Websecurity - Веб безпека

Виявлена помилка форматного рядка в Applicure dotDefender.

Уразливі версії: Applicure dotDefender 4.26.

Не перевіряються форматні специфікатори при виведенні повідомлення про помилку. Раніше в 2008 році я сам знаходив дірки в dotDefender, тому не здивований новій уразливості в цьому WAF.

• Applicure dotDefender WAF format string vulnerability (деталі)

Виявлені уразливості безпеки в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 7.0 і 7.5 для Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації через лог-файли, впровадження команд у STARTTLS-сеанс FTP.

• Microsoft Security Bulletin MS12-073 - Moderate Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Information Disclosure (2733829) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 9 під Windows Vista, Windows 2008 Server, Windows 7.

Кілька помилок використання пам’яті після звільнення.

• Microsoft Security Bulletin MS12-071 - Critical Cumulative Security Update for Internet Explorer (2761451) (деталі)

У листопаді, 06.11.2012, через півтора місяці після виходу Google Chrome 22, вийшов Google Chrome 23.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 14 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 1 - незначні. З уразливостей, що мають статус небезпечних, дві проблеми викликані помилками драйверів для платформи Mac OS X, дві проблеми пов’язані зі звертанням до звільненого блоку пам’яті в обробнику SVG-фільтрів і в коді виведення відео, одна проблема пов’язана з виходом за припустимі границі пам’яті в коді обробки текстур і одна проблема виявлена в движку v8.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Увидел свет web-браузер Chrome 23 (деталі)

За повідомленням www.xakep.ru, Обама підписав секретну директиву по кіберзлочинності.

Президент Обама підписав секретну директиву, що дає повноваження армії більш ефективно й агресивно відповідати на кібератаки проти державних і приватних мереж США.

Директива №20 (Presidential Policy Directive 20) підписана президентом у середині жовтня, вона встановлює широкий і конкретний перелік атакуючих дій, які можна застосовувати проти іноземних кіберагресорів, при сприянні федеральним агентствам. Ця директива повинна покласти кінець багаторічним суперечкам серед державних відомств про те, які повноваження маються в кожного з них при проведенні операцій за кордоном США.

За повідомленням ipress.ua, СБУ порушила 2 кримінальні справи через хакерські атаки під час виборів.

Служба безпеки України порушила дві кримінальні справи за частиною 1 статті 361 КК (незаконне втручання в роботу комп’ютерів, систем та мереж) за фактами DDoS-атак на сайти у жовтні 2012 року.

За словами прес-секретаря СБУ, у Службу безпеки із заявами про такі атаки звернулися всього дві особи - голова уряду АР Крим Анатолій Могильов (з факту атаки на сторінку Кримської регіональної організації Партії регіонів) і керівник Центру журналістських розслідувань Валентина Самар (атака на сайт Центру). При цьому, за повідомленнями ЗМІ, напередодні виборів хакерських атак зазнали десятки інших інтернет-ресурсів по всій Україні.

За повідомленням www.xakep.ru, Google Docs зберігає “видалені” документи користувачів з 2007 року.

Тільки недавно стих скандал з Facebook, що при видаленні користувацьких фотографій просто позначав їх як “видалені” і продовжував зберігати на серверах. До деяких фотографій могли навіть одержати доступ сторонні особи, якщо знали URL. І от зараз виявилося, що схожий баг ніяк не усуне Google на своєму сервісі Google Docs.

Німецький програміст Ральф Шарнецки у далекому 2007 році привів докази, що документи: а) зберігаються на хостингу Google Docs після того, як користувач очистив кошик; б) частини документів доступні стороннім особам.

Ця проблема повністю не вирішена й досі (всі документи створені до 2009 року, потенційно ніколи не будуть видалені й будуть доступні необмежений час). Що яскраво демонструє справжнє відношення Гугла до безпеки і приватності.

Виявлений обліковий запис за замовчуванням в Apache Cloudstack.

Уразливі продукти: Apache Cloudstack, Citrix Cloud.com CloudStack.

Обліковий запис за замовчуванням з відомим паролем.

• CloudStack configuration vulnerability (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 9.0, PeopleSoft Enterprise PeopleTools 8.50, Oracle Secure Backup 10.4, JRockit 28.2 та інші продукти Oracle.

Біля 90 різноманітних уразливостей у різних продуктах.

• Multiple vulnerabilities in Oracle WebCenter Sites (former FatWire Content Server) (деталі)
• Multiple SQL Injection in Oracle Enterprise Manager (SQL Tunning Sets components) (деталі)
• Oracle Critical Patch Update Advisory - July 2012 (деталі)

В минулому місяці, 26.10.2012, компанія Microsoft випустила фінальну версію браузера Internet Explorer 10. Компанія випустила його разом з Windows 8, в поставку якої він і входить (версія для Windows 7 буде випущена окремо). Вихід нової версії відбувся через півтора роки після виходу IE9.

Незважаючи на заяви Microsoft про підвищену безпеку нових Windows 8 та IE10, не встигли вони вийти, як їх швидко взломали. Експлоіт був розроблений компанією Vupen Security. Що цілком типово для програмних продуктів Microsoft.

Виявлені уразливості безпеки в Sybase ASE.

Уразливі версії: Sybase ASE 15.0, Sybase ASE 15.5, Sybase ASE 15.7.

Виконання коду, підвищення привілеїв.

• Elevated roles through DBCC (деталі)
• Java Operating System command execution (деталі)

За повідомленням www.xakep.ru, Vupen продає експлоіт для Windows 8 та IE10.

Французька компанія Vupen Security оголосила про успішне створення експлоіта для Windows 8, з’єднавши ланцюжок з багатьох 0day-уразливостей у Windows 8 і браузері Internet Explorer 10.

Звісно, компанія не має наміру повідомляти інформацію про уразливості у Microsoft. Відповідно до бізнесу-моделі Vupen Security, фірма продає 0day-уразливості й експлоіти клієнтам з числа правоохоронних органів, розвідувальних агентств західних країн, переважно, країн НАТО.

Не встигли Windows 8 та IE10 вийти, як їх швидко взломали. Це було цілком прогнозовано.

За повідомленням bugtraq.ru, Рейтер зламали втретє за місяць.

Веселий видався серпень у новинного агентства Рейтер. На протязі одного місяця двічі був взломаний сайт агентства, а також їх мікроблог на Twitter. Я неодноразово писав про сайти, які взламуються регулярно (коли сайти дефейсять або інфікують), але два рази за місяць плюс взлом твіттера - це рекорд .

Під час першого взлому на сайті була розміщена новина про відступ сірійських повстанців, під час другого їхній твіттер був забитий просірійськими повідомленнями, у цей раз на сайті з’явилася стаття про смерть міністра закордонних справ Саудівської Аравії.

За повідомленням www.xakep.ru, банк зберігає номера кредитних карт у cookies.

Деякі банки на подив безвідповідально відносяться до питань інформаційної безпеки. Наприклад, у секюріті розсилці Full-disclosure нещодавно була опублікована інформація про британський банк Santander, що є прикладом повної безладності в питанні захисту користувацьких даних.

На сайті для онлайн-банкінга https://retail.santander.co.uk повно уразливостей, таких як XSS у формі авторизації. Серед інших прикладів - включення приватної інформації про користувачів безпосередньо в cookies.

Про діряві банки та інші e-commerce сайти я пишу регулярно. Подібне несерйозне ставлення банків до безпеки власних сайтів є як в Україні, так і закордоном.