Websecurity - Веб безпека

Виявлені можливості виконання коду в Microsoft Exchange і FAST Search Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, FAST Search Server 2010.

Виконання коду при перегляді документа через Outlook Web Access / Advanced Filter Pack пов’язана з використанням технології Oracle Outside In.

• Microsoft Security Bulletin MS13-012 - Critical Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2809279) (деталі)
• Microsoft Security Bulletin MS13-013 - Important Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242) (деталі)

У лютому, 19.02.2013, вийшов Mozilla Firefox 19. Нова версія браузера вийшла через півтора місяця після виходу Firefox 18 і через місяць після виходу Firefox 18.0.1.

Mozilla офіційно випустила реліз веб-браузера Firefox 19, а також мобільну версію Firefox 19 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 20 намічений на 2 квітня, а Firefox 21 на 14 травня. Також був випущений Seamonkey 2.16.

Одночасно з Firefox 19 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.3 і Thunderbird 17.0.3, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 припинено, користувачам гілки Firefox 10 буде запропоновано мігрувати на Firefox 17.0.3 (міграція буде проведена автоматично).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 19.0 усунуто 9 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 19 (деталі)

Виявлена можливість витоку інформації в PostgreSQL.

Уразливі версії: PostgreSQL 8.3, 8.4, 9.0, 9.1, 9.2.

Переповнення індексу масиву, що може призвести до відмови в обслуговуванні або витоку інформації.

• Vulnerability in PostgreSQL 9.2.x, 9.1.x, 9.0.x, 8.4.x and 8.3.x (деталі)

За повідомленням www.xakep.ru, американський ВПК штовхає вгору ціни на експлоіти.

Інформацію про уразливості тепер можна продати дуже дорого, якщо не розповідати про неї широкій публіці. Сотні тисяч доларів за цю інформацію готові запропонувати військові підрядчики, розробники озброєнь, розвідувальні агентства й уряди. Хоча торгівля експлоітами погано задокументована, але все рівно ця частина військово-промислового комплексу залишається самою відкритою. У цій сфері сформувалася ціла індустрія.

Торік я писав про компанію Vupen, що публічно займається продажем експлоітів державним спецслужбам. І ця індустрія активно розвивається.

За повідомленням news.bigmir.net, у світі відзначили День безпечного Інтернету.

На початку лютого по всьому світу відзначили 10-й щорічний Міжнародний день безпечного Інтернету (Safer Internet Day), заснований Єврокомісією в 2004 році.

День безпечного Інтернету, що традиційно відзначається у перший вівторок лютого, має на меті об’єднання зусиль зацікавлених державних, громадських і приватних організацій для підвищення рівня знань про безпечне застосування інтернет-технологій.

Про рівень безпеки Уанету і про прогрес в цьому напрямку (тобто його відсутність) з 2006 року і по поточний рік ви можете дізнатися з моїх досліджень Уанета. Тому замість “святкувань” всім інтернет-користувачам, зокрема власникам сайтів і веб розробникам, варто зайнятися покращенням безпеки власних ресурсів.

За повідомленням www.xakep.ru, хакери взломали телеканал і попередили жителів про зомбі-апокаліпсис.

Цікавий випадок відбувся 11 лютого 2013 року на американській телестанції KRTV. Під час звичайного денного ефіру йшло чергове молодіжне шоу, що раптом перервалося різкими неприємними звуками системи екстреного оповіщення про стихійні лиха.

У верхній частині екрана з’явився рядок, що біжить, з текстом попередження (Local Area Emergency), який супроводжувався чоловічим голосом. Голос повідомив про те, що зомбі атакують людей. Представники телеканалу підтвердили факт взлому.

Інциденти взломів телеканалів чи систем трансляції реклами періодично трапляються. І це ще один забавний випадок.

Виявлена можливість виконання коду в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Декілька можливостей виконання коду.

• Security updates available for Adobe Shockwave Player (деталі)

Виявлені численні уразливості в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні уразливості use-after-free, пошкодження пам’яті в VML.

• Microsoft Security Bulletin MS13-009 - Critical Cumulative Security Update for Internet Explorer (2792100) (деталі)
• Microsoft Security Bulletin MS13-010 - Critical Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052) (деталі)

Виявлені уразливості безпеки в Microsoft SharePoint Server і Office Web Apps. Це уразливості в Word, що також стосуються серверних додатків Microsoft, які використовують вразливі компоненти.

Уразливі продукти: Microsoft Office 2003, Office 2007, Office 2010, SharePoint Server 2010, Word Viewer, Office Web Apps 2010.

Пошкодження пам’яті, використання після звільнення.

• Microsoft Security Bulletin MS12-064 - Critical Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2742319) (деталі)

Виявлене переповнення буфера в cURL.

Уразливі версії: cURL 7.28.

Переповнення буфера в реалізації SASL DIGEST-MD5.

• Vulnerability in curl (деталі)

За повідомленням www.xakep.ru, Євросоюз рекомендує відмовитися від американських хмарних хостингів.

Європейцям краще не зберігати файли на хмарних хостингах американських компаній, попереджають чиновники. Причина - безпека даних.

Питання обговорювалося на конференції “Комп’ютери, приватність і захист даних” (Computers, Privacy and Data Protection), що пройшла 23-25 січня в Брюсселі. Зокрема, на пленарному засіданні по питанню хмарних обчислень і суверенітету інформації йшлося про шпигунство за європейськими користувачами з боку третіх країн.

Окрім того, що американські спецслужби можуть отримати доступ до ваших даних на хмарних сервісах, також до даних можуть дістатися хакери. Як це трапилося з витоком даних в Dropbox.

За повідомленням ain.ua, в офіс хостинг-провайдера Primaryhost прийшли з обшуком силовики, вилучені сервери.

Робота хостинг-провайдера Primaryhost.com.ua припинена: в січні в офіс компанії в Овручі прийшли представники Житомирського слідчого управління МВС із постановою суду про блокування сайта. Сервери віртуального хостинга і сервер баз даних відключені і вивезені в невідомому напрямку.

Типово для наших силових структур, що замість блокування доступу до одного сайта, вони забрали весь сервер (на якому на віртуальному хостингу знаходилося багато сайтів). Навіть попри те, що постанова суду була саме про блокування сайта . За останні роки вже неодноразово траплялися вилучення серверів (або жорстких дисків з них) з веб сайтами. І лише були поодинокі випадки саме блокування веб сайтів. Нашим правоохоронцям вже слід навчитися використовувати саме блокування замість вилучення.

Як я розповідав в своїх публікаціях з 2008 року, через розміщення протизаконних матеріалів можуть закрити сайт (або навіть можуть провести вилучення серверів у хостера). Наприклад, через розміщення вірусів.

За повідомленням www.xakep.ru, Pwn2Own 2013: взломай браузер і отримай 100 тисяч доларів.

На початку березня відбудеться хакерська конференція CanSecWest 2013 у канадському Ванкуверу, де традиційно пройде конкурс по взлому браузерів Pwn2Own. Власне, цей конкурс і приніс популярність рядовій конференції, і він є там самою цікавою подією.

Умови конкурсу Pwn2Own 2013 залишаються колишніми: потрібно взламати останню версію браузера на цілком пропатченій операційній системі. Якщо вам удалося взломати ноутбук - ви одержуєте цей ноутбук у подарунок. У порівнянні з минулим роком, додався Google Chrome і три плагіна.

02.02.2013

У січні, 18.01.2013, вийшов Mozilla Firefox 18.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 18 і в ній виправлені деякі баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 18.0.1 у якому усунуто декілька недоробок, що впливають на якість роботи. Вирішені 4 проблеми в коді підтримки роботи через HTTP-проксі (витік пам’яті, проблеми в автоконфігурації); відключена підтримка HIDPI для зовнішніх моніторів для виключення помилкового рендеринга (наприклад, підказка виводилася на іншому екрані); виправлена помилка, що приводила до краху програвача Unity на платформі Mac OS X.

Хоча Мозіла і не відзначила серед виправлень жодних пов’язаних з безпекою браузера, на мій погляд в даному релізі є й секюріті виправлення. Зокрема це стосується витоків пам’яті при роботі з HTTP-проксі та краху Unity веб плеєра.

• Обновление Firefox 18.0.1 (деталі)

15.03.2013

Вже 05.02.2013 вийшов Mozilla Firefox 18.0.2. Нова версія браузера вийшла через 26 днів після виходу Firefox 18 і через 16 днів після виходу версії 18.0.1, і в ній виправлені чергові баги.

Mozilla представила коригувальний випуск Firefox 18.0.2 у якому усунуті проблеми зі стабільністю робити браузера. Це вибивання браузера при виконанні JavaScript. Цього разу розробники занесли багато багів в один (подібно до того, як вони це роблять з дірками) і виправили їх одним патчем. Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це були DoS в браузері).