Websecurity - Веб безпека

У липні місяці Microsoft випустила 9 патчів. Що більше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 16 уразливостей в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 6 патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Internet Explorer, Microsoft Office, Office Web Apps 2010, Sharepoint та Groove Server 2010.

У липні, 19.07.2012, вийшли PHP 5.3.15 та PHP 5.4.5. В яких виправлена одна уразливість, а також виправлено більше 30 багів. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.15 та PHP 5.4.5:

• Виправлена buffer overflow уразливість в реалізації stream.

По матеріалам http://www.php.net.

У червні, 14.06.2012, вийшли PHP 5.3.14 та PHP 5.4.4. В яких виправлені дві уразливості, а також виправлено більше 30 багів. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.14 та PHP 5.4.4:

• Виправлена слабкість в реалізації DES функції crypt.
• Виправлена heap overflow уразливість в розширені phar.

По матеріалам http://www.php.net.

У липні, 17.07.2012, вийшов Mozilla Firefox 14. Нова версія браузера вийшла через півтора місяця після виходу Firefox 13 і майже через місяць після Firefox 13.0.1.

Mozilla офіційно представила реліз веб-браузера Firefox 14. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.6. Реліз Firefox 15 намічений на 28 серпня, а Firefox 16 на 9 жовтня.

Також були випущені Thunderbird 14 і Seamonkey 2.11, а Firefox 14 для Android вийшов ще 26 червня.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 14.0 усунуто 18 уразливостей, серед яких 9 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 14 и почтового клиента Thunderbird 14 (деталі)

За повідомленням www.xakep.ru, запам’ятовування довгих паролів на моторному рівні.

Представте комбінацію з 30 випадкових символів, що ви набираєте автоматично, але не здатні згадати. Це біометрична авторизація на рівні мозку: відбиток упроваджують вам у підсвідомість, а система потім може перевірити його присутність.

Дослідник Христо Божинов зі Стенфордського університету з колегами розробили унікальну методику запам’ятовування паролів на моторному рівні, так що в результаті користувач здатний не дивлячись набрати пароль на клавіатурі.

За повідомленням ain.ua, в Україні набрали сили штрафи за порушення в сфері персональних даних.

З 1 липня 2012 року для українських компаній діють штрафи та інші санкції, передбачені законом про посилення відповідальності за порушення в сфері захисту персональних даних. Даний закон повинний був набрати сили ще із січня цього року, але потім його відстрочили до липня.

Спочатку Верховною Радою України в 2010 році був прийнятий закон “Про захист персональних даних”, який повинен був набрати чинності 01.01.2011. Але потім вступ в дію штрафів відстрочили і 02.06.2011 депутати прийняли закон “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних”, який мав вступити в дію 01.01.2012. Але депутати знову відстрочили штрафи на півроку. І з 01.07.2012 штрафи почали діяти. Про наслідки цього закону для власників сайтів я писав в статті Закриття сайтів через розміщення персональних даних.

За повідомленням www.xakep.ru, американець одержав товарів на $80 тис. через дірку в сайті Nike.

25-літній Бред Стівенсон зі штату Вірджінія протягом п’яти місяців замовляв товари на сайті Nike, не платячи за них ні копійки. Як з’ясувало слідство, Стівенсон незаконно заволодів товарами загальною вартістю 81419 доларів і 58 центів.

Під час обшуку в Стівенсона вдома знайшли 231 річ Nike на загальну суму близько 17 тисяч доларів. Все інше він уже продав на eBay чи подарував друзям.

Виявлені численні уразливості безпеки в Microsoft Sharepoint.

Уразливі продукти: Microsoft Office SharePoint Server 2007 SP2 і SP3, Windows SharePoint Services 3.0 SP2, SharePoint Foundation 2010 Gold і SP1.

Міжсайтовий скриптінг, перенаправлення URL.

• Microsoft Security Bulletin MS12-050 - Important Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2695502) (деталі)

За повідомленням www.xakep.ru, John the Ripper націлився на “повільні” хеші.

Нова версія John the Ripper 1.7.9-jumbo-6 підтримує роботу на графічних прискорювачах (CUDA та OpenCL) для підбора паролів і генерації так званих “повільних” хешів, що вимагають значних обчислювальних ресурсів. Серед інших, це sha256crypt, sha512crypt (використовується Fedora і Ubuntu), bcrypt (використовується в OpenBSD), зашифровані RAR-архіви та WiFi WPA-PSK.

Використання GPU зараз стало поширеним серед взломщиків хешів. Ось і JTR отримав таку підтримку (хоч і не офіційний реліз програми, а jumbo-реліз - в ці неофіційні релізи додається підтримка різних нових і експериментальних функцій).

За повідомленням www.radiorus.ru, затриманий хакер, що організував крадіжку 150 мільйонів рублів.

Співробітники управління “К” МВС Росії затримали хакера, що організував кілька найбільших бот-мереж, за допомогою яких у користувачів було викрадено більше 150 мільйонів рублів.

Мішенню хакера були комп’ютери з установленим на них програмним забезпеченням “Банк-клієнт”. На момент затримки злочинця число заражених комп’ютерів складало близько 6 мільйонів.

За повідомленням www.xakep.ru, Apple намагається захиститися від російського хакера.

Російський хакер Олексій Бородін створив чимало головного болю компанії Apple, коли здійснив реверс-інжиніринг протоколу AppStore і опублікував інструкцію, як можна підробляти чеки In-App покупок усередині додатків, тобто “купувати безкоштовно” контент усередині будь-якого додатка, наприклад, нові рівні, бонуси та інше.

Сам Олексій Бородін порівнює In-App покупки з “читерством” і “продажем повітря”, тому що в реальності гроші беруть за розблокування контента, що вже є присутнім на телефоні. Після публікації інструкцій користувачі AppStore почали активно ними користуватися - на 18 липня зроблено 8,46 мільйонів безкоштовних покупок. Що змусило Apple тимчасово закрити свій магазин.

Виявлена можливість обходу захисту в Apache mod_security. Це черговий обхід захисту в mod_security. Подібні методи постійно виявляються, сам розробив чимало методів обходу WAF, в тому числі mod_security. Тобто це звичайна ситуація для WAF, що їх захисні фільтри обходяться (не кажучи, що вони апріорі не захищають від всіх атак).

Уразливі версії: Apache mod_security 2.6.

Можливо обійти перевірки при одночасному використанні Content-Disposition: attachment і Content-Type: multipart.

• libapache-mod-security security update (деталі)

Виявлена Cross-Site Scripting уразливість в Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 2012.

Міжсайтовий скриптінг при відображенні URL.

• Microsoft Security Bulletin MS12-040 - Important Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100) (деталі)

Виявлені уразливості безпеки в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 1.0, IIS 2.0, IIS 3.0, IIS 4.0, IIS 5.0, IIS 5.1, IIS 6.0, IIS 7.0, IIS 7.5.

Флуд запитами з тільдою в імені файлу чи каталогу приводить до відмови сервера. Дозволений доступ по іменах формату 8.3, що полегшує підбір імені схованих папок чи файлів.

• IIS Short File/Folder Name Disclosure by using tilde ~ character (деталі)
• .Net Framework Tilde Character DoS (деталі)