Websecurity - Веб безпека

15.12.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-099 - Important Cumulative Security Update for Internet Explorer (2618444) (деталі)

29.12.2011

Додаткова інформація.

• Microsoft Windows Media Player DVR-MS Buffer Overflow Vulnerability (MS11-092) (деталі)

17.11.2011

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.0, AIR 3.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних.

• Security update available for Adobe Flash Player (деталі)

28.12.2011

Додаткова інформація.

• Adobe Flash Player “SAlign” Memory Corruption Vulnerability (CVE-2011-2459) (деталі)

За повідомленням www.xakep.ru, Google Wallet зберігає деяку інформацію про платіжні карти у відкритому вигляді.

Значна кількість незашифрованих даних ставить телефони з Android у ризиковане становище, говорять дослідники. Самий довгоочікуваний мобільний платіжний додаток від Google для розрахунків у місцевих магазинах зберігає деяку секретну інформацію про користувачів у нешифрованому вигляді, наприклад, імена користувачів, дати транзакцій, адреси електронної пошти, а також залишок на рахунку покупців, говориться в дослідженні viaForensics.

За повідомленням www.xakep.ru, Gartner: основні тенденції інформаційної безпеки і безпечного здійснення покупок на 2012 рік.

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - животрепетна тема, але недавнє дослідження, проведене компанією Gartner показало, що 18% респондентів зізналися в тому, що вони не PCI DSS-сумісні, хоча в дослідженні малося на увазі, що вони повинні були відповідати цим стандартам.

Gartner провів ряд досліджень у період з червня по вересень цього року на щорічному IT-самміті Gartner по інформаційній безпеці, заходах Catalyst у Північній Америці і на їхньому власному самміті по безпеці і ризикам у EMEA. Опитування 383 IT-менеджерів виявило тренди в поводженні при здійсненні покупок і дозволило спрогнозувати майбутні витрати на забезпечення безпеки.

Це ще малий відсоток несумісних з PCI DSS компаній у Gartner, тому що досліджували вони лише західні компанії. Моє дослідження компаній (як українських, так і деяких інших), що мають сайти які повинні відповідати PCI DSS, показало, що мало хто з них відповідає цьому стандарту (і про такі діряві сайти я вже писав неодноразово). А також доводилося знаходити уразливості на сайтах, які пройшли PCI DSS аудит і мають відповідний сертифікат.

За повідомленням www.xakep.ru, вимоги безпеки націлені на зміцнення розбитої системи SSL: занадто мало, занадто пізно.

Консорціум компаній опублікував набір практик здійснення безпеки, який, вони сподіваються, будуть застосовувати всі центри аутентифікації, щоб браузери й інше ПЗ довіряло їх сертифікатам SSL. Базові вимоги, опубліковані Certification Authority/Browser Forum, розроблені для того, щоб запобігти порушенню безпеки в заплутаній мережі довіри, що формує підтримку системи SSL сертифікатів.

Випуск цих правил відбувся після багатьох років поганого керування з боку індивідуальних центрів сертифікації, яким дозволено випускати сертифікати, яким довіряють браузери. Це вимушений крок, після багатьох випадків компрометації видавців сертифікатів - лише в цьому році, як я писав, були взломані чотири видавця SSL сертифікатів: Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet.

В грудні, 20.12.2011, вийшов Mozilla Firefox 9. Нова версія браузера вийшла через півтора місяця після виходу Firefox 8 (та через місяць після 8.0.1).

Mozilla офіційно представила реліз веб-браузера Firefox 9.0. Реліз Firefox 10 очікується через 6 тижнів, на початку лютого, а Firefox 11 вийде в середині березня. Крім того, також були випущені Firefox 3.6.25, Firefox 9 for Android, Seamonkey 2.6 і Thunderbird 9.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 9.0 усунуто 6 уразливостей. 4 з яких мають критичний характер і можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз Firefox 9 и сопутствующих проектов Mozilla (деталі)

У грудні місяці Microsoft випустила 13 патчів. Що значно більше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів по безпеці. Що закривають 13 уразливостей в програмних продуктах компанії. З них три патчі закривають критичні уразливості, а інші десять патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та Windows Media Player.

Виявлені численні уразливості безпеки в серії програмних продуктів Websense. Випускати вразливі додатки є типовим для секюріті компаній, в цьому вони не відрізняються від інших компаній виробників ПЗ. Зокрема це стосується Websense, про уразливості в програмах якої я вже неодноразово писав.

Уразливі продукти: Websense Web Security Gateway Anywhere v7.6, Websense Web Security Gateway v7.6, Websense Web Security v7.6, Websense Web Filter v7.6.

Виконання коду, міжсайтовий скриптінг.

• Websense Triton 7.6 - Authentication bypass in report management UI (деталі)
• Websense Triton 7.6 - Stored XSS in report management UI (деталі)
• Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - Reflected XSS in report management UI (деталі)

У грудні, 13.12.2011, через півтора місяці після виходу Google Chrome 15, вийшов Google Chrome 16.

В браузері зроблено ряд нововведень. А також виправлено 15 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 2 - незначні. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера.

• Релиз web-браузера Chrome 16 (деталі)

За повідомленням www.xakep.ru, CSS шейдери сприяють крадіжці даних.

Розробники ПЗ з Google, Apple, Adobe та інших компаній боряться з ризиками безпеки, що виникли завдяки графічній технології, що зароджується, що у своєму нинішньому вигляді здатна наразити на небезпеку мільйони користувачів.

Технологія, відома як CSS шейдери, розроблена для того, щоб відображати різні ефекти викривлення як то коливань, брижів і складок. Вона працює за рахунок надання програмних інтерфейсів, якими розробники можуть користатися, щоб застосовувати потужні функції графічних карт кінцевих користувачів. Але також вона може бути використана зловмисними операторами сайтів щоб красти історію переглядів в Інтернеті, дані з Facebook та іншу чутливу інформацію у користувачів.

За повідомленням www.xakep.ru, ще один Центр сертифікації призупинив роботу після витоку даних.

Сайт, що належить голландському центру сертифікації був недоступний через те що, як повідомляється, хакери прорвали його захист і одержали доступ до бази даних. Після інцидентів з Comodo, DigiNotar та Digicert Sdn. Bhd, це вже четвертий випадок взломів видавців сертифікатів за цей рік.

Голландський телекомунікаційний гігант KPN виступив із заявою, у якій повідомлялося, що робота сайта його дочірньої компанії Gemnet тимчасово припинена, поки розслідуються обставини взлому. Інший сайт, що належить дочірній компанії KPN, що випускає цифрові сертифікати для голландського уряду, теж не працює.

За повідомленням www.xakep.ru, внаслідок взлому опубліковані особисті дані співробітників правоохоронних органів США.

Офіційний сайт організації Coalition of Law Enforcement and Retail був взломаний хакером, що користається псевдонімом Exphіn1ty і який, як він сам стверджує, належить до групи Anonymous.

Результатом атаки стала тимчасова зупинка роботи сайта і публікація імен, адрес, електронних адрес і телефонів більш ніж 2400 чинів правоохоронних органів і професіоналів по запобіганню втрат у роздрібній торгівлі, а також їхніх посад, назв агентств і компаній, у яких вони працюють і паролів (у хешованій формі) для їхній аккаунтів на сайті.

В цьому році відбувся масовий взлом сайтів на сервері Service Online. Він тривав на протязі квітня-листопада 2011 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Service Online. Взлом складався з багатьох окремих дефейсів груп сайтів, більша частина з яких відбулася після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 26 сайтів на сервері хостера Service Online (IP 91.209.206.57). Це наступні сайти: ukrloza.org.ua, properevozki.org.ua, megamebli.org.ua, amini.com.ua, www.designort.com.ua, vinddetta.com, eurenssa2011.org.ua, www.agroprominvestplus.com.ua, www.agricourse.com.ua, www.adjutor.in.ua, www.adostavka.com, www.antory.com.ua, www.battle-helper.net, www.batuty.com.ua, www.biolactina.dp.ua, www.biser.dp.ua, che.gov.ua, jvc.od.ua, www.varva-rada.gov.ua, ssd-koda.gov.ua, www.goida-mebel.com.ua, www.zhayvir.com, kinoblesk.com, bee.in.ua, yatsura.lviv.ua, www.studyapples.com. Серед них українські державні сайти che.gov.ua, www.varva-rada.gov.ua та ssd-koda.gov.ua.

З зазначених 26 сайтів 7 сайтів були взломані хакером Ev!LsCr!pT_Dz, 9 сайтів хакером Mr.L4iVe, 1 сайт хакерами з Cocain TeaM, 1 сайт хакером SkilleR, 1 сайт хакером BLaCk_SPeCTRe та 6 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Існує такий сервіс як AOS. AhnLab Online Security (AOS) - це повнофункціональне й економічно ефективне рішення для захисту віддалених банківських операцій. AOS являє собою браузер, що запускається автоматично, як тільки користувач підключається до системи інтернет-банкінга, і проводить ряд превентивних мір, таких як запобігання перехоплення паролів доступу і паролів підтвердження платежу, захист від підміни платіжних реквізитів, блокування вірусів та іншої хакерскої активності.

Таким чином, ця система здатна протистояти таким хакерським інструментам як ZUES - найбільш небезпечним, на сьогодні, шкідливим комплексам стосовно онлайн-транзакцій.

І з грудня 2010 року розробник AOS співпрацює з компанією Інком, про уразливий сайт якої я вже писав.

AhnLab Inc, постачальник інтегрованих рішень по забезпеченню інформаційної безпеки, оголосив про початок партнерських взаємин із системним інтегратором “Інком”. Головною задачею співробітництва є забезпечення українських компаній можливостями пропонувати своїм клієнтам безпечні сервіси інтернет-банкінга.

• AOS - сервис для безопасности интернет-банкинга (деталі)