Websecurity - Веб безпека

Виявлені численні уразливості в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні уразливості use-after-free, пошкодження пам’яті в VML.

• Microsoft Security Bulletin MS13-009 - Critical Cumulative Security Update for Internet Explorer (2792100) (деталі)
• Microsoft Security Bulletin MS13-010 - Critical Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052) (деталі)

Виявлені уразливості безпеки в Microsoft SharePoint Server і Office Web Apps. Це уразливості в Word, що також стосуються серверних додатків Microsoft, які використовують вразливі компоненти.

Уразливі продукти: Microsoft Office 2003, Office 2007, Office 2010, SharePoint Server 2010, Word Viewer, Office Web Apps 2010.

Пошкодження пам’яті, використання після звільнення.

• Microsoft Security Bulletin MS12-064 - Critical Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2742319) (деталі)

Виявлене переповнення буфера в cURL.

Уразливі версії: cURL 7.28.

Переповнення буфера в реалізації SASL DIGEST-MD5.

• Vulnerability in curl (деталі)

За повідомленням www.xakep.ru, Євросоюз рекомендує відмовитися від американських хмарних хостингів.

Європейцям краще не зберігати файли на хмарних хостингах американських компаній, попереджають чиновники. Причина - безпека даних.

Питання обговорювалося на конференції “Комп’ютери, приватність і захист даних” (Computers, Privacy and Data Protection), що пройшла 23-25 січня в Брюсселі. Зокрема, на пленарному засіданні по питанню хмарних обчислень і суверенітету інформації йшлося про шпигунство за європейськими користувачами з боку третіх країн.

Окрім того, що американські спецслужби можуть отримати доступ до ваших даних на хмарних сервісах, також до даних можуть дістатися хакери. Як це трапилося з витоком даних в Dropbox.

За повідомленням ain.ua, в офіс хостинг-провайдера Primaryhost прийшли з обшуком силовики, вилучені сервери.

Робота хостинг-провайдера Primaryhost.com.ua припинена: в січні в офіс компанії в Овручі прийшли представники Житомирського слідчого управління МВС із постановою суду про блокування сайта. Сервери віртуального хостинга і сервер баз даних відключені і вивезені в невідомому напрямку.

Типово для наших силових структур, що замість блокування доступу до одного сайта, вони забрали весь сервер (на якому на віртуальному хостингу знаходилося багато сайтів). Навіть попри те, що постанова суду була саме про блокування сайта . За останні роки вже неодноразово траплялися вилучення серверів (або жорстких дисків з них) з веб сайтами. І лише були поодинокі випадки саме блокування веб сайтів. Нашим правоохоронцям вже слід навчитися використовувати саме блокування замість вилучення.

Як я розповідав в своїх публікаціях з 2008 року, через розміщення протизаконних матеріалів можуть закрити сайт (або навіть можуть провести вилучення серверів у хостера). Наприклад, через розміщення вірусів.

За повідомленням www.xakep.ru, Pwn2Own 2013: взломай браузер і отримай 100 тисяч доларів.

На початку березня відбудеться хакерська конференція CanSecWest 2013 у канадському Ванкуверу, де традиційно пройде конкурс по взлому браузерів Pwn2Own. Власне, цей конкурс і приніс популярність рядовій конференції, і він є там самою цікавою подією.

Умови конкурсу Pwn2Own 2013 залишаються колишніми: потрібно взламати останню версію браузера на цілком пропатченій операційній системі. Якщо вам удалося взломати ноутбук - ви одержуєте цей ноутбук у подарунок. У порівнянні з минулим роком, додався Google Chrome і три плагіна.

02.02.2013

У січні, 18.01.2013, вийшов Mozilla Firefox 18.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 18 і в ній виправлені деякі баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 18.0.1 у якому усунуто декілька недоробок, що впливають на якість роботи. Вирішені 4 проблеми в коді підтримки роботи через HTTP-проксі (витік пам’яті, проблеми в автоконфігурації); відключена підтримка HIDPI для зовнішніх моніторів для виключення помилкового рендеринга (наприклад, підказка виводилася на іншому екрані); виправлена помилка, що приводила до краху програвача Unity на платформі Mac OS X.

Хоча Мозіла і не відзначила серед виправлень жодних пов’язаних з безпекою браузера, на мій погляд в даному релізі є й секюріті виправлення. Зокрема це стосується витоків пам’яті при роботі з HTTP-проксі та краху Unity веб плеєра.

• Обновление Firefox 18.0.1 (деталі)

15.03.2013

Вже 05.02.2013 вийшов Mozilla Firefox 18.0.2. Нова версія браузера вийшла через 26 днів після виходу Firefox 18 і через 16 днів після виходу версії 18.0.1, і в ній виправлені чергові баги.

Mozilla представила коригувальний випуск Firefox 18.0.2 у якому усунуті проблеми зі стабільністю робити браузера. Це вибивання браузера при виконанні JavaScript. Цього разу розробники занесли багато багів в один (подібно до того, як вони це роблять з дірками) і виправили їх одним патчем. Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це були DoS в браузері).

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Обхід аутентифікації, підвищення привілеїв, витік інформації.

• Многочисленные уязвимости безопасности в Adobe ColdFusion (деталі)

В першому півріччі вже відбувся масовий взлом сайтів на сервері Cityhost, а в другому півріччі відбувся повторний взлом цього сервера. За період з 07.07.2012 по 29.01.2013 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Який складався з серії дефейсів.

Всього було взломано 39 сайтів (в сумі 85 сайтів) на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: www.polki.kh.ua, rubin.kharkov.ua, www.deafsport.org.ua, chehoeva.com, eko-water.com.ua, kolopatriotiv.org, teach.co.ua, 1cb.com.ua, buh-audit.com.ua, e-teach.com.ua, orientir.co.ua, xn--j1amdg6b.in.ua, teach.biz.ua, uatraining.com.ua, 1c.orientir.co.ua, moretepla.com.ua, prykarpaty.net, sambir-bojky.prykarpaty.net, sambir-ptycia.prykarpaty.net, sambirkult.prykarpaty.net, sambirlis.prykarpaty.net, stslis.prykarpaty.net, tour.prykarpaty.net, turkamrada.prykarpaty.net, rvo.stsrda.gov.ua, arrs.org.ua, bilak.in.ua, bilaky.prykarpaty.net, dush.prykarpaty.net, favoryt.prykarpaty.net, favoryty.com.ua, gal-elektro.com.ua, jojo-haircosmetics.prykarpaty.net, mam.prykarpaty.net, stsrda.gov.ua, senselight.com.ua, ceramic-design.com.ua, videonik.net.ua, beeart.com.ua. Серед них українські державні сайти rvo.stsrda.gov.ua та stsrda.gov.ua.

З зазначених 39 сайтів 2 сайти був взломаний хакером Hmei7, 5 сайтів хакером Sejeal, 8 сайтів хакером MJHOOL-HKR, 20 сайтів хакером Dr.SHA6H, 3 сайти хакером nesta та 1 сайт хакером DaiLexX.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 20 сайтів, немає сумнівів, що вони були взломані Dr.SHA6H через взлом серверу хостінг провайдера, або акаунтів, в яких було багато сайтів (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

P.S.

У лютому і березні продовжилися взломи сайтів на цьому сервері. Були дефейснуті ще 5 сайтів хакером Sejeal, 1 сайт хакером Hmei7 і 2 сайти хакером s13doeL.

Виявлені Cross-Site Scripting уразливості в Microsoft System Center Operations Manager.

Уразливі версії: Microsoft System Center Operations Manager 2007.

Міжсайтовий скриптінг в веб-консолі.

• Microsoft Security Bulletin MS13-003 - Important Vulnerabilities in System Center Operations Manager Could Allow Elevation of Privilege (2748552) (деталі)

У січні місяці Microsoft випустила 7 патчів. Що так само як у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості і п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Internet Explorer, Microsoft System Center Operations Manager та .NET Framework.

Також Microsoft випустила оновлення Flash Player для Internet Explorer 10 на Windows 8, Server 2012 і RT для виправлення уразливостей CVE-2013-0630. Adobe також випустила оновлення Flash для всіх платформ для виправлення цих уразливостей.

Виявлена можливість витоку інформації в PHP.

Уразливі версії: PHP 5.3.

Розкриття вмісту пам’яті в openssl_encrypt().

• Memory disclosure in PHP 5.3.9 through 5.3.13 (деталі)