Websecurity - Веб безпека

У жовтні, 27.10.2012, вийшов Mozilla Firefox 16.0.2. Нова версія браузера вийшла через 18 днів після виходу Firefox 16 і через 15 днів після виходу попереднього коригувального релізу Firefox 16.0.1, і в ній виправлені три уразливості.

Доступні коригувальні випуски Firefox 16.0.2 і Firefox 10.0.10 з виправленням трьох критичних уязвимостей, пов’язаних з можливістю некоректного використання об’єкта Location. Зокрема усунута недоробка, що дозволяє здійснити підстановку фіктивного значення window.location і зробити обхід обмежень cross origin policy.

Це вже вдруге в цьому місяці Мозіла випускає виправлення для останньої версії Firefox 16, яку вони не спромоглися випустити якісно. І тепер поспішно латають перед випуском наступної мажорної версії браузера.

• Обновление Firefox 16.0.2 и 10.0.10 с устранением уязвимостей (деталі)

24.09.2012

Виявлені можливості пошкодження пам’яті в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Уразливість use-after-free активно використовується для встановлення шкідливого програмного забезпечення.

• Microsoft Releases Patch for Internet Explorer Exploit (деталі)
• Microsoft Security Advisory for Internet Explorer Exploit (деталі)
• Microsoft Security Advisory (2757760) (деталі)
• Microsoft Security Bulletin MS12-063 - Critical Cumulative Security Update for Internet Explorer (2744842) (деталі)

29.10.2012

Додаткова інформація.

• Microsoft Internet Explorer “scrollIntoView” Use-After-Free Vulnerability (MS12-063) (деталі)
• Microsoft Internet Explorer “OnMove” Use-After-Free Vulnerability (MS12-063) (деталі)

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 10.0, Thunderbird ESR 10.0, Firefox 15, Firefox 16, Thunderbird 15, Thunderbird 16, SeaMonkey 2.12, SeaMonkey 2.13.

Витік інформації, численні пошкодження пам’яті, переповнення буфера, міжсайтовий скриптінг, тощо.

• Mozilla Foundation Security Advisory 2012-73 (деталі)
• Mozilla Foundation Security Advisory 2012-74 (деталі)
• Mozilla Foundation Security Advisory 2012-75 (деталі)
• Mozilla Foundation Security Advisory 2012-76 (деталі)
• Mozilla Foundation Security Advisory 2012-77 (деталі)
• Mozilla Foundation Security Advisory 2012-78 (деталі)
• Mozilla Foundation Security Advisory 2012-79 (деталі)
• Mozilla Foundation Security Advisory 2012-80 (деталі)
• Mozilla Foundation Security Advisory 2012-81 (деталі)
• Mozilla Foundation Security Advisory 2012-82 (деталі)
• Mozilla Foundation Security Advisory 2012-83 (деталі)
• Mozilla Foundation Security Advisory 2012-84 (деталі)
• Mozilla Foundation Security Advisory 2012-85 (деталі)
• Mozilla Foundation Security Advisory 2012-86 (деталі)
• Mozilla Foundation Security Advisory 2012-87 (деталі)
• Mozilla Foundation Security Advisory 2012-88 (деталі)
• Mozilla Foundation Security Advisory 2012-89 (деталі)
• Mozilla Foundation Security Advisory 2012-90 (деталі)

За повідомленням www.xakep.ru, PayPal з небажанням виплатив винагороду за серйозний баг.

21 червня 2012 року PayPal приєднався до числа компаній, що платять хакерам за знайдені уразливості. З огляду на характер веб сервісу PayPal - фінансові транзакції - можна було припустити, що вони більш уважно поставляться до знайдених багів, ніж який-небудь Google, і запропонують більшу нагороду за уразливості. На практиці усе виявилося інакше.

Хакер з l8security розповів захоплюючу історію в скріншотах, як він шукав уразливість у PayPal. Він знайшов SQL Injection уразливість, за допомогою якої отримав доступ до акаунта одного користувача. Продемонструвавши цю уразливість PayPal, він спочатку отримав відмову, бо працівник компанії протупив і не зміг повторити атаку відповідно до опису хакера, а потім, затягнувши цей процес, компанія все ж таки підтвердила наявність уразливості, зарахувала її як XSS і оплатила по “дешевому тарифу”.

За повідомленням www.3dnews.ru, рухи очей можуть у майбутньому замінити введення паролів.

Неможливо знайти двох людей, які б дивилися на світ однаково - буквально. Недавнє дослідження показало, що при погляді на картинку різні люди сковзають поглядом по точках інтересу в різній послідовності. Навіть якщо дві людини ведуть очі по тому самому шляху, точний спосіб руху очей відрізняється. Саме тому комп’ютерний дослідник Техаського державного університету міста Сан-Маркос Олег Комогорцев збирається створити систему ідентифікації людей на основі того, як поводяться їхні очні яблука при погляді на екран комп’ютера.

За повідомленням www.xakep.ru, поліцію оштрафували за використання незашифрованих флешек.

Управління по захисту персональної інформації у Великобританії (Information Commissioner’s Office, ІCO) наклало штраф у розмірі 120 тисяч фунтів стерлінгів на поліцію міста Манчестер за хронічне недотримання правил інформаційної безпеки, а саме - запис інформації на USB-флешки в незашифрованому виді. Управління ІCO класифікувало ці дії як навмисне неприйняття належних заходів для захисту приватної інформації, що привело до кількаразових витоків користувацьких даних.

Про закон ЄС стосовно cookies я вже писав. Окрім цього закону, ІCO також опікується витоками персональних даних, за які накладає штрафи. І це є одним з яскравих прикладів використання цього закону на практиці. Наприклад, в Україні влітку стався витік персональних даних на solor.da-kyiv.gov.ua і з 01.07.2012 вступили в дію поправки до АК та КК стосовно таких витоків. І враховуючи, що Державна служба України з питань захисту персональних даних сама не звернула увагу на це, то я її сповістив, щоб вона відреагувала і оштрафувала цей несерйозний державний сайт. Але наша ДСПЗД лише проігнорувала це (як й інформацію про дірки на їхньому сайті).

Виявлені уразливості в Microsoft Fast Search Server.

Уразливі версії: Microsoft FAST Search Server 2010.

Численні уразливості у вбудованих бібліотеках Oracle Outside In.

• Microsoft Security Bulletin MS12-067 - Important Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2742321) (деталі)

У жовтні, 12.10.2012, вийшов Mozilla Firefox 16.0.1. Нова версія браузера вийшла лише через три дні після виходу Firefox 16 і в ній виправлені чотири уразливості, допущені в останньому релізі.

Mozilla представила коригувальні випуски Firefox 16.0.1, Firefox 10.0.9, Thunderbird 16.0.1 і Seamonkey 2.13.1 з виправленням ще 4 критичних уязвимостей.

Дві уразливості викликані відсутністю належних перевірок у функції defaultValue() і об’єкті location, що можна було використовувати для одержання інформації про відкриті в інших вікнах сайти (можна простежити які URL відкриває користувач - це стосувалося лише останньої версії браузера). Інші дві уразливості пов’язані з можливістю виходу за межі границі буфера, що потенційно дозволяє організувати виконання коду при відкритті спеціально оформлених сторінок.

Це вже не вперше Mozilla випускає черговий реліз браузера з багами чи уразливостями, які потім поспішно латає. Як це мало місце з версіями 15.0.1 і 16.0.1. Останні релізи з виправленими десятками уразливостей та поспішні випуски фікс-релізів свідчать про зростання уразливостей в браузері. А також про стабільно низьку якість підготовки релізів, бо такі проблеми Мозіла постійно має ще з вересня 2008 з версії Firefox 3.0.2.

• Обновление Firefox 16.0.1/10.0.9 и Thunderbird 16.0.1 с устранением уязвимостей (деталі)

Виявлена можливість обходу обмежень в Ruby.

Уразливі версії: Ruby 1.8.

Можлива модифікація рядків.

• Ruby vulnerabilities (деталі)

За повідомленням www.xakep.ru, 0day-експлоіти працюють у середньому 312 днів.

Дослідники з компанії Symantec спробували оцінити, наскільки активно зловмисники використовують 0day-уразливості й який середній “термін життя” такої уразливості, перш ніж вона стає відома широкій публіці і вендору, що випускає патч.

Аналіз зібраної статистики дозволив виявити 18 уразливостей, що експлуатували до моменту публікації інформації. З них 11 уразливостей були унікальними, тобто раніше невідомими. Термін експлуатації 0day-уразливостей складає від 19 днів до 30 місяців. Середнє арифметичне - 312 днів, середнє по медіані - близько 240 днів.

За повідомленням www.opennet.ru, змагання Pwnium 2 завершилося взломом браузера Chrome.

Лише день після виходу версії 22.0.1229.92 представлений позаплановий коригувальний випуск Chrome 22.0.1229.94, у якому усунута критична уразливість, що дозволяє обійти всі рівні захисту браузера. Уразливість була продемонстрована на проведеному компанією Google змаганні Pwnium 2. Дослідник безпеки, що виявив проблему, одержав винагороду в розмірі 60 тисяч доларів США.

Як і під час першого Pwnium, так і під час другого, компанія Google наївно сподівалася, що її браузер не взламають. Але що тоді, що зараз, браузер Chrome був взломаний (причому в усіх випадках з виходом з sandbox).

За повідомленням www.xakep.ru, зловмисники змінили налаштування DNS у 4,5 мільйонах домашніх DSL-модемів.

Фахівець “Лабораторії Касперського” Фабіо Ассоліні опублікував розслідування подій, що відбувалися в Бразилії в 2011 році. За його словами, завдяки одній-єдиній уразливості в прошиванні DSL-модемів місцеві хакери зуміли організувати масштабну операцію, що торкнулася мільйонів користувачів Інтернету.

Зловмисники скористалися уразливістю в ADSL-маршрутизаторах, щоб одержати доступ до DSL-модемів, встановлених у квартирах користувачів і офісах. Це CSRF уразливість в адміністративній веб-панелі DSL-модему.

Про численні уразливості, в тому числі CSRF, в різних ADSL модемах і Wi-Fi роутерах від Iskra та D-Link я вже писав раніше. В тому числі в своїй статті CSRF Attacks on Network Devices, опублікованій на початку року, я продемонстрував як проводити CSRF атаки на Iskra Callisto 821+ та D-Link DAP 1150.

Виявлені Cross-Site Scripting уразливості у багатьох веб-додатках Microsoft.

Уразливі продукти: Microsoft SharePoint Server 2007, InfoPath 2007, InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Lync 2010, Microsoft Communicator 2007, Office Web Apps 2010, Groove Server 2010, Windows SharePoint Services 3.0.

Недостатня валідація HTML-даних.

• Microsoft Security Bulletin MS12-066 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2741517) (деталі)

У жовтні, 09.10.2012, вийшов Mozilla Firefox 16. Нова версія браузера вийшла через півтора місяця після виходу Firefox 15 (і майже через місяць після Firefox 15.0.1).

Mozilla офіційно представила реліз веб-браузера Firefox 16. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.8, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 17 намічений на 20 листопада, а Firefox 18 на першу половину січня.

Також були випущені Thunderbird 16, Seamonkey 2.13 і Firefox 16 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 16.0 усунуто 15 уразливостей, серед яких 11 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (при детальному дослідженні виявляється, що всього 23 уразливості, з яких 20 критичних).

Зазначу, що в останніх трьох версіях - Firefox 14, 15 і 16 - в браузері виправляється велика кількість уразливостей (порівняно з попередніми версіями). В кожній з цих версій було виправлено від 14 до 17 дірок і це при тому, що в деяких патчах виправляється більше однієї дірки (в даному випуску маємо 14 патчів, що виправляють 23 уразливості).

Таке в Мозіли вже траплялося не раз - це давня практика, але якщо раніше вони лише DoS дірки, що можуть потенційно привести до RCE, таким чином виправляли (Miscellaneous memory safety hazards), то зараз вони почали пачками виправляти heap memory corruption, Use-after-free, buffer overflow та out of bounds read уразливості (таким чином вони почали брати приклад з Microsoft). Окрім того, Мозіла неодноразово приховано виправляла уразливості. Все це свідчить про зростання уразливостей в браузері й компанія не завжди встигає їх знаходити і виправляти (що добре видно по численним виправленням дірок і багів у фікс-релізах, таких як 15.0.1 і 16.0.1).

• Релиз Firefox 16 (деталі)