Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.5.

Пошкодження пам’яті, обхід захисту, цілочислені переповнення, DoS-умови.

• Mozilla Foundation Security Advisory 2011-53 (деталі)
• Mozilla Foundation Security Advisory 2011-54 (деталі)
• Mozilla Foundation Security Advisory 2011-55 (деталі)
• Mozilla Foundation Security Advisory 2011-56 (деталі)
• Mozilla Foundation Security Advisory 2011-57 (деталі)
• Mozilla Foundation Security Advisory 2011-58 (деталі)
• Mozilla Foundation Security Advisory 2011-59 (деталі)

Виявлена можливість підвищення привілеїв в Apache.

Уразливі версії: Apache 2.0, Apache 2.2.

Підвищення привілеїв через SetEnvif у сполученні з заголовками HTTP-запиту.

• Integer overflow in Apache HTTP Server (деталі)

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.3.

Звертання по нульовому вказівнику через неперевірене значення zend_strndup.

• PHP 5.3.8 Multiple vulnerabilities (деталі)

За повідомленням www.xakep.ru, новий закон Євросоюзу змусить повідомляти про взлом протягом 24 годин.

Можливо, новин про взломи і витоки інформації в майбутньому стане набагато більше. Європейський Союз готує новий законопроект про захист приватних даних, відповідно до якого кожна компанія буде зобов’язана протягом 24 годин після взлому повідомити інформацію про витік даних постраждалим громадянам і компетентним органам Євросоюзу. У випадку приховання інформації компанія буде піддана адміністративному покаранню і штрафам, після розгляду справи у відповідному комітеті ЄС.

Цікава ідея ЄС, такий собі full disclosure, щоб стимулювати компанії не приховувати випадки взломів . Бажано, щоб вони зробили новий закон всеохоплючим, для того щоб він охоплював як взломи локальних мереж, так і веб сайтів, що належать як юридичним особам, так і фізичним особам. І після того як вони його приймуть, з часом ця практика дійде до України.

За повідомленням www.xakep.ru, статистика по фроду в 2011 році: кардери зняли $3,4 млрд. у магазинах США.

Процесінгова компанія CyberSource (підрозділ корпорації Visa) опублікувала звіт 2012 Online Fraud Report зі статистикою по кардерским операціях в Інтернеті. На перший погляд, кардерство йде на спад: частка фродових транзакцій в Інтернеті впала з 0,9% у 2010 році до 0,6% у 2011 році, тобто до мінімального рівня за останні 13 років, протягом яких проводилися виміри.

Однак, фродові транзакції по розміру виявилися більше звичайних, і тому частка шахрайства в загальному обороті інтернет-торгівлі в порівнянні з минулим роком виросла до 1,0%, хоча в цілому вона поступово знижується вже багато років.

За повідомленням www.xakep.ru, DreamHost взломаний, всіх просять поміняти паролі.

Черговою жертвою хакерів став великий американський хостінг-провайдер DreamHost. У корпоративному блозі опубліковане повідомлення про виявлення несанкціонованого доступу до бази даних хешей паролів FTP/Shell. При цьому компанія підкреслює, що в неї немає прямих доказів крадіжки користувацьких паролів, але компанія все-таки зробила примусове скидання паролів для всіх аккаунтів FTP/Shell.

Процедура скидання паролів почалася в суботу, 20 січня. На хостінгу DreamHost розміщується близько 1,22 млн. доменів.

Торік я писав про декілька фішинг атак на клієнтів ПриватБанку - на користувачів Приват24. Одна атака вібдулася у березні (09.03.2011), а друга - у квітні (на протязі 14-16.04.2011). І вже на початку січня, 09.01.2012, про що я згадав у коментарях, розпочалася нова фішинг атака на Приват 24. Явно приурочена до новорічних свят .

При цьому зазначу, що сам я не є клієнтом ПриватБанка і не користуюся Приват24, але фішинг листи все ж таки отримав (що в минулому, що в цьому році). Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я працював з цією системою. При цьому лист вислали з кривим кодуванням - в більшості випадків фішинга на ПБ я зустрічав неякісне створення листів для фішинг-розсилки.

Підроблений сайт (фішерський) знаходиться в папці на одному сайті, з дуже схожим доменом (http://www.privat24-ua.com/logins/). При цьому домен був зареєстрований як раз 09.01.2012, тому атаку фішери розпочали одразу після реєстрації домена. Домен зареєстрований на рік - вони явно планують на протязі року проводити атаки. Зараз хостер прикрив цей сайт, але можна очікувати його розміщення на іншому хостингу.

Так вже фішери полюбляють проводити атаки на клієнтів ПриватБанку . Це може бути пов’язано як з популярністю онлайн-банкінга Приват24, так і з впевненістю фішерів в успішності атаки (що може базуватися на існуючому досвіді - може вже траплялися їм довірливі користувачі П24).

Виявлені уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Можливе впровадження коду через eval у конструкторі в модулі Digest. Однобайтове переповнення буфера в decode_xs.

• Vulnerabilities in Perl (деталі)

За повідомленням www.opennet.ru, CryptDB - проект по забезпеченню надійного шифрування даних у СУБД.

Дослідники з Массачусецького технологічного інституту представили проект CryptDB, у рамках якого почата спроба вирішення проблеми безпечного збереження даних у БД, що обслуговуються в хмарних сервісах та інших непідконтрольних системах. Основна проблема при збереженні важливої інформації в непідконтрольних СУБД пов’язана з можливістю витоку даних у процесі взлому сервісу чи в результаті неправомірних дій адміністраторів.

Для вирішення цієї проблеми в CryptDB забезпечена підтримка шифрування, при якій дані на стороні СУБД ніколи не фігурують у відкритому вигляді, а всі передані в CУБД запити містять тільки зашифровані дані, у тому числі в умовних блоках.

За повідомленням www.xakep.ru, нова уразливість у WPS дозволяє швидше вгадувати PIN-код маршрутизатора.

Недавно виявлена уразливість у стандарті Wi-Fi Protected Setup (WPS) скорочує кількість спроб, що потрібні хакеру, що намагається брутфорсити PIN-код процесу установки бездротового роутера. У результаті помилки занадто багато інформації про PIN-код повертається нападнику, а сам PIN-код стає слабшим, що негативно впливає на захист мільйонів Wi-Fi маршрутизаторів і точок доступу. Дослідник безпеки Стефан Вибок знайшов цю уразливість і повідомив про неї в US-CERT.

Наприклад, точка доступа D-Link DAP 1150, яку я використовую, має WPS відключеним по замовчуванню. Така конфігурація дозволяє апріорі убезпечити пристрій від атак на WPS, тому виробникам мережевих пристроїв слід використовувати даний підхід.

За повідомленням www.xakep.ru, експерти попереджають про потенційну уразливість GSM-зв’язку.

Карстен Нол, керівник німецької компанії Security Research Labs, стверджує, що особливості роботи GSM-мереж теоретично дозволяють захопити контроль практично над будь-яким стільниковим апаратом.

15.12.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-099 - Important Cumulative Security Update for Internet Explorer (2618444) (деталі)

29.12.2011

Додаткова інформація.

• Microsoft Windows Media Player DVR-MS Buffer Overflow Vulnerability (MS11-092) (деталі)

17.11.2011

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.0, AIR 3.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних.

• Security update available for Adobe Flash Player (деталі)

28.12.2011

Додаткова інформація.

• Adobe Flash Player “SAlign” Memory Corruption Vulnerability (CVE-2011-2459) (деталі)

За повідомленням www.xakep.ru, Google Wallet зберігає деяку інформацію про платіжні карти у відкритому вигляді.

Значна кількість незашифрованих даних ставить телефони з Android у ризиковане становище, говорять дослідники. Самий довгоочікуваний мобільний платіжний додаток від Google для розрахунків у місцевих магазинах зберігає деяку секретну інформацію про користувачів у нешифрованому вигляді, наприклад, імена користувачів, дати транзакцій, адреси електронної пошти, а також залишок на рахунку покупців, говориться в дослідженні viaForensics.

За повідомленням www.xakep.ru, Gartner: основні тенденції інформаційної безпеки і безпечного здійснення покупок на 2012 рік.

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - животрепетна тема, але недавнє дослідження, проведене компанією Gartner показало, що 18% респондентів зізналися в тому, що вони не PCI DSS-сумісні, хоча в дослідженні малося на увазі, що вони повинні були відповідати цим стандартам.

Gartner провів ряд досліджень у період з червня по вересень цього року на щорічному IT-самміті Gartner по інформаційній безпеці, заходах Catalyst у Північній Америці і на їхньому власному самміті по безпеці і ризикам у EMEA. Опитування 383 IT-менеджерів виявило тренди в поводженні при здійсненні покупок і дозволило спрогнозувати майбутні витрати на забезпечення безпеки.

Це ще малий відсоток несумісних з PCI DSS компаній у Gartner, тому що досліджували вони лише західні компанії. Моє дослідження компаній (як українських, так і деяких інших), що мають сайти які повинні відповідати PCI DSS, показало, що мало хто з них відповідає цьому стандарту (і про такі діряві сайти я вже писав неодноразово). А також доводилося знаходити уразливості на сайтах, які пройшли PCI DSS аудит і мають відповідний сертифікат.

За повідомленням www.xakep.ru, вимоги безпеки націлені на зміцнення розбитої системи SSL: занадто мало, занадто пізно.

Консорціум компаній опублікував набір практик здійснення безпеки, який, вони сподіваються, будуть застосовувати всі центри аутентифікації, щоб браузери й інше ПЗ довіряло їх сертифікатам SSL. Базові вимоги, опубліковані Certification Authority/Browser Forum, розроблені для того, щоб запобігти порушенню безпеки в заплутаній мережі довіри, що формує підтримку системи SSL сертифікатів.

Випуск цих правил відбувся після багатьох років поганого керування з боку індивідуальних центрів сертифікації, яким дозволено випускати сертифікати, яким довіряють браузери. Це вимушений крок, після багатьох випадків компрометації видавців сертифікатів - лише в цьому році, як я писав, були взломані чотири видавця SSL сертифікатів: Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet.