Websecurity - Веб безпека

У травні, 15.05.2012, через півтора місяці після виходу Google Chrome 18, вийшов Google Chrome 19.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 7 - помірні і 5 - незначні. Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Серед небезпечних уразливостей: звертання до вже звільненої пам’яті через маніпуляції з елементом style, через API Indexed DB, при обробці таблиць і PDF-файлів, некоректний запис даних у реалізації регулярних виразів движка v8, запис за границі буфера при роботі OGG-контейнерів, вихід за границі буфера в PDF-переглядачі. Окремо відзначені уразливості, що проявляються через проблеми в сторонніх компонентах: уразливість через помилку в Linux-драйвері для відеокарт NVIDIA і вихід за границі буфера в libxml.

• Релиз web-браузера Chrome 19 (деталі)

За повідомленням www.xakep.ru, Blizzard підтвердила численні взломи акаунтів Diablo III.

Наприкінці травня на форумах Battle.net з’явилися повідомлення користувачів про пропажу золота, одягу героїв і артефактів. На початку було незрозуміло, чи це технічний глюк на серверах Blizzard, чи це хакерська атака.

Незабаром журнал Eurogamer виступив на підтримку другої версії: вони повідомили про декілька випадків взлому акаунтів Diablo III. Також з’явилися чутки, що в неділю європейські сервери Diablo III пішли в офлайн на чотири години через SQL ін’єкцію. Компанія Blizzard підтвердила наявність уразливостей на їхньому сайті.

Не встиг Diablo 3 вийти, як його онлайнові сервера почали успішно атакувати. А незважаючи на свої доходи, Blizzard традиційно недостатньо слідкує за безпекою.

За повідомленням www.opennet.ru, GlobalSign тимчасово призупинив видачу SSL-сертифікатів через можливу компрометацію.

Ще у вересні, засвідчуючий центр GlobalSіgn повідомив про ініціювання внутрішньої перевірки безпеки в зв’язку з появою в мережі анонімної заяви, у якій від імені ініціаторів атаки стверджується, що крім взлому DigiNotar, удалося одержати доступ ще до чотирьох засвідчуючих центрів, серед яких StartCom і GlobalSign. Також стверджується, що незважаючи на широкий резонанс після взлому засвідчуючого центра Comodo, в нападників ще залишився доступ до систем деяких реселерів Comodo.

Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd, Gemnet та VeriSign, це може бути ще одним таким випадком.

За повідомленням nakedsecurity.sophos.com, games developer Rockyou fined $250K for not securely storing customer data.

Як повідомляється, у березні Federal Trade Commission (FTC) оштрафувала американську компанію Rockyou на $250000 за те, що вона не слідкувала за безпекою власного сайту. Взлом якого призвів до витоку великої кількості даних клієнтів цієї компанії. Це перший відомий мені випадок накладання штрафу за дірки на сайті (що призвели до взлому). Зараз FTC варто зайнятися Blizzard .

Нагадаю, що в 2009 році сайт компанії Rockyou, розробника онлайнових ігор, був взломаний через SQL Injection уразливість. В результаті взлому були скомпрометовані дані авторизації 32 млн. зареєстрованих користувачів.

25.04.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Some failed authentication attempts using OCIPasswordChange API are not recorded (деталі)
• Incomplete protection of Oracle Database locked accounts (деталі)
• SQL Injection in Oracle Enterprise Manager (compareWizFirstConfig web page) (деталі)
• SQL Injection in Oracle Enterprise Manager (searchPage web page) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (prevPage parameter) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (pageName parameter) (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Oracle Enterprise Manager vulnerable to Session fixation (деталі)
• Oracle Critical Patch Update Advisory - April 2012 (деталі)

02.06.2012

Додаткова інформація.

• Re: The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• Oracle TNS Poison vulnerability is actually a 0day with no patch available (деталі)
• Patch Notification: Oracle Grid Engine sgepasswd Buffer Overflow (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Remote Code Execution (CVE-2012-2031) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2029) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2030) (деталі)
• Security update available for Adobe Shockwave Player (деталі)

У травні, 08.05.2012, через п’ять днів після виходу PHP 5.3.12 та PHP 5.4.2, вийшли PHP 5.3.13 та PHP 5.4.3. В яких виправлені дві уразливості. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.13 та PHP 5.4.3:

• Повністю виправлена можливість відправки довільних команд PHP інтерпретатору (що була лише частково виправлена в версіях 5.3.12 та 5.4.2).

Як я вже зазначав, до цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими).

Cеред секюріті виправлень лише в PHP 5.4.3:

• Виправлена Buffer Overflow уразливість в apache_request_headers() (яка стосується лише гілки 5.4.x).

По матеріалам http://www.php.net.

У травні місяці Microsoft випустила 7 патчів. Що значно менше ніж у квітні.

У травненому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 4 патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office.

За повідомленням ain.ua, МВС України закрило проект hack-ентузіастів VX Heavens.

МВС України припинило роботу веб проекта VX Heavens, що довгий час служив площадкою для hack-ентузіастів. Як повідомляється на головній сторінці проекту, “у п’ятницю, 23 березня, сервер був вилучений співробітниками міліції в зв’язку з порушенням кримінальної справи по статті 361-1 КК України (Створення шкідливих програм з метою поширення чи збуту) по сигналу про “розміщення для вільного доступу шкідливих програмних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин, автоматизованих систем, комп’ютерних мереж”. Абсурдність даного твердження нам доведеться доводити в суді”.

Окрім закриття міліцією сайтів, що публічно займалися розповсюдженням вірусів (наприклад, їх продажем), подібне закриття сайтів може бути спровоковане через дірки на сайтах, про що я напишу окрему статтю.

За повідомленням www.xakep.ru, статистика по ДБО від Центробанку РФ.

Центральний банк Російської Федерації опублікував статистику за 2011 рік по шахрайствах, чиненим за допомогою терміналів, банкоматів та інших засобів дистанційного банківського обслуговування (ДБО). Цифри оголосив начальник головного управління безпеки і захисту інформації Банку Росії Олег Крилов на засіданні круглого столу з проблем безготівкових і готівкових розрахунків.

Торік обсяг фродових транзакцій через ДБО виріс на 40%. Перше місце займають розкрадання через віддалені термінали, на їхню частку приходиться 58% обсягу фрода, 40% коштів викрадається через банкомати, а 2% приходяться на електронні гроші.

За повідомленням ain.ua, збиток від шахрайства в сфері українського інтернет-банкінга перевищив 9 млн. гривень за рік.

У 2011 році зловмисники подвоїли кількість неправомірних операцій із платіжними системами і банківськими картами в Україні, зумівши вкрасти майже в півтора рази більше коштів: 9,1 млн. грн. Представники банків і платіжних систем скаржаться, що основні проблеми виникають при інтернет-платежах, а також через крадіжку персональних даних шляхом скіммінга. Чипові картки можуть зробити транзакції захищеними, але експерти ремствують на низькі темпи їхнього впровадження.

За період з 25.10.2010 по 19.03.2012 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Взлом складався з серії взломів і останній взлом відбувся після згаданого масового взлому сайтів на сервері CityNet.

Всього було взломано 46 сайтів на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua, tour.stsrda.gov.ua, ved.svittancu.com.ua, artisthall.com, svittancu.com.ua, test.svittancu.com.ua, www.tramtata.net.ua, impulsbud.com, stabilizatora.net, ukrgasoil.com, www.akit.in.ua, advokat.delok.info, delok.info, ferokupidon.com, poluneeva.org.ua, dobro-diy.com.ua, foto.delok.info, nicer.com.ua, ajure.com.ua, lsu.kiev.ua, georgia-tour.com, radojavor.com, test.delok.info, ur-poslugi.com.ua, avto-boss.com.ua, h.akit.com.ua, test2.delok.info, utic.com.ua, taxi-boss.com.ua, akit.com.ua, brendonmusic.com, jt-fashion.net, for-tour.com.ua, chehoeva.com, www.fds-sales.ru, www.lesnoyray.com, grafplast.com.ua, sharanet.com.ua, www.nimchenko-design.com.ua, rubin.kharkov.ua, www.niidkif.org.ua, www.klt.org.ua, kofeinbest.com.ua, x.akcia.kiev.ua. Серед них українські державні сайти rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua та tour.stsrda.gov.ua.

З зазначених 46 сайтів 4 сайти були взломані хакерами з LatinHackTeam, 4 сайти хакером ghost-dz, 1 сайт хакерами з 1923Turk, 7 сайтів хакером iskorpitx, 25 сайтів хакером Torres, 1 сайт хакером kaMtiEz, 3 сайти хакером EraGoN та 1 сайт хакером Big-SMoke.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 25 сайтів, немає сумнівів, що вони були взломані Torres через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Минулого місяця, 24.04.2012, вийшов Mozilla Firefox 12. Нова версія браузера вийшла через півтора місяця після виходу Firefox 11.

Mozilla офіційно представила реліз веб-браузера Firefox 12. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.4, підтримка гілки 3.6.x припинена. Реліз Firefox 13 очікується в середині червня, а Firefox 14 вийде в кінці липня.

Також був випущений Thunderbird 12, а згодом і Firefox 12 for Android та Seamonkey 2.9. Нагадаю, що версія Firefox 11 for Android була пропущена через неготовність реліза.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 12.0 усунуто 8 уразливостей, серед яких присутні 3 проблеми, що мають високий ступінь небезпеки, і 2 критичні проблеми, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Критичні уразливості знайдені в коді перевірки шрифтів OpenType і в реалізації WebGL-функції textImage2D.

• Релиз web-браузера Firefox 12 и почтового клиента Thunderbird 12 (деталі)

За повідомленням www.xakep.ru, відеокамери спостереження відкриті для хакерів.

Американська компанія Gotham Digital Science разом з розробниками Metasploit з команди Rapid7 випустили новий модуль cctv_dvr_login для взлому, тобто тестування на проникнення, відеокамер зовнішнього спостереження (CCTV).

Використання дефолтних чи простих паролів є поширеним у веб інтерфейсах як веб камер, так і CCTV камер.

За повідомленням ain.ua, з 26 травня вводяться нові правила ЄС стосовно використання cookies на сайтах.

Закон Євросоюзу про нову політику ресурсів стосовно використання cookies був прийнятий у 2011 році, але в ICO (Information Commissioner’s Office) прийняли рішення відстрочити вступ закону в силу на 1 рік. І з 26 травня 2012 року сайти, що не відповідають вимогам нового європейського законодавства про онлайн конфіденційність, можуть бути оштрафовані на суму 500000 євро. Якщо коротко, то новий закон вимагає, щоб веб сайт одержував дозвіл від відвідувачів перш, ніж записувати cookies на їх ПК.

Окрім підвищення приватності користувачів та створення додаткової мороки з кукісами для власників сайтів в ЄС, також це призведе до штрафів для сайтів, що не відповідають новому законодавству. В тому числі ці штрафи можуть бути спровоковані через дірки на сайтах, про що я напишу окрему статтю.

За повідомленням bugtraq.ru, CGI-уразливість в PHP: другий підхід до снаряда.

The PHP Group із другої спроби все-таки закрила уразливість, що дозволяє на деяких конфігураціях переглядати вихідні коди скриптів, виконувати віддалений код і т.п. Крім того, PHP 5.4.3 і PHP 5.3.13 закривають ще одне переповнення буфера у функції apache_request_headers.

Треба сказати, що cgi-уразливість не залишилася без уваги зломщиків - так, хостінг-провайдер Dreamhost за час, що пройшов з моменту її обнародування, зафіксував 234076 спроб її використання на 151275 окремих доменах.