20.12.2011
Виявлена можливість витоку інформації та можливість проведення DoS атак в PHP.
Уразливі версії: PHP 5.3, PHP 5.4.
Звертання за межі виділеної пам’яті при розборі EXIF-заголовків JPEG.
11.02.2011
DoS через передбачувані колізії хеш-функції.
За повідомленням www.xakep.ru, можливий підбор PIN-кода до Google Wallet.
Хакери знайшли спосіб підбора PIN-кодів до гаманців Google Wallet, що використовуються для платежів по бездротовому зв’язку малого радіуса дії (стандарт NFC, заснований на RFID).
Виявляється, підбирати PIN-код можна методом брутфорса без звертання до сервера Google завдяки виявленій уразливості в архітектурі цього додатка. Раніше viaForensics вже звертала увагу на недостатню безпеку Google Wallet.
За повідомленням www.pravda.com.ua, сервер МВС став надбанням юзерів.
Хакери відкрили доступ до сервера МВС через ftp. В результаті, дані папок з сервера МВС стали відомі тисячам користувачів і вільно гуляли по Інтернету.
Хакери також підтвердили, що на сервері МВС стоїть піратська Windows. Скріншоти з переліком папок і файлів з сервера наводяться в тексті новини.
Після проведення DDoS атак на mvs.gov.ua та інші gov.ua сайти, хакери вирішили взломати сервер Міністерства Внутрішних Справ, хоча я сумніваюся, що це саме сервер МВС. Особисто в мене склалося враження, переглянувши скріншоти, що це не сервер МВС, а просто пересональний комп’ютер одного з працівників міліції. Тому заяви про взлом сервера схожі на фейк. Також висловлюються думки, що ці скріншоти взагалі фейк - що це перелік папок з ПК якогось юзера і до МВС ніякого відношення не мають.
За повідомленням www.xakep.ru, у Китаї виявлений ботнет з 140000 Android-пристроїв.
Користувачі двох найбільших операторів стільникового зв’язку Китаю виявилися жертвами троянської програми, що об’єднала їх у ботнет рекордного розміру. На думку експертів Symantec, розмір цього ботнета може досягати сотень тисяч пристроїв під керуванням операційної системи Android.
Як видно з цього прикладу, не тільки Microsoft зі своєю операційною системою Windows докладається до поширення ботнетів, але й Google зі своєю Android.
Виявлена можливість впровадження даних у curl.
Уразливі версії: curl 7.21.
Впровадження даних через URL запиту.
Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.
Уразливі продукти: Mozilla Firefox 3.6, Firefox 9.0, Thunderbird 3.1, Thunderbird 9.0, SeaMonkey 2.7.
Численні пошкодження пам’яті, міжсайтовий доступ, витік інформації, слабкі дозволи.
Виявлені численні уразливості безпеки в Apache.
Уразливі версії: Apache 2.2.
Витік інформації, обхід фільтрації, підвищення привілеїв, DoS.
У січні, 10.01.2012, вийшов PHP 5.3.9, а вже у лютому, 02.02.2012, вийшов PHP 5.3.10. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.
Після виходу версії 5.3.9 Стефан Ессер виявив, що в ній має місце remote code execution уразливість, причому вона знаходиться в коді виправлення DoS уразливості, який був доданий в цій версії. Тому вже на початку лютого розробники випустили нову версію для виправлення RCE дірки.
Cеред секюріті покращень та виправлень в PHP 5.3.9:
Cеред секюріті виправлень в PHP 5.3.10
Випускати чергову версію інтерпретатора, після чого виясняти, що в ній є уразливість і швидко випускати нову версія для її виправлення - це вже траплялося з PHP раніше, зокрема в версії PHP 5.3.7. Коли вже через п’ять днів після її випуску, розробники PHP випустили версію 5.3.8, для виправлення уразливості в функції crypt(). Ці випадки вкотре показують, що розробники PHP недостатньо слідкують за безпекою, недостатньо тестують нові версії перед їх випуском і не вчаться на власних помилках.
По матеріалам http://www.php.net.
За повідомленням www.opennet.ru, виявлена критична уразливість у PHP 5.3.9, що дозволяє виконати код на сервері.
У PHP виявлена одна із самих серйозних уразливостей за час існування даної мови. Уразливість проявляється тільки в PHP 5.3.9 і дозволяє віддаленому зловмиснику виконати свій код на сервері, незалежно від того які PHP-скрипти використовуються. При успішному здійсненні атаки код буде виконаний із правами PHP-додатка, до якого відправлений спеціальний запит.
По іронії долі, уразливість пов’язанна з некоректним усуненням менш небезпечної проблеми безпеки в минулій версії PHP (про універсальний спосіб DoS-атаки я вже писав раніше). Уразливість виявлена Стефаном Ессером.
Молодець Стефан, що знайшов цю уразливість, причому CE уразливість в коді виправлення DoS уразливості. Що з однієї сторони виглядає кумедно, коли патч для однієї дірки додає нову дірку (і таке іноді трапляється). А з іншої сторони, виконання довільного коду підправивши спеціально сформований запит будь-якому PHP-скрипту - це доволі критична уразливість.
За повідомленням www.from-ua.com, хакери “поклали” сайт української міліції з помсти.
Сайт Міністерства внутрішніх справ України деякий час не працював у зв’язку з великою кількістю відвідувачів і можливими хакерськими атаками через закриття EX.UA. Про що повідомили в управлінні зв’язків із громадськістю МВС України, пообіцявши, що найближчим часом сайт відновить свою роботу.
Сайт МВС перестав працювати 31.01.2012 із-за DDoS атаки. І в даний час він все ще відкривається повільно, так як повністю атака не завершилася.
За повідомленням www.xakep.ru, VeriSign визнала факт “неодноразових проникнень” у корпоративну мережу.
Один з оплотів мережевої інфраструктури VeriSign визнав, що в 2010 в корпоративну мережу неодноразово проникали невідомі. Дуже несподівано почути подібне визнання, особливо через два роки після факту взломів. Компанія пояснює таку повільність тим, що вище керівництво нібито було сповіщено про інцидент тільки у вересні 2011 року. Уже тепер, відповідно до вимог звітності Комісії з цінних паперів США, компанія VeriSign, як і потрібно, повідомила про факт взлому в черговому квартальному звіті.
Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet, це ще один такий випадок. І якщо ці чотири компанії були взломані в 2011 році, то VeriSign був взломани ще в 2010, але лише зараз про це повідомив.
Нещодавно, 31.01.2012, вийшов Mozilla Firefox 10. Нова версія браузера вийшла майже через півтора місяця після виходу Firefox 9.
Mozilla офіційно представила реліз веб-браузера Firefox 10.0. Реліз Firefox 11 очікується через 6 тижнів, у середині березня, а Firefox 12 вийде на початку травня. Крім того, також були випущені Firefox 3.6.26, Firefox 10 for Android, Seamonkey 2.7 і Thunderbird 10.0.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 10 усунуто 9 уразливостей. З яких 6 критичних уразливостей, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок, а також дві уразливості з високим ступенем небезпеки та одна з помірним.
Виявлене переповнення буфера в Suhoshin - секюріті розширенні PHP.
Уразливі версії: Suhoshin 0.9.
Переповнення буфера в коді прозорого шифрування кукі.
У січні місяці Microsoft випустила 7 патчів. Що значно менше ніж у грудні.
У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 8 уразливостей в програмних продуктах компанії. З них один патч закриває дві критичні уразливості, а інші шість патчів - важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, .NET Framework, Windows Media Player та бібліотеки Microsoft AntiXSS. Також була виправлена уразливість в ОС Windows, що стосується протоколів SSL/TLS, яка використовується для проведення BEAST-атаки.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.