Websecurity - Веб безпека

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Вичерпання ресурсів у функціях роботи з регулярними виразами POSIX.

• PHP 5.4/5.3 deprecated eregi() memory_limit bypass (деталі)

За повідомленням www.xakep.ru, витік до 10 мільйонів карт VISA і MasterCard.

Компанії VISA і MasterCard попередили банки про інцидент в одному з американських процесінгових центрів, у результаті чого можливий витік до 10 мільйонів пластикових карт. Банкам вислані номери скомпрометованих карт для аналізу транзакций по них, що дозволить виявити джерело атаки і, можливо, особистості зловмисників. По цих картах будуть початі додаткові антифродові дії та, імовірно, буде здійснена повторна емісія карт. Першим інформацію про витік опублікував Брайан Кребс у п’ятницю, після чого інформацію офіційно підтвердили VISA і MasterCard.

За повідомленням www.itsec.ru, опубліковано прайс-лист за експлоіти для 0-day уразливостей.

Не секрет, що в будь-якому бізнесі найбільш привабливим замовником є державні структури. Не виключенням виявився і ринок експлоітів для zero-day уразливостей. За даними Forbes, урядові агентства готові заплатити хакерам від $5000 до $250000 за докладну інформацію про методи атак популярного програмного забезпечення.

Днями журналіст Forbes, у продовження недавньої історії про Vupen, опублікував орієнтовну вартість експлоітів для популярних програмних продуктів. Компанія Vupen, що перемогла на останньому конкурсі Pwn2Own, займайється створенням 0-day експлотів та їх продажем розвідувальним агентствам і державним спецслужбам.

За повідомленням www.xakep.ru, McAfee щодня реєструє 6500 нових заражених веб сайтів.

Компанія McAfee опублікувала підсумковий звіт за четвертий квартал 2011 року зі статистикою по шкідливому ПЗ, кількості заражених сайтів і аналізом тенденцій веб загроз.

Серед головних підсумків кварталу. Загальна кількість шкідливого ПЗ, виявленого системами McAfee за всю історію, перевищила 75 мільйонів семплів. При цьому кількість нових шкідливих програм для десктопних систем останнім часом знижується. Але є тенденція збільшення кількості шкіливого ПЗ під мобільні платформи.

Виявлена DoS уразливість (вичерпання ресурсів) у модулі Apache FCGID.

Уразливі версії: Apache mod_fcgid 2.3.

Не працює обмеження FcgidMaxProcessesPerClass.

• libapache2-mod-fcgid security update (деталі)

У березні місяці Microsoft випустила 6 патчів. Що менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають 9 уразливостей в програмних продуктах компанії. З них один патч закриває критичну уразливість (в RDP), чотири патчі закривають важливі уразливості та один - помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також різних версій Visual Studio та Expression Design.

Виявлена можливість проведення DoS атаки проти Apache Traffic Server.

Уразливі версії: Apache Traffic Server 3.0, Traffic Server 3.1.

Відмова сервера на довгому заголовку Host.

• Apache Traffic Server releases for security incident (деталі)

28.01.2012

Виявлені численні уразливості безпеки в Microsoft .Net.

Уразливі продукти: Microsoft .Net Framework на Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

DoS, численні уразливості при аутентифікації через форми.

• Critical authentication bypass in Microsoft ASP.NET Forms (деталі)
• Microsoft Security Bulletin MS11-100 - Critical Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420) (деталі)

28.03.2012

Додаткова інформація.

• Insecure Redirect in .NET Form Authentication - Redirect From Login Mechanism (ReturnURL Parameter) (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.0.

Підвищення привілеїв через тригери, ін’єкція SQL при перезавантаженні pg_dump.

• Vulnerabilities in postgresql (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 10.0, Firefox 11.0, Thunderbird 3.1, Thunderbird 10.0, Thunderbird 11.0, SeaMonkey 2.8.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ.

• Mozilla Foundation Security Advisory 2012-12 (деталі)
• Mozilla Foundation Security Advisory 2012-13 (деталі)
• Mozilla Foundation Security Advisory 2012-14 (деталі)
• Mozilla Foundation Security Advisory 2012-15 (деталі)
• Mozilla Foundation Security Advisory 2012-16 (деталі)
• Mozilla Foundation Security Advisory 2012-17 (деталі)
• Mozilla Foundation Security Advisory 2012-18 (деталі)
• Mozilla Foundation Security Advisory 2012-19 (деталі)

За повідомленням www.xakep.ru, Verisign конфіскувала домен .COM в іноземного реєстратора по запиту американського суду.

Власник реєстру доменів .com, американська компанія Verisign вилучила домен bodog.com у гемблінгового сайта Bodog. Це було зроблено за рішенням суду штату Меріленд, у якому заборонені азартні ігри в Інтернеті, а вищезгаданий сайт незаконно надавав такі послуги для громадян штату Меріленд.

Зазначу, що крім того, що Bodog - канадська компанія і її власники - громадяни Канади, але і сам сайт був зареєстрований через канадського реєстратора Domainclip (з Ванкуверу). Таким чином усі сайти в доменній зоні .com (навіть не з США) знаходяться під ризиком конфіскації домену, якщо їхні сайти стануть неугодними американській владі.

За повідомленням www.xakep.ru, банківський троян Cridex/Dapatoo поширюється через WordPress-сайти.

Наприкінці січня фахівці з безпеки з M86 Security Labs знайшли масове зараження сотень сайтів на движку WordPress 3.2.1. Тоді повідомлялося, що використовуючи відому уразливість застарілої версії WordPress і вже опубліковані експлоіти для нього, зловмисники впроваджують жертві в папку uploads файл HTML з редиректом на сторінку з набором експлоітів Phoenix Exploit Kit.

Зловмисники використовують їх просто в якості красивих URL, щоб лінка викликала довіру в жертв (і щоб простіше обійти спам-фільтри), і розсилають спам, що містить лінку на вищезгадану сторінку. Але як стало відомо пізніше, в результаті виконання екплоіту на комп’ютери жертв завантажується банківський троян Cridex/Dapatoo.

За повідомленням www.xakep.ru, як хакери стають богатими. Продаж експлоітів державним спецслужбам.

Журнал Forbes опублікував докладне досьє на компанію Vupen, що займається відкритим продажем експлоітів розвідувальним агентствам і державним спецслужбам. Французька фірма потрапила в поле зору публіки два тижні тому після перемоги на останньому конкурсі Pwn2Own, коли показала експлоіт для Chrome і відмовилася передавати його в Google, щоб “зберегти для своїх клієнтів”. Тобто компанія добровільно відмовилася від нагороди $60000, що пропонувала компанія Google.

16.02.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-010 - Critical Cumulative Security Update for Internet Explorer (2647516) (деталі)

24.03.2012

Додаткова інформація.

• Microsoft Internet Explorer VML CDispScroller Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer CDispNode t:MEDIA Remote Code Execution Vulnerability (деталі)