Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.3, AIR 3.3.

Пошкодження пам’яті, цілочисленні переповнення, витік інформації.

• VUPEN - Adobe Flash Player “Matrix3D” Integer Overflow Code Execution (APSB12-19) (деталі)
• Security updates available for Adobe Flash Player (деталі)

За повідомленням www.xakep.ru, витік зашифрованих паролів із серверів Battle.net.

Компанія Blizzard повідомила, що 4 серпня 2012 року виявлений неавторизований і незаконний доступ у внутрішню мережу з боку невідомих зловмисників. Компанія якнайшвидше заблокувала цей канал і веде розслідування інциденту.

На жаль, хакери одержали доступ до персональної інформації користувачів, включаючи список електронної пошти всіх користувачів Battle.net за межами Китаю. А для північноамериканських серверів (звичайно там грають користувачі з Північної Америки, Південної Америки, Австралії, Південно-Східної Азії й інших регіонів) зловмисники одержали доступ до відповідей на секретні питання користувачів, а також до інформації від їхніх Mobile і Dial-In аутентификаторов. По оцінці компанії Blizzard, отриманої зловмисниками інформації недостатньо для авторизації під чужим акаунтом.

У травні сервери Battle.net Blizzard вже піддавалися атаці. Тоді це були взломи акаунтів окремих користувачів, а зараз вирішили взломати внутрішній сервер і викрасти дані по всім акаунтам.

За повідомленням portaltele.com.ua, Держоргани будуть зобов’язані підсилити захист своїх web-ресурсів.

Верховна Рада України зареєструвала законопроект, що зобов’яже держоргани підсилити захист власних веб сайтів. Автором документа є народний депутат від Партії Регіонів.

Для того щоб більш ефективно бороти з атаками хакерів, у Верховній Раді зареєстрований законопроект, після прийняття якого державні органи будуть зобов’язані поліпшити захист своїх веб-ресурсів.

За повідомленням bugtraq.ru, витік мільйона акаунтів.

Група Team GhostShell обнародувала інформацію про більш як мільйон акаунтів, зібраних із сотні сайтів - банківських, державних, тощо. Частина опублікованих даних містить кредитну історію користувачів, фрагменти файлів CMS. Судячи з їхнього вмісту, більша частина інформації була отримана за допомогою SQL Injection.

За повідомленням www.depo.ua, проти взлому знайшли прийоми.

З банківських рахунків українців стали частіше пропадати гроші. НБУ не вказав, скільки скарг надійшло до нього від громадян, але розповів про джерело зла: найчастіше розкрадання грошей фіксуються після використання фізичними особами систем віддаленого банкінга (розрахунків платіжними картами в Інтернеті і з мобільних телефонів). Чиновники рекомендували фінансовими установам удосконалити свої системи ідентифікації клієнтів і встановити добові ліміти по розрахунках у віддаленому режимі.

За повідомленням www.xakep.ru, експлоіт CRIME: розшифровка кожного байта TLS за 4-6 запитів.

Залишилося 10 днів до того дня, як Джуліано Ріццо і Тай Дуонг представлять експлоіт CRIME на конференції Ekoparty, але вже можна зробити перші здогади, яка функція TLS використовується для розшифровки трафіка після виконання скрипта, що атакує в браузері користувача. Зараз з’явилася ідея, що експлоіт використовує алгоритм стиснення.

Торік Джуліано і Тай представили BEAST, а вже цього року представлять новий спосіб атаки на SSL/TLS.

За повідомленням ura-inform.com, СБУ затримала хакера, що взломав близько 40 серверів.

У Сумській області співробітники Служби безпеки України (СБУ) викрили і припинили протиправну діяльність жителя міста Суми, що із власного комп’ютера систематично здійснювало несанкціоноване втручання в роботу приватних автоматизованих систем.

Хакер реалізовував зацікавленим особам отриману в такий спосіб інформацію, зокрема логіни і паролі користувачів. Співробітники СБУ затримали хакера під час чергової спроби продати незаконно отримані реквізити доступу до більш ніж 40 веб серверам.

У вересні, 06.09.2012, вийшов Mozilla Firefox 15.0.1. Нова версія браузера вийшла лише через дев’ять днів після виходу Firefox 15 і в ній виправлена одна уразливість останнього релізу.

Вийшов коригувальний випуск браузера Firefox 15.0.1, у якому усунута помилка, що приводить до некоректної роботи режиму приватного перегляду. Як виявилося, у Firefox 15 інформація про сайти, відкриті при включеному режимі приватного перегляду, зберігалася в браузерному кеші, з якого її можна було легко дістати.

Це вже не вперше Mozilla випускає черговий реліз браузера з багами чи уразливостями, які потім поспішно латає.

• Обновление Firefox 15.0.1 с исправлением неработоспособности режима приватного просмотра (деталі)

У серпні, 28.08.2012, вийшов Mozilla Firefox 15. Нова версія браузера вийшла через півтора місяця після виходу Firefox 14.

Mozilla офіційно представила реліз веб-браузера Firefox 15. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.7, в якій відзначається тільки виправлення уразлиовостей і серйозних помилок. Реліз Firefox 16 намічений на 9 жовтня, а Firefox 17 на 20 листопада.

Також були випущені Thunderbird 15, Seamonkey 2.12 і Firefox 15 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 15.0 усунуто 16 уразливостей, серед яких 7 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 15 (деталі)

23.03.2012

Виявлені численні уразливості в Apple WebKit, iTunes, iPhone, Safari, Google Chrome.

Уразливі продукти: Apple WebKit, iTunes 10.5, iPhone OS 5.1, Safari 5.1, Google Chrome 15.0.

Більше 70 різних уразливостей пов’язаних з пошкодженням пам’яті, міжсайтовий скриптінг, витік інформації.

Як і нещодавні уразливості в Google Chrome (і всі попередні), зазначені численні уразливості в WebKit, який використовує Chrome, наочно демонструють дірявість браузера Гугла (щоб вони не розповідали). Так само як і Apple Safari.

• APPLE-SA-2012-03-07-1 iTunes 10.6 (деталі)

10.04.2012

Додаткова інформація.

• Apple Safari on iOS 5.1 - Adressbar spoofing vulnerability (деталі)

01.09.2012

Додаткова інформація.

• WebKit ContentEditable swapInNode Use-After-Free Remote Code Execution Vulnerability (деталі)

У серпні місяці Microsoft випустила 9 патчів. Що так само як у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 26 уразливостей в програмних продуктах компанії (що значно більше ніж минулого місяця). З них 5 патчів закривають критичні уразливості, а 4 патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Internet Explorer, Microsoft Office, Visio, Exchange Server, SQL Server, Commerce Server, Host Integration Server, Visual FoxPro, VB Runtime.

Виявлена можливість підвищення привілеїв у PostgreSQL.

Уразливі версії: PostgreSQL 8.3, PostgreSQL 8.4, PostgreSQL 9.1.

Різні підвищення привілеїв через розширення XML2.

• PostgreSQL vulnerabilities (деталі)

За повідомленням www.xakep.ru, кількість хакерських атак у Великобританії виросла в 10 разів за п’ять років.

Компанія Imation Mobile Security за допомогою запиту на звільнення інформації відповідно до закону Freedom of Information Act добула в британської влади статистику по кількості успішних хакерських атак, у результаті яких зловмисники одержали доступ до конфіденційної інформації. Виявляється, у Великобританії кількість зареєстрованих випадків за останні п’ять років збільшилося на 1000%, тобто в десять разів.

За повідомленням www.opennet.ru, реліз Adobe Flash 11.3 з усуненням уразливостей і підтримкою sandbox-режиму для Firefox.

У червні компанія Adobe повідомила про вихід Flash Player 11.3, у якому усунуто 7 уразливостей, 6 з який можуть призвести до виконання коду зловмисників при відкритті спеціально оформленого контента. Вразливі версії Flash для Windows, Mac OS X і Linux. Одночасно компанія Google випустила коригуючий реліз Chrome 19.0.1084.56 у якому обновлена версія Flash-плагіна, що поставляється в комплекті.

Крім усунення помилок у Flash Player 11.3 представлено кілька покращень. Зокрема, для Windows-версії браузера Firefox забезпечена підтримка додаткового рівня ізоляції (sandbox), створеного за аналогією з технікою Flash Player Protected Mode, раніше реалізованої для браузера Google Chrome. Sandbox-режим допоможе запобігти доступу нападників до системи у випадку успішної експлуатації уразливостей у Flash-плагіні.

За повідомленням www.xakep.ru, замість CAPTCHA пропонують використовувати міні-гри.

Як відомо, ефективність CAPTCHA поступово знижується: програми усе краще вчаться розпізнавати символи (а також відео і звук), тому тести CAPTCHA стають складніше - і навіть людям тепер важко з ними справлятися. У зв’язку з цим фахівці розглядають різні альтернативи стандартним тестам. Вони шукають способи, як людина може швидше і легше всього довести, що вона - людина.

Наприклад, компанія Are You A Human просуває новий тип “тестів на людяність” - міні-ігри PlayThru. Це маленькі головоломки, у яких потрібно вирішити поставлену задачу, наприклад, сполучити один з одним придатне спортивне устаткування.

22.02.2012

Виявленні численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 6, JDK 7.

Виявлено 14 різних уразливостей.

• Oracle Java Web Start Command Argument Injection Remote Code Execution (деталі)

20.07.2012

Додаткова інформація.

• Regarding Oracle’s Critical Patch Update for Java SE (деталі)
• Oracle Java OpenAL Library Pointer Manipulation Remote Code Execution Vulnerability (деталі)
• Oracle Java GlueGen Arbitrary Native Library Loading Remote Code Execution Vulnerability (деталі)
• Oracle Java SE Critical Patch Update Advisory - February 2012 (деталі)
• Oracle Java SE Critical Patch Update Advisory - June 2012 (деталі)

30.08.2012

Додаткова інформація.

• Oracle Java WebStart Browser Argument Injection Remote Code Execution Vulnerability (деталі)