Websecurity - Веб безпека

В листопаді, 08.11.2011, вийшов Mozilla Firefox 8. Нова версія браузера вийшла через півтора місяця після виходу Firefox 7 та 7.0.1.

Mozilla офіційно представила реліз веб браузера Firefox 8.0. Це перший випуск у рамках нового скороченого циклу розробки, якому буде присвоєний статус реліза з продовженим терміном підтримки, що має на увазі випуск оновлень з виправленням проблем безпеки протягом 10 місяців. 17 листопада користувачам гілки Firefox 3.6.x було запропоновано провести оновлення до Firefox 8.0 у зв’язку зі швидким припиненням підтримки Firefox 3.6 (випуск оновлень планується припинити через 12 тижнів).

Випуск Firefox 9 очікується через 6 тижнів, наприкінці грудня, а Firefox 10 вийде на початку лютого. Крім того, також були випущені Firefox 3.6.24, Firefox 8 for Android, Seamonkey 2.5 і Thunderbird 8.0.

• Релиз Firefox 8, Thunderbird 8 и сопутствующих проектов Mozilla (деталі)

У листопаді місяці Microsoft випустила 4 патчі. Що менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетені по безпеці. Що закривають 4 уразливості в програмних продуктах компанії. З них один патч закриває критичну уразливість, два патчі - важливі уразливості та один патч - помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. Серед додатків, що постачаються з Windows, зокрема вразливі Windows Mail і Meeting.

За повідомленням www.xakep.ru, американський антихакерський закон перетворює комп’ютерних користувачів у злочинців.

Американський антихакерський закон настільки розширений, що криміналізує таку безневинну діяльність, як використання фейкового реєстраційного імені на Facebook чи помилкове вказання ваги в профайлі Match.com, заявив один із самих шановних авторитетів країни в області права.

За повідомленням www.quora.com, What are the security shortcomings of Google’s Two Factor Authentication.

На даному сайті новодяться переліки недоліків двохфакторної аутентифікації Google, що можуть бути використані для атаки на користувачів сервісів Гугла, які її використовують. Та критично оцінюється дана захисна функція Гугла.

Компанія Google ввела підтримку двоступінчастої аутентифікації на початку березня 2011 року. Але існують відомі методи, зокрема описані на даному сайті, що можуть використовуватися для обходу двохфакторної аутентифікації.

За повідомленням www.xakep.ru, Ghost Click: об’єднання для боротьби з загрозами.

Законодавці і державні службовці використовують термін “державно-приватне партнерство” для боротьби з віртуальними загрозами настільки часто, що він набув сенсу “нічого не робити”. Але недавня операція Ghost Click показує, що подібна колективна робота необхідна для боротьби з кіберзлочинами і просунутими вірусами.

На минулому тижні ФБР оголосило про глобальне розслідування, проведене міжнародними правоохоронними органами, приватними підприємствами і неурядовими організаціями, що привело до викриття сімох естонців і громадянина Росії в організації афери, у результаті якої було заражено більше чотирьох мільйонів комп’ютерів і вкрадено більше 14 мільйонів доларів.

01.11.2011

Виявлені численні уразливості в Oracle Java.

Уразливі продукти: Oracle JRE 1.4, JRE 5, JDK 5, JRE 6, JDK 6, JRE 7, JDK 7, JavaFX 2.0, JRockit 28.1.

Щоквартальне оновлення закриває 20 різних уразливостей.

• Oracle Java MixerSequencer.nAddControllerEventCallback Remote Code Execution Vulnerability (деталі)
• Oracle Java IIOP Deserialization Type Confusion Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Rhino Script Engine Remote Code Execution Vulnerability (деталі)
• DNS Poisoning via Port Exhaustion (деталі)

18.11.2011

Додаткова інформація.

• Java for Mac OS X 10.7 Update 1 and Java for Mac OS X 10.6 Update 6 (деталі)

Численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Director File Parsing data of rcsl chunk multiple DOS vulnerabilities (деталі)
• Adobe Shockwave Player Director File Parsing PAMM memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)

За повідомленням www.xakep.ru, американці готові судитися через витік особистих даних.

Американці підуть на багато чого, щоб уникнути крадіжки особистих даних. І, відповідно до нового дослідження Unisys, багато хто з них визнають, що готові подавати позови в суд на уряд і організації, що піддають ризику їхні дані.

Результати дослідження Unisys Security Index, що проводиться два рази на рік, у ході якого опитуються більше 1000 американців на предмет з’ясування споживчої точки зору на цілий ряд проблем безпеки, показали, що більше трьох чвертей опитаних готові цілком припинити мати справу з організацією у випадку витоку даних. Це зайвий раз підкреслює необхідність кращого захисту споживчих даних, переданих електронним способом.

За повідомленням www.securit13.com, вийшов Епізод 9: Мобільна загроза.

На початку листопада вийшов дев’ятий подкаст від Securit13, що публікує подкасти про інформаційну безпеку. Головная тема цього епізоду безпека мобільних пристроїв (але у випуску розглянуто багато й інших тем).

Зазначу, що нещодавно я дав інтерв’ю Securit13. Тому в наступному їхньому подкасті ви зможете його прослухати .

За повідомленням gizmodo.com, SQL Injection License Plate Hopes to Foil Euro Traffic Cameras.

Однією з тем дев’ятого подкасту від Securit13 є пошук SQL ін’єкцій у камерах відеоспостереження за трафіком. Один європейський дослідник безпеки вирішив перевірити камери відеоспостереження за машинами на предмет SQL Injection уразливостей, розмістивши атакуючий SQL запит замість номера автомобіля.

Звичайно малоімовірно, що в алгоритмі розпізнавання номерів авто в ПЗ, що обробляє дані з камер, буде SQL ін’єкція. Особливо така, що спрацює від коду, який використав секюріті дослідник . Але він вирішив перевірити свою вдачу.

В жовтні, 04.10.2011, вийшов Flash 11. В останній версії флеша (технології, плеєра і плагіна до браузерів) є багато нововедень, як це завжди має місце з виходом чергової версії флеша.

Навіть після виходу Flash 10, коли Adobe випустила minor версії 10.1, 10.2 і 10.3, вони містили деякі нововедення, окрім виправлення багів та урзаливостей, а в major версії традаційно багато нового функціоналу. Що, за заявою Адоб, має змінити контент, який ми бачимо в Мережі.

Серед нововведень є такі, що відносяться до безпеки. Це наступний функціонал:

• Adobe Flash Access content protection support for mobile.
• Secure random number generator.
• Protected HTTP Dynamic Streaming (HDS) and Flash Access enhancements.
• TLS secure sockets support (нове для Flash плеєра).

Виявлена можливість підвищення привілеїв в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Підвищення привілеїв через керуючий додаток.

• Apache Tomcat - Privilege Escalation via Manager app (деталі)

За повідомленням www.xakep.ru, IID: ринок шкідливих програм вступає в епоху зрілості.

Творці шкідливих програм і кіберзлочинці все більше орієнтуються на особливі види атак і методи експлуатації, відповідно до фірми безпеки IID. У своєму щоквартальному звіті про загрози компанія повідомила, що дослідники помітили тенденцію до спеціалізації в галузі шкідливих програм, при цьому багато злочинців фокусуються на одній особливій області знань для здійснення своєї діяльності на чорному ринку.

За повідомленням www.opennet.ru, знайдені уразливості в Perl.

В модулі Digest, що входить в базову поставку Perl, знайдена уразливість, що дозволяє організувати виконання perl-коду при обробці в Digest->new() отриманих із зовнішніх джерел параметрів. Проблема пов’язана з тим, що в Digest->new() використовується виклик “eval()” без попередньої перевірки даних. Проблема усунута у версії 1.17.

Крім того, ще одна уразливість знайдена в модулі FCGI. Проблема викликана відсутністю повного очищення всіх змінних оточення між викликами обробників для різних запитів. Наприклад, уміст змінних з параметрами аутентифікації може перекочувати після обробки першого запиту в другий, якщо в другому запиті були передані порожні параметри. Проблема виявляється тільки при використанні застарілого APІ CGI::Fast у версіях FCGI 0.7x до 0.74.

За повідомленням www.opennet.ru, знайдені уразливості в Zope, Plone і Django.

У CMS Plone і платформі Zope знайдена уразливість, що дозволяє віддаленому зловмиснику виконати свій код, відправивши спеціально оформлений запит на сервер. Для усунення уразливості випущений hotfix-патч.

У Python-фреймворку для розробки веб додатків Django 1.2.7 і 1.3.1 усунуті 4 уразливості, що дозволяють маніпулювати сесійними ключами, здійснити підміну вмісту кеша і викликати відмову в обслуговуванні.

Нещодавно відбувся новий масовий взлом сайтів (останній інцидент) на сервері HostPro. Він тривав на протязі 2009 - 2011 років: в періоди 21.08.2009 - 17.12.2009, 16.05.2010 - 07.12.2010 та 11.03.2011 - 08.10.2011. Третій масовий взлом сайтів на сервері HostPro відбувся у липні.

Був взломаний сервер української компанії HostPro. Взлом складався з серії невеликих дефейсів (декількох по одному сайту та одного разу 4 сайтів) та двох масових дефейсів (21 та 22 сайти).

Всього було взломано 53 сайти на сервері хостера HostPro (IP 77.222.131.80). Це наступні сайти: www.idportal.org, www.zooritual.com.ua, www.energosouz.com, www.khpzida.com, www.stelmashow.in.ua, vvplawfirm.com, www.vvplawfirm.net, www.vvplawfirm.org, www.vvplawfirm.com.ua, www.vvplawfirm.kiev.ua, www.vvplawfirm.net.ua, pometki.com.ua, www.pometki.com, www.photocore.com.ua, www.urp.in.ua, www.tradesoft.com.ua, www.avramenko.org, www.avramenko.biz, fishka-plus.com.ua, www.krisha.net.ua, www.deeptown.kiev.ua, www.vesgroup.kiev.ua, www.vesgroup.com.ua, kyigrandtour.com, vipit.org.ua, inapple.org.ua, grem.kiev.ua, lexaudit.com, tl.com.ua, beautyshar.com.ua, www.aviaservis.com.ua, bestphoto.com.ua, dicei.org.ua, arhimas.com, all-rodyna.com.ua, kyudo.org.ua, barraban.com.ua, www.yavir.org.ua, www.dr-petrunin.org.ua, postroyportal.ru, www.upyrka.ru, agileee.org, agileee.com, www.grifin.org.ua, otva.org.ua, betv.com.ua, redline.org.ua, bagua.inf.ua, masha-sokol.ru, csep.org.ua.

З зазначених 53 сайтів 1 був взломаний хакером Opsisrael, 22 сайти хакерами з RKH, 1 сайт хакером iskorpitx, 1 сайт хакером limihack, 1 сайт хакером Metropolis, 1 сайт хакером SNiPeR HB, 1 сайт хакером SauDi ViRuS TeaM, 21 сайт хакерами з Azerbaijan Attacker та 1 сайт хакером Nicky Mc.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі трьох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа). Зокрема є декілька груп сайтів, які явно знаходяться в одному акаунті, тому кожна з цих груп сайтів могла бути дефейснута лише через взлом одного сайта в акаунті.