15.02.2013
Виявлені численні уразливості безпеки в Adobe Flash Player.
Уразливі версії: Adobe Flash Player 11.5.
Численні можливості виконання коду, в тому числі ті, що використовуються In-the-wild.
13.03.2013
Додаткова інформація.
Виявлені уразливості безпеки в Apache.
Уразливі версії: Apache 2.2, Apache 2.4.
Міжсайтовий скриптінг у mod_info, mod_status, mod_imagemap, mod_ldap, mod_proxy_ftp, mod_proxy_balancer.
Виявлені уразливості безпеки в PHP.
Уразливі версії: PHP 5.3, PHP 5.4.
Обхід захисту safe_dir і виконання коду при роботі з SOAP.
За повідомленням www.xakep.ru, Аноніми витягли 16 ГБ файлів із сервера Bank of America.
“Служба розвідки” анонімів Par:AnoIA (Anonymous Intelligence Agency) оголосила про успішний “взлом” Bank of America, Bloomberg, Thomson Reuter і декількох інших компаній, а в підтвердження своїх слів виклала 16 гігабайт документів, вихідних кодів і програмного забезпечення, вилучених із сервера.
Хакери підкреслюють, що взлом як такий не мав місце, а файли отримані у результаті неправильної конфігурації сервера, через що секретні документи виявилися у відкритому доступі. Як повідомляється, некоректно сконфігурованим був один із серверів у Тель-Авіві.
Некоректна конфігурація, зокрема лістінг директорій - це Directory Indexing уразливість, що доволі поширена. Подібні уразливості, що призводять до витоків інформації, я сам постійно знаходжу в Інтернеті. В статті Information Leakage в локальних пошуковцях я писав про ще один варіант витоків інформації.
За повідомленням www.opennet.ru, в Java виявлена 0-day уразливість.
Через трохи більше тижня з моменту виходу коригувальних оновлень Java SE 7 Update 15 і Java SE 6 Update 41 з усуненням уразливостей, у Мережі зафіксована шкідлива активність, що вражає системи користувачів через раніше невідому 0-day уразливість (CVE-2013-1493) в Java-плагині для браузерів. Уразливість використовується для поширення шкідливого ПЗ McRAT, що уражає Windows-системи при відкритті спеціально створених сторінок на підконтрольних зловмисникам сайтах.
В останні два роки в Java весь час знаходить уразливості - щомісяця, а іноді й по декілька разів на місяць, з’являються повідомлення про чергові “зеродеї” в Java. Компанія Oracle вже не може обійтися щоквартальними випусками патчів і їй доводиться випускати патчі частіше. Але вона все ще не встигає виправляти дірявість Java.
За повідомленням www.xakep.ru, “Яндекс” упровадив детектор шкідливих Java-апплетів.
Команда “Безпечного пошуку Яндекса” розробили детектор сайтів, що заражають комп’ютери відвідувачів за допомогою шкідливих Java-апплетів.
Детектор здатний виявляти обфусцований шкідливий код, що використовує самі популярні на сьогоднішній день уразливості JRE. Враховуючи дірявість Java, Яндекс цілком слушно зробив, що додав в свою антивірусну систему детектор таких експлоітів. Іншим розробникам веб антивірусів слід зробити те саме.
29.01.2013
Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.
Уразливі продукти: Oracle Sun Solaris 9, 10 і 11, MySQL 5.1, MySQL 5.5, Oracle Application Server Single Sign-On, Oracle E-Business Suite 11.5, PeopleSoft Enterprise HRMS 9.0 і 9.1, PeopleSoft Enterprise PeopleTools 8.51 і 8.52, та інші продукти Oracle.
Більше 85 різних уразливостей виправлено в щоквартальному оновленні.
01.03.2013
Додаткова інформація.
У лютому місяці Microsoft випустила 12 патчів. Що більше ніж у січні.
У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 55 уразливостей в програмних продуктах компанії. П’ять патчів закривають критичні уразливості і сім патчів закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, Exchange Server, FAST Search Server 2010 for SharePoint та .NET Framework.
Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.
Уразливі продукти: Mozilla Firefox 18.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.15.
Численні пошкодження пам’яті, підміна відповіді https, витік інформації, обхід захисту, DoS.
Виявлені численні уразливості безпеки в Ruby.
Уразливі версії: Ruby 1.9.
Відмова в обслуговуванні, міжсайтовий скриптінг, обхід захисту.
За повідомленням www.xakep.ru, оголошено конкурс нових алгоритмів хешування.
Ненадійність паролів і застосовуваних методів хешування останнім часом стала усім очевидна. Одержавши базу парольних хешів, зловмисники можуть у лічені дні розшифрувати більшу частину паролів. Що робити в такій ситуації - не зовсім зрозуміло. Деякі вважають, що виходом може бути застосування інших алгоритмів хешування. Для цього проводиться конкурс Password Hashing Competition.
Замість того, щоб піднімати безпеку сайтів і не допускати витоків паролів чи їхніх хешів, ці діячі пропонують боротися з наслідками. І організували такий конкурс. При тому, що алгоритмів хешування багато, в тому числі є нові алгоритми, які важче брутфорсяться. Але їм хочеться ще нових алгоритмів, аби тільки не проводити аудити безпеки власних сайтів 
.
За повідомленням ain.ua, українські інтернет-шахраї з початку року встигли збагатитися на 12,5 млн грн.
З початку року відділ МВС по боротьбі з кіберзлочинністю виявив 23 факти незаконного списання грошей з рахунків комерційних підприємств на суму близько 12,5 млн. грн. Удалося повернути майже 9,2 млн.
За словами представників відділу, розкривати подібні шахрайства вкрай складно, оскільки кіберзлочинці дуже легко знищують сліди шахрайства, і з’являється проблема з доказами. Приміром, при шахрайстві з крадіжкою грошей з рахунків хворих дітей кіберзлочинцям удалося вкрасти майже 100 тис. грн.
За повідомленням www.xakep.ru, Eurograbber пограбував європейців на 36 мільйонів євро.
Група шахраїв, що поширювала банківський троян Eurograbber, поставила новий рекорд по обсягу коштів, вилучених у жителів Західної Європи. За інформацією з нового звіту, опублікованого компаніями Versafe і Check Point Software Technologies, збиток від цієї шкідливої програми оцінюється в суму близько 36 мільйонів євро, а кількість потерпілих - приблизно в 30000 чоловік.
У січні, 17.01.2013, вийшли PHP 5.3.21 та PHP 5.4.11. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.
У лютому, 21.02.2013, вийшли PHP 5.3.22 та PHP 5.4.12. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.
Жодних уразливостей в цих версіях PHP виправлено не було.
По матеріалам http://www.php.net.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.