Websecurity - Веб безпека

01.11.2011

Виявлені численні уразливості в Oracle Java.

Уразливі продукти: Oracle JRE 1.4, JRE 5, JDK 5, JRE 6, JDK 6, JRE 7, JDK 7, JavaFX 2.0, JRockit 28.1.

Щоквартальне оновлення закриває 20 різних уразливостей.

• Oracle Java MixerSequencer.nAddControllerEventCallback Remote Code Execution Vulnerability (деталі)
• Oracle Java IIOP Deserialization Type Confusion Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Rhino Script Engine Remote Code Execution Vulnerability (деталі)
• DNS Poisoning via Port Exhaustion (деталі)

18.11.2011

Додаткова інформація.

• Java for Mac OS X 10.7 Update 1 and Java for Mac OS X 10.6 Update 6 (деталі)

Численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Director File Parsing data of rcsl chunk multiple DOS vulnerabilities (деталі)
• Adobe Shockwave Player Director File Parsing PAMM memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)

За повідомленням www.xakep.ru, американці готові судитися через витік особистих даних.

Американці підуть на багато чого, щоб уникнути крадіжки особистих даних. І, відповідно до нового дослідження Unisys, багато хто з них визнають, що готові подавати позови в суд на уряд і організації, що піддають ризику їхні дані.

Результати дослідження Unisys Security Index, що проводиться два рази на рік, у ході якого опитуються більше 1000 американців на предмет з’ясування споживчої точки зору на цілий ряд проблем безпеки, показали, що більше трьох чвертей опитаних готові цілком припинити мати справу з організацією у випадку витоку даних. Це зайвий раз підкреслює необхідність кращого захисту споживчих даних, переданих електронним способом.

За повідомленням www.securit13.com, вийшов Епізод 9: Мобільна загроза.

На початку листопада вийшов дев’ятий подкаст від Securit13, що публікує подкасти про інформаційну безпеку. Головная тема цього епізоду безпека мобільних пристроїв (але у випуску розглянуто багато й інших тем).

Зазначу, що нещодавно я дав інтерв’ю Securit13. Тому в наступному їхньому подкасті ви зможете його прослухати .

За повідомленням gizmodo.com, SQL Injection License Plate Hopes to Foil Euro Traffic Cameras.

Однією з тем дев’ятого подкасту від Securit13 є пошук SQL ін’єкцій у камерах відеоспостереження за трафіком. Один європейський дослідник безпеки вирішив перевірити камери відеоспостереження за машинами на предмет SQL Injection уразливостей, розмістивши атакуючий SQL запит замість номера автомобіля.

Звичайно малоімовірно, що в алгоритмі розпізнавання номерів авто в ПЗ, що обробляє дані з камер, буде SQL ін’єкція. Особливо така, що спрацює від коду, який використав секюріті дослідник . Але він вирішив перевірити свою вдачу.

В жовтні, 04.10.2011, вийшов Flash 11. В останній версії флеша (технології, плеєра і плагіна до браузерів) є багато нововедень, як це завжди має місце з виходом чергової версії флеша.

Навіть після виходу Flash 10, коли Adobe випустила minor версії 10.1, 10.2 і 10.3, вони містили деякі нововедення, окрім виправлення багів та урзаливостей, а в major версії традаційно багато нового функціоналу. Що, за заявою Адоб, має змінити контент, який ми бачимо в Мережі.

Серед нововведень є такі, що відносяться до безпеки. Це наступний функціонал:

• Adobe Flash Access content protection support for mobile.
• Secure random number generator.
• Protected HTTP Dynamic Streaming (HDS) and Flash Access enhancements.
• TLS secure sockets support (нове для Flash плеєра).

Виявлена можливість підвищення привілеїв в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Підвищення привілеїв через керуючий додаток.

• Apache Tomcat - Privilege Escalation via Manager app (деталі)

За повідомленням www.xakep.ru, IID: ринок шкідливих програм вступає в епоху зрілості.

Творці шкідливих програм і кіберзлочинці все більше орієнтуються на особливі види атак і методи експлуатації, відповідно до фірми безпеки IID. У своєму щоквартальному звіті про загрози компанія повідомила, що дослідники помітили тенденцію до спеціалізації в галузі шкідливих програм, при цьому багато злочинців фокусуються на одній особливій області знань для здійснення своєї діяльності на чорному ринку.

За повідомленням www.opennet.ru, знайдені уразливості в Perl.

В модулі Digest, що входить в базову поставку Perl, знайдена уразливість, що дозволяє організувати виконання perl-коду при обробці в Digest->new() отриманих із зовнішніх джерел параметрів. Проблема пов’язана з тим, що в Digest->new() використовується виклик “eval()” без попередньої перевірки даних. Проблема усунута у версії 1.17.

Крім того, ще одна уразливість знайдена в модулі FCGI. Проблема викликана відсутністю повного очищення всіх змінних оточення між викликами обробників для різних запитів. Наприклад, уміст змінних з параметрами аутентифікації може перекочувати після обробки першого запиту в другий, якщо в другому запиті були передані порожні параметри. Проблема виявляється тільки при використанні застарілого APІ CGI::Fast у версіях FCGI 0.7x до 0.74.

За повідомленням www.opennet.ru, знайдені уразливості в Zope, Plone і Django.

У CMS Plone і платформі Zope знайдена уразливість, що дозволяє віддаленому зловмиснику виконати свій код, відправивши спеціально оформлений запит на сервер. Для усунення уразливості випущений hotfix-патч.

У Python-фреймворку для розробки веб додатків Django 1.2.7 і 1.3.1 усунуті 4 уразливості, що дозволяють маніпулювати сесійними ключами, здійснити підміну вмісту кеша і викликати відмову в обслуговуванні.

Нещодавно відбувся новий масовий взлом сайтів (останній інцидент) на сервері HostPro. Він тривав на протязі 2009 - 2011 років: в періоди 21.08.2009 - 17.12.2009, 16.05.2010 - 07.12.2010 та 11.03.2011 - 08.10.2011. Третій масовий взлом сайтів на сервері HostPro відбувся у липні.

Був взломаний сервер української компанії HostPro. Взлом складався з серії невеликих дефейсів (декількох по одному сайту та одного разу 4 сайтів) та двох масових дефейсів (21 та 22 сайти).

Всього було взломано 53 сайти на сервері хостера HostPro (IP 77.222.131.80). Це наступні сайти: www.idportal.org, www.zooritual.com.ua, www.energosouz.com, www.khpzida.com, www.stelmashow.in.ua, vvplawfirm.com, www.vvplawfirm.net, www.vvplawfirm.org, www.vvplawfirm.com.ua, www.vvplawfirm.kiev.ua, www.vvplawfirm.net.ua, pometki.com.ua, www.pometki.com, www.photocore.com.ua, www.urp.in.ua, www.tradesoft.com.ua, www.avramenko.org, www.avramenko.biz, fishka-plus.com.ua, www.krisha.net.ua, www.deeptown.kiev.ua, www.vesgroup.kiev.ua, www.vesgroup.com.ua, kyigrandtour.com, vipit.org.ua, inapple.org.ua, grem.kiev.ua, lexaudit.com, tl.com.ua, beautyshar.com.ua, www.aviaservis.com.ua, bestphoto.com.ua, dicei.org.ua, arhimas.com, all-rodyna.com.ua, kyudo.org.ua, barraban.com.ua, www.yavir.org.ua, www.dr-petrunin.org.ua, postroyportal.ru, www.upyrka.ru, agileee.org, agileee.com, www.grifin.org.ua, otva.org.ua, betv.com.ua, redline.org.ua, bagua.inf.ua, masha-sokol.ru, csep.org.ua.

З зазначених 53 сайтів 1 був взломаний хакером Opsisrael, 22 сайти хакерами з RKH, 1 сайт хакером iskorpitx, 1 сайт хакером limihack, 1 сайт хакером Metropolis, 1 сайт хакером SNiPeR HB, 1 сайт хакером SauDi ViRuS TeaM, 21 сайт хакерами з Azerbaijan Attacker та 1 сайт хакером Nicky Mc.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі трьох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа). Зокрема є декілька груп сайтів, які явно знаходяться в одному акаунті, тому кожна з цих груп сайтів могла бути дефейснута лише через взлом одного сайта в акаунті.

11.10.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті з можливістю виконання коду.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

21.10.2011

Додаткова інформація.

• Microsoft Internet Explorer Object Handling Memory Corruption Vulnerability (деталі)
• Two Remote Code Execution Vulnerabilities in Internet Explorer (деталі)

03.11.2011

Додаткова інформація.

• Microsoft Internet Explorer “X-UA-COMPATIBLE” Use-after-free Vulnerability (деталі)
• Internet Explorer Select Element Cache Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Select Element Insufficient Type Checking Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer swapNode Handling Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer SetExpandedClipRect Remote Code Execution Vulnerability (деталі)

14.10.2011

Виявлені численні уразливості безпеки в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Виконання коду, міжсайтовий скриптінг, DoS.

• Microsoft Security Bulletin MS11-079 - Important Vulnerabilities in Microsoft Forefront Unified Access Gateway Could Cause Remote Code Execution (деталі)

02.11.2011

Додактова інформація.

• Client-side remote file upload & command execution in Microsoft Forefront UAG Remote Access Agent (деталі)

За повідомленням www.xakep.ru, Google буде попереджати користувачів про зараження шкідливим ПЗ.

В липні Google виявила шкідливу програму, що перенаправляє незвичайний пошуковий трафік на сервери компанії, що спонукало компанію попередити постраждалих користувачів.

Вірус торкнувся невизначеної кількості користувачів, але очевидно для компанії цього було достатньо, щоб оголосити, що вони будуть показувати “видні повідомлення” вгорі результатів пошуку Google кожному, хто на їхню думку є інфікованим.

До повідомлень про інфіковані сайти, про що Гугл попереджає ще з початку 2007 року (він був першою пошуковою системою, яка почала це робити), з липня Гугл почав попереджати про віруси, що встановлені на комп’ютерах користувачів. Зазначу, що раніше вже Гугл блокував користувачів (тимчасово, або виводив капчу), при частих запитах, коли на його думку запити могли бути зроблені шкідливим ПЗ, а зараз вони пішли далі й почали виводити попередження при всіх підозрілих запитах.

За повідомленням www.xakep.ru, Пентагон може витратити 13 мільярдів доларів на кібербезпеку в 2016 році.

TechAmerica Foundation, некомерційна дослідницька філія TechAmerica, пророкує значне зростання витрат Міністерства оборони США на кібербезпеку: з 8 мільярдів доларів у 2012 фінансовому році до 13 мільярдів доларів у 2016, якщо країна постраждає від великої кібератаки.

Якщо великої кібератаки не відбудеться, але менші за розміром атаки продовжаться, за прогнозами TechAmerica Foundation, витрати МО на кібербезпеку у 2016 фінансовому році підвищаться до більш скромної цифри в 10,5 мільярдів доларів, відповідно до звіту NextGov.

За повідомленням www.xakep.ru, OKTA представила single sign-on аутентифікації для хмарних технологій.

Компанія Okta, що базується в Сан-Франциско, представила послугу єдиного входу, заявивши, що це перша інтегрована багатофакторна аутентифікація в цій області. Вона призначена як для хмарних систем, так і для роботи з додатками безпосередньо на підприємствах.