Websecurity - Веб безпека

У лютому місяці Microsoft випустила 12 патчів. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 55 уразливостей в програмних продуктах компанії. П’ять патчів закривають критичні уразливості і сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, Exchange Server, FAST Search Server 2010 for SharePoint та .NET Framework.

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 18.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.15.

Численні пошкодження пам’яті, підміна відповіді https, витік інформації, обхід захисту, DoS.

• Mozilla Foundation Security Advisory 2013-21 (деталі)
• Mozilla Foundation Security Advisory 2013-22 (деталі)
• Mozilla Foundation Security Advisory 2013-23 (деталі)
• Mozilla Foundation Security Advisory 2013-24 (деталі)
• Mozilla Foundation Security Advisory 2013-25 (деталі)
• Mozilla Foundation Security Advisory 2013-26 (деталі)
• Mozilla Foundation Security Advisory 2013-27 (деталі)
• Mozilla Foundation Security Advisory 2013-28 (деталі)

Виявлені численні уразливості безпеки в Ruby.

Уразливі версії: Ruby 1.9.

Відмова в обслуговуванні, міжсайтовий скриптінг, обхід захисту.

• Ruby vulnerabilities (деталі)

За повідомленням www.xakep.ru, оголошено конкурс нових алгоритмів хешування.

Ненадійність паролів і застосовуваних методів хешування останнім часом стала усім очевидна. Одержавши базу парольних хешів, зловмисники можуть у лічені дні розшифрувати більшу частину паролів. Що робити в такій ситуації - не зовсім зрозуміло. Деякі вважають, що виходом може бути застосування інших алгоритмів хешування. Для цього проводиться конкурс Password Hashing Competition.

Замість того, щоб піднімати безпеку сайтів і не допускати витоків паролів чи їхніх хешів, ці діячі пропонують боротися з наслідками. І організували такий конкурс. При тому, що алгоритмів хешування багато, в тому числі є нові алгоритми, які важче брутфорсяться. Але їм хочеться ще нових алгоритмів, аби тільки не проводити аудити безпеки власних сайтів .

За повідомленням ain.ua, українські інтернет-шахраї з початку року встигли збагатитися на 12,5 млн грн.

З початку року відділ МВС по боротьбі з кіберзлочинністю виявив 23 факти незаконного списання грошей з рахунків комерційних підприємств на суму близько 12,5 млн. грн. Удалося повернути майже 9,2 млн.

За словами представників відділу, розкривати подібні шахрайства вкрай складно, оскільки кіберзлочинці дуже легко знищують сліди шахрайства, і з’являється проблема з доказами. Приміром, при шахрайстві з крадіжкою грошей з рахунків хворих дітей кіберзлочинцям удалося вкрасти майже 100 тис. грн.

За повідомленням www.xakep.ru, Eurograbber пограбував європейців на 36 мільйонів євро.

Група шахраїв, що поширювала банківський троян Eurograbber, поставила новий рекорд по обсягу коштів, вилучених у жителів Західної Європи. За інформацією з нового звіту, опублікованого компаніями Versafe і Check Point Software Technologies, збиток від цієї шкідливої програми оцінюється в суму близько 36 мільйонів євро, а кількість потерпілих - приблизно в 30000 чоловік.

У січні, 17.01.2013, вийшли PHP 5.3.21 та PHP 5.4.11. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

У лютому, 21.02.2013, вийшли PHP 5.3.22 та PHP 5.4.12. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені можливості виконання коду в Microsoft Exchange і FAST Search Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, FAST Search Server 2010.

Виконання коду при перегляді документа через Outlook Web Access / Advanced Filter Pack пов’язана з використанням технології Oracle Outside In.

• Microsoft Security Bulletin MS13-012 - Critical Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2809279) (деталі)
• Microsoft Security Bulletin MS13-013 - Important Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242) (деталі)

У лютому, 19.02.2013, вийшов Mozilla Firefox 19. Нова версія браузера вийшла через півтора місяця після виходу Firefox 18 і через місяць після виходу Firefox 18.0.1.

Mozilla офіційно випустила реліз веб-браузера Firefox 19, а також мобільну версію Firefox 19 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 20 намічений на 2 квітня, а Firefox 21 на 14 травня. Також був випущений Seamonkey 2.16.

Одночасно з Firefox 19 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.3 і Thunderbird 17.0.3, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 припинено, користувачам гілки Firefox 10 буде запропоновано мігрувати на Firefox 17.0.3 (міграція буде проведена автоматично).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 19.0 усунуто 9 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 19 (деталі)

Виявлена можливість витоку інформації в PostgreSQL.

Уразливі версії: PostgreSQL 8.3, 8.4, 9.0, 9.1, 9.2.

Переповнення індексу масиву, що може призвести до відмови в обслуговуванні або витоку інформації.

• Vulnerability in PostgreSQL 9.2.x, 9.1.x, 9.0.x, 8.4.x and 8.3.x (деталі)

За повідомленням www.xakep.ru, американський ВПК штовхає вгору ціни на експлоіти.

Інформацію про уразливості тепер можна продати дуже дорого, якщо не розповідати про неї широкій публіці. Сотні тисяч доларів за цю інформацію готові запропонувати військові підрядчики, розробники озброєнь, розвідувальні агентства й уряди. Хоча торгівля експлоітами погано задокументована, але все рівно ця частина військово-промислового комплексу залишається самою відкритою. У цій сфері сформувалася ціла індустрія.

Торік я писав про компанію Vupen, що публічно займається продажем експлоітів державним спецслужбам. І ця індустрія активно розвивається.

За повідомленням news.bigmir.net, у світі відзначили День безпечного Інтернету.

На початку лютого по всьому світу відзначили 10-й щорічний Міжнародний день безпечного Інтернету (Safer Internet Day), заснований Єврокомісією в 2004 році.

День безпечного Інтернету, що традиційно відзначається у перший вівторок лютого, має на меті об’єднання зусиль зацікавлених державних, громадських і приватних організацій для підвищення рівня знань про безпечне застосування інтернет-технологій.

Про рівень безпеки Уанету і про прогрес в цьому напрямку (тобто його відсутність) з 2006 року і по поточний рік ви можете дізнатися з моїх досліджень Уанета. Тому замість “святкувань” всім інтернет-користувачам, зокрема власникам сайтів і веб розробникам, варто зайнятися покращенням безпеки власних ресурсів.

За повідомленням www.xakep.ru, хакери взломали телеканал і попередили жителів про зомбі-апокаліпсис.

Цікавий випадок відбувся 11 лютого 2013 року на американській телестанції KRTV. Під час звичайного денного ефіру йшло чергове молодіжне шоу, що раптом перервалося різкими неприємними звуками системи екстреного оповіщення про стихійні лиха.

У верхній частині екрана з’явився рядок, що біжить, з текстом попередження (Local Area Emergency), який супроводжувався чоловічим голосом. Голос повідомив про те, що зомбі атакують людей. Представники телеканалу підтвердили факт взлому.

Інциденти взломів телеканалів чи систем трансляції реклами періодично трапляються. І це ще один забавний випадок.

Виявлена можливість виконання коду в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Декілька можливостей виконання коду.

• Security updates available for Adobe Shockwave Player (деталі)