Websecurity - Веб безпека

У жовтні, 12.10.2012, вийшов Mozilla Firefox 16.0.1. Нова версія браузера вийшла лише через три дні після виходу Firefox 16 і в ній виправлені чотири уразливості, допущені в останньому релізі.

Mozilla представила коригувальні випуски Firefox 16.0.1, Firefox 10.0.9, Thunderbird 16.0.1 і Seamonkey 2.13.1 з виправленням ще 4 критичних уязвимостей.

Дві уразливості викликані відсутністю належних перевірок у функції defaultValue() і об’єкті location, що можна було використовувати для одержання інформації про відкриті в інших вікнах сайти (можна простежити які URL відкриває користувач - це стосувалося лише останньої версії браузера). Інші дві уразливості пов’язані з можливістю виходу за межі границі буфера, що потенційно дозволяє організувати виконання коду при відкритті спеціально оформлених сторінок.

Це вже не вперше Mozilla випускає черговий реліз браузера з багами чи уразливостями, які потім поспішно латає. Як це мало місце з версіями 15.0.1 і 16.0.1. Останні релізи з виправленими десятками уразливостей та поспішні випуски фікс-релізів свідчать про зростання уразливостей в браузері. А також про стабільно низьку якість підготовки релізів, бо такі проблеми Мозіла постійно має ще з вересня 2008 з версії Firefox 3.0.2.

• Обновление Firefox 16.0.1/10.0.9 и Thunderbird 16.0.1 с устранением уязвимостей (деталі)

Виявлена можливість обходу обмежень в Ruby.

Уразливі версії: Ruby 1.8.

Можлива модифікація рядків.

• Ruby vulnerabilities (деталі)

За повідомленням www.xakep.ru, 0day-експлоіти працюють у середньому 312 днів.

Дослідники з компанії Symantec спробували оцінити, наскільки активно зловмисники використовують 0day-уразливості й який середній “термін життя” такої уразливості, перш ніж вона стає відома широкій публіці і вендору, що випускає патч.

Аналіз зібраної статистики дозволив виявити 18 уразливостей, що експлуатували до моменту публікації інформації. З них 11 уразливостей були унікальними, тобто раніше невідомими. Термін експлуатації 0day-уразливостей складає від 19 днів до 30 місяців. Середнє арифметичне - 312 днів, середнє по медіані - близько 240 днів.

За повідомленням www.opennet.ru, змагання Pwnium 2 завершилося взломом браузера Chrome.

Лише день після виходу версії 22.0.1229.92 представлений позаплановий коригувальний випуск Chrome 22.0.1229.94, у якому усунута критична уразливість, що дозволяє обійти всі рівні захисту браузера. Уразливість була продемонстрована на проведеному компанією Google змаганні Pwnium 2. Дослідник безпеки, що виявив проблему, одержав винагороду в розмірі 60 тисяч доларів США.

Як і під час першого Pwnium, так і під час другого, компанія Google наївно сподівалася, що її браузер не взламають. Але що тоді, що зараз, браузер Chrome був взломаний (причому в усіх випадках з виходом з sandbox).

За повідомленням www.xakep.ru, зловмисники змінили налаштування DNS у 4,5 мільйонах домашніх DSL-модемів.

Фахівець “Лабораторії Касперського” Фабіо Ассоліні опублікував розслідування подій, що відбувалися в Бразилії в 2011 році. За його словами, завдяки одній-єдиній уразливості в прошиванні DSL-модемів місцеві хакери зуміли організувати масштабну операцію, що торкнулася мільйонів користувачів Інтернету.

Зловмисники скористалися уразливістю в ADSL-маршрутизаторах, щоб одержати доступ до DSL-модемів, встановлених у квартирах користувачів і офісах. Це CSRF уразливість в адміністративній веб-панелі DSL-модему.

Про численні уразливості, в тому числі CSRF, в різних ADSL модемах і Wi-Fi роутерах від Iskra та D-Link я вже писав раніше. В тому числі в своїй статті CSRF Attacks on Network Devices, опублікованій на початку року, я продемонстрував як проводити CSRF атаки на Iskra Callisto 821+ та D-Link DAP 1150.

Виявлені Cross-Site Scripting уразливості у багатьох веб-додатках Microsoft.

Уразливі продукти: Microsoft SharePoint Server 2007, InfoPath 2007, InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Lync 2010, Microsoft Communicator 2007, Office Web Apps 2010, Groove Server 2010, Windows SharePoint Services 3.0.

Недостатня валідація HTML-даних.

• Microsoft Security Bulletin MS12-066 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2741517) (деталі)

У жовтні, 09.10.2012, вийшов Mozilla Firefox 16. Нова версія браузера вийшла через півтора місяця після виходу Firefox 15 (і майже через місяць після Firefox 15.0.1).

Mozilla офіційно представила реліз веб-браузера Firefox 16. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.8, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 17 намічений на 20 листопада, а Firefox 18 на першу половину січня.

Також були випущені Thunderbird 16, Seamonkey 2.13 і Firefox 16 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 16.0 усунуто 15 уразливостей, серед яких 11 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (при детальному дослідженні виявляється, що всього 23 уразливості, з яких 20 критичних).

Зазначу, що в останніх трьох версіях - Firefox 14, 15 і 16 - в браузері виправляється велика кількість уразливостей (порівняно з попередніми версіями). В кожній з цих версій було виправлено від 14 до 17 дірок і це при тому, що в деяких патчах виправляється більше однієї дірки (в даному випуску маємо 14 патчів, що виправляють 23 уразливості).

Таке в Мозіли вже траплялося не раз - це давня практика, але якщо раніше вони лише DoS дірки, що можуть потенційно привести до RCE, таким чином виправляли (Miscellaneous memory safety hazards), то зараз вони почали пачками виправляти heap memory corruption, Use-after-free, buffer overflow та out of bounds read уразливості (таким чином вони почали брати приклад з Microsoft). Окрім того, Мозіла неодноразово приховано виправляла уразливості. Все це свідчить про зростання уразливостей в браузері й компанія не завжди встигає їх знаходити і виправляти (що добре видно по численним виправленням дірок і багів у фікс-релізах, таких як 15.0.1 і 16.0.1).

• Релиз Firefox 16 (деталі)

Виявлена XSS уразливість в Microsoft SQL Server.

Уразливі продукти: Microsoft SQL Server 2000 Reporting Services, SQL Server 2005, SQL Server 2008, SQL Server 2012.

Міжсайтовий скриптінг в SQL Server Report Manager.

• Microsoft Security Bulletin MS12-070 - Important Vulnerability in SQL Server Could Allow Elevation of Privilege (2754849) (деталі)

В липні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2008 - 2012 років: від 28.01.2008 до 02.08.2012. Шостий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів по одному або декілька сайтів.

Всього було взломано 50 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: reception.od.ua, www.lis.gov.ua, yunykphoto.com, your-amber.com, webka.kiev.ua, yogavajra.com, skp-studio.com, kolgotki-trusiki.org.ua, djzorro.org.ua, remont-pod-kluch.kiev.ua, bez-sigaret.com, ilark.com.ua, champion.kiev.ua, offset.kiev.ua, vitaline.kiev.ua, kievkids.net, arocars.org, drukarnya.in.ua, elitbud.kiev.ua, evgenia.com.ua, gvindor.com, kradenkov.info, techltdua.com, sb66.com.ua, ua-pr.com, bugaz.od.ua, grow-in-web.net, weddingphoto.com.ua, y-style.com.ua, wakeschool.com.ua, advokat.lviv.ua, www.topmebel.com.ua, webkiev.com, karnizy.com, www.domix.biz, www.fada.com.ua, www.isygen.com, www.domix.biz, www.vip-people.org, www.saaber.in.ua, www.compromat.in.ua, kendo.kiev.ua, a-music.com.ua, www.expertsoft.com.ua, polyforum.info, kdnbc.co.ua, kharkovdnb.co.ua, group.kharkovdnb.co.ua, www.modzzone.com. Серед них український державний сайт www.lis.gov.ua, що був взломаний двічі - в минулому і поточному році.

З зазначених 50 сайтів 1 сайт був взломаний хакером ExE.Ps, 1 сайт хакером Z4X, по 2 сайти хакерами prince_dz, ashiyane digital security team, HiTLEr 737, 7 сайтів хакером Dr.Tmnetk, 6 сайтів хакером fahad, 2 сайти хакером alwahsh, 3 сайти хакерами з TeaM AlQraSna Al3rab, 6 сайтів хакером CoOL BoY, по 1 сайту хакерами Original Dz, ahmdosa hacker, iskorpitx, Fatal Error, Injector, Abu-Slman, Red Eye, IndonesiaCoder Team, ByES-TIM, 3 сайти хакером 3RqU, 5 сайтів хакером Body Null та 1 сайт хакером M3rhametsiz.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

За повідомленням www.xakep.ru, виявлена універсальна MitB-атака.

Компанія Trasteer знайшла “новий” спосіб викрадання приватних даних, який вона назвала “універсальною MitB-атакой” (Man-in-the-Browser). Як працює дана атака показано на відео.

За повідомленням ain.ua, донецька податкова оштрафувала інтернет-магазин за розрахунки доларами в WebMoney.

Співробітники податкової міліції в Донецьку оштрафували один з інтернет-магазинів за незаконне використання системи WebMoney. Претензії були як за проведення розрахунків у доларах (WMZ), так і за саме використання WebMoney. Загальна сума недонарахованих у бюджет коштів склала 400 тисяч грн.

У квітні в Києві податкова вже проводила обшуки в офісних приміщеннях онлайн магазинів Rozetka.ua і Sokol.ua. І цей новий випадок - це продовження цієї лінії ДПС. Додатковою причиною до закриття сайтів через обшук податкової чи штрафів від ДПС, окрім раніше згаданих причин, може бути й використання WebMoney, зокрема доларів (WMZ).

В тому числі це може й трапитися через взлом будь-якого е-комерс сайта і розміщення на ньому інформації про прийом електронних грошей (WebMoney чи інших), зокрема в доларах. Навіть якщо сам онлайн-магазин (чи будь-який інший е-комерс сайт) офіційно їх не приймає. Це є черговою причиною для всіх адмінів і власників е-комерс сайтів слідкувати за безпекою власних ресурсів, щоб не потрапити у таку ситуацію - щоб не було ні зайвих перевірок, ні закриття сайтів, ні штрафів.

За повідомленням www.xakep.ru, Яндекс почав платити за уразливості.

Як й деякі інші фірми, компанія “Яндекс” теж оголосила про введення програми по пошуку уразливостей з виплатою винагород. Програма називається “Полювання за помилками”.

Грошові призи складають від 3000 до 30000 руб., у залежності від серйозності виявленої уразливості. В особливих випадках розмір нагороди може бути збільшений. Взяти участь у програмі можуть хакери з будь-якої країни.

Раніше Яндекс недостатньо слідкував за безпекою своїх сайтів - про уразливості на яких я писав багато в попередні роки. Подивимося як компанія буде це робити зараз.

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Підвищення привілеїв через динамічні бібліотеки, міжсайтовий скриптінг у mod_negotiation.

Раніше вже були XSS і HTTP Response Splitting уразливості у mod_negotiation, а зараз знайдена нова дірка в цьому модулі.

• Vulnerabilities in Apache (деталі)

Виявлені численні уразливості безпеки в IBM SDK Java Technology Edition.

Уразливі версії: IBM SDK Java Technology Edition 6.0, IBM SDK Java Technology Edition 7.0.

Понад 10 різний уразливостей з виходом з обмеженого середовища.

• Security vulnerabilities in IBM Java (деталі)