Websecurity - Веб безпека

Виявлена можливість підміни URL в Opera (URL Spoofing).

Уразливі версії: Opera 11.61.

Можливо перехопити подію переходу на інший сайт і підмінити вміст сторінки.

• opera website spoof (деталі)

16.06.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-037 - Critical Cumulative Security Update for Internet Explorer (2699988) (деталі)

11.07.2012

Додаткова інформація.

• Microsoft Internet Explorer “CollectionCache” Remote Use-after-free (MS12-037) (деталі)
• Microsoft Internet Explorer “GetAtomTable” Remote Use-after-free (MS12-037 / CVE-2012-1875) (деталі)
• Microsoft Internet Explorer “Col” Element Remote Heap Overflow (MS12-037 / CVE-2012-1876) (деталі)
• Microsoft IE Developer Toolbar Remote Code Execution Vulnerability (деталі)
• Microsoft IE Same ID Property Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Fixed Table Colspan Remote Code Execution Vulnerability (деталі)

За повідомленням www.xakep.ru, взлом Міністерства внутрішньої безпеки, ВМФ США і НАСА.

Хакерске угруповання Digital-Corruption нещодавно оголосили про взлом корпоративних мереж DHS.gov (Міністерство внутрішньої безпеки США), Navy.mil (Військово-морський флот США) і НАСА. Результати взлому опубліковані на Pastebin.

Мережа Navy.mil була взломана через піддомен www.smartwebmove.navsup.navy.mil, а Міністерство внутрішньої безпеки - через піддомен twicinformation.tsa.dhs.gov, за допомогою SQL ін’єкцій. В обох мережах встановлена СУБД Oracle.

За повідомленням www.hackzone.ru, хакер викрав дані клієнтів 79 банків по усьому світі.

Reckz0r опублікував у відкритому доступі особисту інформацію 1700 клієнтів банків різних країн. Хакер заявив, що йому вдалося проникнути в комп’ютерні системи 79 банків і викрасти особисту інформацію клієнтів. Частину викраденої інформації він опублікував у відкритому доступі. Зокрема хакер виклав в Інтернет імена, адреси, адреси електронної пошти, а також номера телефонів.

Витоки баз даних з державних сайтів трапляються регулярно - як з американських сайтів (описаних вище), так і українських. А ось і приклад витоку даних з БД банківських сайтів.

За повідомленням www.xakep.ru, хакерів на роботу слід наймати з обережністю.

Авторитетне видання Bloomberg Businessweek розповідає про справжній бум серед європейських і американських компаній, що прагнуть найняти на роботу хакерів. У той час як в усьому світі економічна рецесія і росте рівень безробіття, рекрутери полюють на кращих хакерів, пропонуючи їм фантастичні зарплати. Компанії навперебій влаштовують хакатони. Аналітики говорять про недостачу професіоналів у сфері інформаційної безпеки.

Не тільки в інших країнах трапляються витоки даних, але й в Україні. Як раз стався витік БД користувачів українського сайта, причому державного сайта.

Сьогодні на популярному російському хакерському проекті hackzone.ru була розміщена база даних сайта solor.da-kyiv.gov.ua - сайта Солом’янської районної в місті Києві державної адміністрації. На форумі був анонсований витік бази, що стався внаслідок взлому цього державного сайту, а сама БД розміщена на ресурсі http://anonfiles.com.

В базі даних користувачів розміщена персональна інформація користувачів сайта solor.da-kyiv.gov.ua. Всього 56 записів в БД, але враховуючи 5 дублікатів (деякі користувачі по два рази зареєструвалися), то всього 51 різний користувач, включаючи тестові акаунти.

І через уразливості на сайті, адміністрація якого не слідкувала за безпекою, персональна інформація цих користувачів витекла в публічний доступ. І подібні витоки з цього сайта можуть трапитися в майбутньому, тому всі хто зареєструється на цьому сайті (доки всі уразливості на ньому не будуть виправлені) наражаються на витік власних персональних даних.

При такому несерйозному відношенні до персональних даних власних користувачів, наша влада активно збирає інформацію про людей на різних gov.ua-сайтах та пропонує ідеї (як на рівні Києва, так і всієї України) різних електронних баз даних користувачів з доступом через Інтернет. Як то БД платників податків, медичні карти та інші бази даних українців. Кожна з яких може бути скомпрометована і навіть може витекти в публічний доступ при поточній дірявості українських державних сайтів. При таких умовах я раджу, доки не будуть вкладені достатні кошти (мільйони і мільярди гривень, якщо знадобиться), не довіряти державним сайтам власні персональні дані й протестувати проти впровадження онлайнових медичних карток та інших подібних проектів.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 12.0, Thunderbird 12.0, SeaMonkey 2.9.

Переповнення буфера, пошкодження пам’яті, use-after-free, виконання коду, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2012-34 (деталі)
• Mozilla Foundation Security Advisory 2012-35 (деталі)
• Mozilla Foundation Security Advisory 2012-36 (деталі)
• Mozilla Foundation Security Advisory 2012-37 (деталі)
• Mozilla Foundation Security Advisory 2012-38 (деталі)
• Mozilla Foundation Security Advisory 2012-39 (деталі)
• Mozilla Foundation Security Advisory 2012-40 (деталі)

Виявлена Buffer Overflow уразливість в PHP.

Уразливі версії: PHP 5.4.

Переповнення буфера при обробці файлів tar.

• php5 security update (деталі)

За повідомленням www.xakep.ru, Twitter заперечує взлом і говорить про “каскадний баг”.

В четвер Twitter був цілком недоступний для всіх 140 мільйонів користувачів у двох інтервалах: 70 і 28 хвилин. Відповідальність за взлом узяла на себе відома хакерська група UGNazi. Цю новину вони повідомили у твіттері після відновлення його працездатності, згадавши рух Anonymous і телеканал Russia Today.

Хештег #TangoDown прийнятий у Anonymous та інших хакерів для позначення успішної цільової атаки проти конкретного сайта. Компанія Twitter зазначина у твіттері, що все це стало результатом “каскадного бага”, тобто деякого збою, що спричинив за собою ланцюжок подій і привів в підсумку до повної недоступності сервісу.

За повідомленням bugtraq.ru, обхід парольного захисту в лінуксових MySQL: уразлива половина доступних серверів.

Некоректне приведення типів у процедурі перевірки паролів ряду зборок MySQL і MariaDB приводить до того, що з імовірністю 1/256 удається виконати підключення, використовуючи будь-який пароль - досить знати ім’я користувача (а root там звичайно буває).

Про дані проблеми з авторизацією в MySQL я вже писав.

Вразливі версії аж до 5.1.61, 5.2.11, 5.3.5, 5.5.22. Зрозуміло, у багатьох конфігураціях MySQL закритий для всіх коннектів ззовні, але так буває далеко не завжди. Ну і героїчний брутфорс відкриває всі двері за пару-трійку сотень спроб, на що піде менше секунди.

За повідомленням www.hackzone.ru, у Харкові затриманий виробник скіммерів.

Співробітники СБУ затримали чоловіка, що виготовив саморобний пристрій для зчитування даних з банківських карт.

Як повідомляє прес-служба Управління СБУ в Харківській області, у місцевого жителя був вилучений саморобний пристрій для зчитування інформації з банківських карт (скіммер). Співробітникам правоохоронних органів удалося установити, що чоловік мав намір здійснити несанкціоноване впровадження в роботу комп’ютерних систем банківських установ з метою викрадання коштів.

Цього місяця, 14.06.2012, вийшла Opera 12. Нова мажорна версія браузера вийшла через півтора роки після виходу Opera 11.

Особливістю Opera 12 є вихід 64-бітної версії під Windows. Таким чином, Opera стала першою компанією після Microsoft, що змогла випустити 64-бітний білд під Windows, цього дотепер не змогли зробити ні розробники Chrome, ні Firefox.

Головною інновацією в Opera 12 стала підтримка повного апаратного прискорення всіх компонентів: від користувацького інтерфейсу до рендеринга сторінок, з підтримкою бекендів OpenGL і DirectX.

• Вышла Opera 12 с полным аппаратным ускорением (деталі)

У червні місяці Microsoft випустила 7 патчів. Що так само як у травні (але уразливостей виправлено на дві більше).

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 25 уразливостей в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 4 патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, RDP, .NET Framework, Lync та Dynamics AX Enterprise Portal.

У червні, 15.06.2012, вийшов Mozilla Firefox 13.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 13 і в ній виправлі деякі баги останнього релізу.

Mozilla представила коригувальний випуск веб браузера Firefox 13.0.1 в якому усунуто кілька помилок, серед яких рішення проблем при роботі в сервісі Hotmail (наприклад, автоматично не обновлялася папка з вхідними листами) і усунення краху при виході у випадку використання Flash 11.3.

Одночасно вийшов реліз поштового клієнта Thunderbird 13.0.1, що також виправляє деякі баги.

• Релиз Firefox 13.0.1 и Thunderbird 13.0.1 с устранением ошибок (деталі)