Websecurity - Веб безпека

У лютому, 08.02.2012, через півтора місяці після виходу Google Chrome 16, вийшов Google Chrome 17.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 5 - помірні і 6 - незначні. Та одній з уразливостей (Race condition після краху допоміжного процесу) привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і зробити успішну атаку на систему користувача.

• Релиз web-браузера Chrome 17 (деталі)

За повідомленням www.xakep.ru, невидиме вікно в поштову скриньку Gmail.

Як часто користувачі аккаунтів Gmail реєструються в різних сервісах і дозволяють цьому додатку доступ до своєї поштової скриньки (доступ до Twitter, доступ до Facebook і так далі)? Останнім часом це стало звичайною справою і вважається цілком безпечним способом передати доступ без розголошення конфіденційної інформації. Дійсно, у таких випадках використовується технологія OAuth, так що логін і пароль користувача не передаються сторонньому сервісу. Gmail додав підтримку відкритого стандарту OAuth у березні 2010 року, і з тих пір ця технологія одержала велике поширення.

Це гарна ілюстрація ризиків використання OAuth та інших подібних стандартів. Необдумане використання OAuth, що зараз пітримують Google на своїх сервісах та багато інших веб сайтів, може призвести до проблем з безпекою. Тому що зловмисники використовуючи соціальну інженерію можуть отримати доступ до вашої поштової скриньки Gmail та інших сайтів, доданих у ваш акаунт.

За повідомленням www.xakep.ru, DMARC - новий стандарт аутентифікації для електронної пошти.

Google, Facebook і ще 13 компаній і організацій спільно розробили й опублікували чернетку специфікацій для нового стандарту аутентифікації електронної пошти DMARC (Domain-based Message Authentication, Reporting and Conformance). Як і колишні стандарти, він покликаний боротися з підробкою адрес електронної пошти (domain spoofing), але реалізує для цього новаторські методи.

За повідомленням www.xakep.ru, Facebook ніколи не буде безпечним.

Хакер і один з розробників анонімайзера Tor Якоб Аппельбаум розповів про приватність в Інтернеті й про ту роль, що грає Facebook та інші соціальні мережі. На питання, як потрібно безпечно користуватися Facebook, фахівець відповів так: “Не потрібно організовувати стеження за собою. Якщо ви хочете бути в безпеці на Facebook, то взагалі не повинні його використовувати. І будь ласка, не підставляйте інших людей!”

Якоб достатньо вдало описав ризики використання соціальних мереж і небезпеку приватності людей, яку вони несуть.

Виявлені численні XSS уразливості в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Foundation 2010.

XSS на різних сторінках.

• Microsoft Security Bulletin MS12-011 - Important Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2663841) (деталі)

Use-after-free уразливість в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 10.0, Thunderbird 10.0, SeaMonkey 2.7.

Використання пам’яті після звільнення в nsXBLDocumentInfo::ReadPrototypeBindings.

• Mozilla Foundation Security Advisory 2012-10 (деталі)

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2009 - 2011 років: 18.12.2009, 05.03.2010-26.11.2010 та 23.10.2011. П’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (46 сайтів в 2011 році) та декількох невеликих дефейсів по одному або декілька сайтів (в попередні роки).

Всього було взломано 57 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: vipcat.net, vicatto.pp.ua, valeryshcherytsa.com, terapia.kiev.ua, stelki.in.ua, status-studfarm.com, thespacecakes.com, machocondoms.com.ua, mikadocondoms.com, ozon.com.ua, ozonsafety.com, ukr.ozon.com.ua, shkid.com.ua, promo-sumki.com.ua, tehnadzor.zp.ua, nasutki.zp.ua, midas-bud.com.ua, mariupolonline.com, nasutki.org.ua, sinklit.com.ua, samson-rem.com.ua, mishutkinclub.com.ua, naer.gov.ua, masenko.com.ua, macservice.com.ua, asdekor.org.ua, domashnie-sekrety.ru, domophone.in.ua, dolmetscher.in.ua, dreval.ru, alfaserv.com.ua, bioil.ua, baobablife.net, colorsoflife.com.ua, ladyphone.ru, pontaradi.ru, accdent.com.ua, aastra.com.ua, kvorum.com.ua, smartmobile.com.ua, konspekt.pp.ua, ktrube.com.ua, kursach.in.ua, filemaker.com.ua, hansatoy.com.ua, kharchenko.com.ua, in-ua.com, infoplace.com.ua, apkfoto.com, blog.in-ua.com, www.gans-auto.com, www.mshop.com.ua, www.avtohifi.com, www.webison.org, modesa.com.ua, www.ratushniak.te.ua, modnyshka.org. Серед них український державний сайт naer.gov.ua.

З зазначених 57 сайтів 46 сайтів були взломані хакером FEnR, 4 сайти хакерами з goyhackers, 1 сайт хакерами з RBH-Crew, 1 сайт хакером Trojan511, 2 сайти хакером altbta, 1 сайт хакером federal-atack, 1 сайт хакерами з 1923Turk та 1 сайт хакером Fl0riX.

Якщо невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу можна сказати, що враховуючи дефейс 46 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

Виявлене переповнення індексу масиву в браузері Opera.

Уразливі версії: Opera 11.60.

Переповнення цілого типу у функціях роботи з масивом.

• opera array integer overflow (деталі)

В жовтні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 15.10.2011-28.10.2011, а потім ще 28.01.2012. Третій масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох більших дефейсів та декількох невеликих дефейсів, відбувся під час завершення процесу масового взлому сайтів на сервері Service Online.

Всього було взломано 42 сайти на сервері хостера Besthosting (IP 194.28.172.69). Це наступні сайти: realgentlemenclub.com, lutskmap.com, mobilutsk.com, vyshyvanka.net, євро2012.net, sunduchek.com.ua, fortaleza.org.ua, autozona.te.ua, f5soft.com, bazaleto.com.ua, history.odessa.ua, izmail.net, katranka.com.ua, love-story.com.ua, masterklimat.com.ua, sokolov.odessa.ua, rentbike.odessa.ua, province.com.ua, premierhotel.com.ua, oweamuseum.odessa.ua, mozaika.ua, alyoshyn.com, dolonin.com, izmail.info, autosoundshop.ru, documentaryfilm.ru, gonkionline.ru, immigrationlaw.ru, komp.kharkov.ua, mathgames.ru, risuem.com.ua, slavikgerasimov.ru, sumka.co.ua, televisionline.ru, promix.lviv.ua, serebrova.com, altavent.com.ua, leontal.com.ua, rdc.org.ua, aerotec.com.ua, oblrada.sumy.ua, kalynivka-rda.gov.ua. Серед них українські державні сайти oblrada.sumy.ua і kalynivka-rda.gov.ua.

З зазначених 42 сайтів 40 сайтів були взломані хакерами з Cyber Warrior Invasion та 2 сайти хакером Dr-Angel.

Враховуючи те, що дефейс даних сайтів відбувся за п’ять заходів, в основному взламувалися невеликі групи сайтів (хоча в цілому Cyber Warrior Invasion взломала чимало сайтів), маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

20.12.2011

Виявлена можливість витоку інформації та можливість проведення DoS атак в PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Звертання за межі виділеної пам’яті при розборі EXIF-заголовків JPEG.

• Integer overflow in the exif extension in PHP 5.4.0beta2 (деталі)

11.02.2011

DoS через передбачувані колізії хеш-функції.

• Denial of service (CPU consumption) in PHP before 5.3.9 (деталі)
• web programming languages and platforms - DoS through hash table (деталі)
• multiple implementations denial-of-service via hash algorithm collision (деталі)

За повідомленням www.xakep.ru, можливий підбор PIN-кода до Google Wallet.

Хакери знайшли спосіб підбора PIN-кодів до гаманців Google Wallet, що використовуються для платежів по бездротовому зв’язку малого радіуса дії (стандарт NFC, заснований на RFID).

Виявляється, підбирати PIN-код можна методом брутфорса без звертання до сервера Google завдяки виявленій уразливості в архітектурі цього додатка. Раніше viaForensics вже звертала увагу на недостатню безпеку Google Wallet.

За повідомленням www.pravda.com.ua, сервер МВС став надбанням юзерів.

Хакери відкрили доступ до сервера МВС через ftp. В результаті, дані папок з сервера МВС стали відомі тисячам користувачів і вільно гуляли по Інтернету.

Хакери також підтвердили, що на сервері МВС стоїть піратська Windows. Скріншоти з переліком папок і файлів з сервера наводяться в тексті новини.

Після проведення DDoS атак на mvs.gov.ua та інші gov.ua сайти, хакери вирішили взломати сервер Міністерства Внутрішних Справ, хоча я сумніваюся, що це саме сервер МВС. Особисто в мене склалося враження, переглянувши скріншоти, що це не сервер МВС, а просто пересональний комп’ютер одного з працівників міліції. Тому заяви про взлом сервера схожі на фейк. Також висловлюються думки, що ці скріншоти взагалі фейк - що це перелік папок з ПК якогось юзера і до МВС ніякого відношення не мають.

За повідомленням www.xakep.ru, у Китаї виявлений ботнет з 140000 Android-пристроїв.

Користувачі двох найбільших операторів стільникового зв’язку Китаю виявилися жертвами троянської програми, що об’єднала їх у ботнет рекордного розміру. На думку експертів Symantec, розмір цього ботнета може досягати сотень тисяч пристроїв під керуванням операційної системи Android.

Як видно з цього прикладу, не тільки Microsoft зі своєю операційною системою Windows докладається до поширення ботнетів, але й Google зі своєю Android.

Виявлена можливість впровадження даних у curl.

Уразливі версії: curl 7.21.

Впровадження даних через URL запиту.

• curl vulnerability (деталі)