Websecurity - Веб безпека

У липні, 17.07.2012, вийшов Mozilla Firefox 14. Нова версія браузера вийшла через півтора місяця після виходу Firefox 13 і майже через місяць після Firefox 13.0.1.

Mozilla офіційно представила реліз веб-браузера Firefox 14. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.6. Реліз Firefox 15 намічений на 28 серпня, а Firefox 16 на 9 жовтня.

Також були випущені Thunderbird 14 і Seamonkey 2.11, а Firefox 14 для Android вийшов ще 26 червня.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 14.0 усунуто 18 уразливостей, серед яких 9 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 14 и почтового клиента Thunderbird 14 (деталі)

За повідомленням www.xakep.ru, запам’ятовування довгих паролів на моторному рівні.

Представте комбінацію з 30 випадкових символів, що ви набираєте автоматично, але не здатні згадати. Це біометрична авторизація на рівні мозку: відбиток упроваджують вам у підсвідомість, а система потім може перевірити його присутність.

Дослідник Христо Божинов зі Стенфордського університету з колегами розробили унікальну методику запам’ятовування паролів на моторному рівні, так що в результаті користувач здатний не дивлячись набрати пароль на клавіатурі.

За повідомленням ain.ua, в Україні набрали сили штрафи за порушення в сфері персональних даних.

З 1 липня 2012 року для українських компаній діють штрафи та інші санкції, передбачені законом про посилення відповідальності за порушення в сфері захисту персональних даних. Даний закон повинний був набрати сили ще із січня цього року, але потім його відстрочили до липня.

Спочатку Верховною Радою України в 2010 році був прийнятий закон “Про захист персональних даних”, який повинен був набрати чинності 01.01.2011. Але потім вступ в дію штрафів відстрочили і 02.06.2011 депутати прийняли закон “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних”, який мав вступити в дію 01.01.2012. Але депутати знову відстрочили штрафи на півроку. І з 01.07.2012 штрафи почали діяти. Про наслідки цього закону для власників сайтів я писав в статті Закриття сайтів через розміщення персональних даних.

За повідомленням www.xakep.ru, американець одержав товарів на $80 тис. через дірку в сайті Nike.

25-літній Бред Стівенсон зі штату Вірджінія протягом п’яти місяців замовляв товари на сайті Nike, не платячи за них ні копійки. Як з’ясувало слідство, Стівенсон незаконно заволодів товарами загальною вартістю 81419 доларів і 58 центів.

Під час обшуку в Стівенсона вдома знайшли 231 річ Nike на загальну суму близько 17 тисяч доларів. Все інше він уже продав на eBay чи подарував друзям.

Виявлені численні уразливості безпеки в Microsoft Sharepoint.

Уразливі продукти: Microsoft Office SharePoint Server 2007 SP2 і SP3, Windows SharePoint Services 3.0 SP2, SharePoint Foundation 2010 Gold і SP1.

Міжсайтовий скриптінг, перенаправлення URL.

• Microsoft Security Bulletin MS12-050 - Important Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2695502) (деталі)

За повідомленням www.xakep.ru, John the Ripper націлився на “повільні” хеші.

Нова версія John the Ripper 1.7.9-jumbo-6 підтримує роботу на графічних прискорювачах (CUDA та OpenCL) для підбора паролів і генерації так званих “повільних” хешів, що вимагають значних обчислювальних ресурсів. Серед інших, це sha256crypt, sha512crypt (використовується Fedora і Ubuntu), bcrypt (використовується в OpenBSD), зашифровані RAR-архіви та WiFi WPA-PSK.

Використання GPU зараз стало поширеним серед взломщиків хешів. Ось і JTR отримав таку підтримку (хоч і не офіційний реліз програми, а jumbo-реліз - в ці неофіційні релізи додається підтримка різних нових і експериментальних функцій).

За повідомленням www.radiorus.ru, затриманий хакер, що організував крадіжку 150 мільйонів рублів.

Співробітники управління “К” МВС Росії затримали хакера, що організував кілька найбільших бот-мереж, за допомогою яких у користувачів було викрадено більше 150 мільйонів рублів.

Мішенню хакера були комп’ютери з установленим на них програмним забезпеченням “Банк-клієнт”. На момент затримки злочинця число заражених комп’ютерів складало близько 6 мільйонів.

За повідомленням www.xakep.ru, Apple намагається захиститися від російського хакера.

Російський хакер Олексій Бородін створив чимало головного болю компанії Apple, коли здійснив реверс-інжиніринг протоколу AppStore і опублікував інструкцію, як можна підробляти чеки In-App покупок усередині додатків, тобто “купувати безкоштовно” контент усередині будь-якого додатка, наприклад, нові рівні, бонуси та інше.

Сам Олексій Бородін порівнює In-App покупки з “читерством” і “продажем повітря”, тому що в реальності гроші беруть за розблокування контента, що вже є присутнім на телефоні. Після публікації інструкцій користувачі AppStore почали активно ними користуватися - на 18 липня зроблено 8,46 мільйонів безкоштовних покупок. Що змусило Apple тимчасово закрити свій магазин.

Виявлена можливість обходу захисту в Apache mod_security. Це черговий обхід захисту в mod_security. Подібні методи постійно виявляються, сам розробив чимало методів обходу WAF, в тому числі mod_security. Тобто це звичайна ситуація для WAF, що їх захисні фільтри обходяться (не кажучи, що вони апріорі не захищають від всіх атак).

Уразливі версії: Apache mod_security 2.6.

Можливо обійти перевірки при одночасному використанні Content-Disposition: attachment і Content-Type: multipart.

• libapache-mod-security security update (деталі)

Виявлена Cross-Site Scripting уразливість в Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 2012.

Міжсайтовий скриптінг при відображенні URL.

• Microsoft Security Bulletin MS12-040 - Important Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100) (деталі)

Виявлені уразливості безпеки в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 1.0, IIS 2.0, IIS 3.0, IIS 4.0, IIS 5.0, IIS 5.1, IIS 6.0, IIS 7.0, IIS 7.5.

Флуд запитами з тільдою в імені файлу чи каталогу приводить до відмови сервера. Дозволений доступ по іменах формату 8.3, що полегшує підбір імені схованих папок чи файлів.

• IIS Short File/Folder Name Disclosure by using tilde ~ character (деталі)
• .Net Framework Tilde Character DoS (деталі)

Виявлена можливість підміни URL в Opera (URL Spoofing).

Уразливі версії: Opera 11.61.

Можливо перехопити подію переходу на інший сайт і підмінити вміст сторінки.

• opera website spoof (деталі)

16.06.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-037 - Critical Cumulative Security Update for Internet Explorer (2699988) (деталі)

11.07.2012

Додаткова інформація.

• Microsoft Internet Explorer “CollectionCache” Remote Use-after-free (MS12-037) (деталі)
• Microsoft Internet Explorer “GetAtomTable” Remote Use-after-free (MS12-037 / CVE-2012-1875) (деталі)
• Microsoft Internet Explorer “Col” Element Remote Heap Overflow (MS12-037 / CVE-2012-1876) (деталі)
• Microsoft IE Developer Toolbar Remote Code Execution Vulnerability (деталі)
• Microsoft IE Same ID Property Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Fixed Table Colspan Remote Code Execution Vulnerability (деталі)

За повідомленням www.xakep.ru, взлом Міністерства внутрішньої безпеки, ВМФ США і НАСА.

Хакерске угруповання Digital-Corruption нещодавно оголосили про взлом корпоративних мереж DHS.gov (Міністерство внутрішньої безпеки США), Navy.mil (Військово-морський флот США) і НАСА. Результати взлому опубліковані на Pastebin.

Мережа Navy.mil була взломана через піддомен www.smartwebmove.navsup.navy.mil, а Міністерство внутрішньої безпеки - через піддомен twicinformation.tsa.dhs.gov, за допомогою SQL ін’єкцій. В обох мережах встановлена СУБД Oracle.

За повідомленням www.hackzone.ru, хакер викрав дані клієнтів 79 банків по усьому світі.

Reckz0r опублікував у відкритому доступі особисту інформацію 1700 клієнтів банків різних країн. Хакер заявив, що йому вдалося проникнути в комп’ютерні системи 79 банків і викрасти особисту інформацію клієнтів. Частину викраденої інформації він опублікував у відкритому доступі. Зокрема хакер виклав в Інтернет імена, адреси, адреси електронної пошти, а також номера телефонів.

Витоки баз даних з державних сайтів трапляються регулярно - як з американських сайтів (описаних вище), так і українських. А ось і приклад витоку даних з БД банківських сайтів.

За повідомленням www.xakep.ru, хакерів на роботу слід наймати з обережністю.

Авторитетне видання Bloomberg Businessweek розповідає про справжній бум серед європейських і американських компаній, що прагнуть найняти на роботу хакерів. У той час як в усьому світі економічна рецесія і росте рівень безробіття, рекрутери полюють на кращих хакерів, пропонуючи їм фантастичні зарплати. Компанії навперебій влаштовують хакатони. Аналітики говорять про недостачу професіоналів у сфері інформаційної безпеки.