повного контролю над системою. При демонстрації атаки використовувалися самі свіжі стабільні випуски браузерів і операційних систем Windows 7, 8 і Mac OS X Mountain Lion із усіма доступними оновленнями в конфігурації за замовчуванням.

За повідомленням www.opennet.ru, виявлено новий ботнет з незахищених маршрутизаторів із прошиванням на базі Linux.

Чеські дослідники в області безпеки комп’ютерних систем повідомили про виявлення нового мережного хробака, що одержав назву “Чак Норріс”, що складається з незахищених належним чином міні-маршрутизаторів, DSL-модемів і супутникових TV-ресиверів, що працюють на базі прошивань, заснованих на Linux. Як правило інфікування маршрутизаторів відбувається через виставляння адміністратором ненадійного пароля, що підбирається шляхом нескладного перебору типових варіантів, чи збереження пароля, заданого за замовчуванням.

Як видно окрім ботнета з маршрутизаторів створеного для проведення секюріті досліджень, також створюють такі ботнети для проведення DDoS та інших атак. Про уразливі маршрутизатори та інші мережеві пристрої і про можливості використання їх для атак (в тому числі створення ботнетів) я писав на протязі багатьох років.

У квітні, 02.04.2013, вийшов Mozilla Firefox 20. Нова версія браузера вийшла через півтора місяця після виходу Firefox 19.

Mozilla офіційно випустила реліз веб-браузера Firefox 20, а також мобільну версію Firefox 20 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 21 намічений на 14 травня, а Firefox 22 на 25 червня. Також був випущений Seamonkey 2.17.

Одночасно з Firefox 20 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.5 і Thunderbird 17.0.5.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 20.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 20 (деталі)

Виявлені уразливості безпеки в Firebird.

Уразливі версії: Firebird 2.5.

Переповнення буфера, DoS.

• firebird2.5 security update (деталі)

У березні місяці Microsoft випустила 7 патчів. Що значно менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 18 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості і три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, Silverlight та SharePoint.

За повідомленням www.xakep.ru, пограбування казино за допомогою взлому камер спостереження.

Казино Crown у Мельбурні (Австралія) понесло збитки в розмірі 32 мільйонів доларів через взлом внутрішньої системи відеоспостереження. Один із гравців на високих ставках (хай-роллер) одержував по радіозв’язку інформацію про карти своїх суперників. Інформацію йому передавав спільник, що мав віддалений доступ до системи відеоспостереження казино.

Про уразливості в системах відеоспостереження, що дозволяють отримати доступ до камер писалося багато за останні роки, а розробники і користувачі таких систем все ще забивають на їх безпеку. Що цікаво, скільки фільмів було випущено на тему пограбувань казино, але в жодному з них не було згадано ідеї використання камер спостереження казино. Сценаристи не додумалися то того, до чого додумалися справжні шахраї .

За повідомленням ain.ua, у 2012 році шахраї вкрали з банківських карт 11 млн грн.

Торік шахраї вкрали з банківських платіжних карт українців 11 мільйонів гривень. Директор департаменту платіжних систем НБУ Наталія Лапко вважає, що це не дуже велика цифра. Про це вона повідомила на засіданні недержавної громадської організації “Ліга фінансового розвитку”.

Якщо в 2011 році збитки від шахрайства в інтернет-банкінгу в Україні становили 9,1 млн. грн., то в 2012 році вже 11 млн. грн. Це на 1,9 млн. грн. більше (зростання на 20,9%). І дивно, що НБУ не вважає це проблемою.

За повідомленням www.opennet.ru, проведено сканування портів всіх IPv4-адрес з використанням ботнета з маршрутизаторів.

Підведені підсумки амбіційного проекту Internet Census 2012, націленого на повне сканування портів для всіх IPv4-адрес у мережі Інтернет. Сканування здійснювалося з березня по грудень 2012 року з використання ботнета, побудованого на базі незахищених маршрутизаторів. У результаті вдалося зібрати саму повну в історії статистику по активності хостів і розподілу мережевих портів у мережі Інтернет.

Це найбільший проект по скануванню портів і перший, що охопив всі адреси IPv4. Процес сканування тривав 10 місяців з використанням 420 тисяч незахищених маршрутизаторів, з яких була зроблена бот мережа для сканування портів. В результаті був отриманий великий масив інформації про хости в Інтернеті. Але окрім цього даний проект також показав, що дуже поширеним є мережеві пристрої з дефолтними паролями або зовсім без паролів, що дозволяє отримувати віддалений доступ до цих пристроїв.

Виявлені численні уразливості безпеки в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Foundation 2010.

Переповнення буфера, зворотний шлях у каталогах, міжсайтовий скриптінг, виконання коду.

• Microsoft Security Bulletin MS13-024 - Critical Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2780176) (деталі)