Websecurity - Веб безпека

11.10.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті з можливістю виконання коду.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

21.10.2011

Додаткова інформація.

• Microsoft Internet Explorer Object Handling Memory Corruption Vulnerability (деталі)
• Two Remote Code Execution Vulnerabilities in Internet Explorer (деталі)

03.11.2011

Додаткова інформація.

• Microsoft Internet Explorer “X-UA-COMPATIBLE” Use-after-free Vulnerability (деталі)
• Internet Explorer Select Element Cache Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Select Element Insufficient Type Checking Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer swapNode Handling Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer SetExpandedClipRect Remote Code Execution Vulnerability (деталі)

14.10.2011

Виявлені численні уразливості безпеки в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Виконання коду, міжсайтовий скриптінг, DoS.

• Microsoft Security Bulletin MS11-079 - Important Vulnerabilities in Microsoft Forefront Unified Access Gateway Could Cause Remote Code Execution (деталі)

02.11.2011

Додактова інформація.

• Client-side remote file upload & command execution in Microsoft Forefront UAG Remote Access Agent (деталі)

За повідомленням www.xakep.ru, Google буде попереджати користувачів про зараження шкідливим ПЗ.

В липні Google виявила шкідливу програму, що перенаправляє незвичайний пошуковий трафік на сервери компанії, що спонукало компанію попередити постраждалих користувачів.

Вірус торкнувся невизначеної кількості користувачів, але очевидно для компанії цього було достатньо, щоб оголосити, що вони будуть показувати “видні повідомлення” вгорі результатів пошуку Google кожному, хто на їхню думку є інфікованим.

До повідомлень про інфіковані сайти, про що Гугл попереджає ще з початку 2007 року (він був першою пошуковою системою, яка почала це робити), з липня Гугл почав попереджати про віруси, що встановлені на комп’ютерах користувачів. Зазначу, що раніше вже Гугл блокував користувачів (тимчасово, або виводив капчу), при частих запитах, коли на його думку запити могли бути зроблені шкідливим ПЗ, а зараз вони пішли далі й почали виводити попередження при всіх підозрілих запитах.

За повідомленням www.xakep.ru, Пентагон може витратити 13 мільярдів доларів на кібербезпеку в 2016 році.

TechAmerica Foundation, некомерційна дослідницька філія TechAmerica, пророкує значне зростання витрат Міністерства оборони США на кібербезпеку: з 8 мільярдів доларів у 2012 фінансовому році до 13 мільярдів доларів у 2016, якщо країна постраждає від великої кібератаки.

Якщо великої кібератаки не відбудеться, але менші за розміром атаки продовжаться, за прогнозами TechAmerica Foundation, витрати МО на кібербезпеку у 2016 фінансовому році підвищаться до більш скромної цифри в 10,5 мільярдів доларів, відповідно до звіту NextGov.

За повідомленням www.xakep.ru, OKTA представила single sign-on аутентифікації для хмарних технологій.

Компанія Okta, що базується в Сан-Франциско, представила послугу єдиного входу, заявивши, що це перша інтегрована багатофакторна аутентифікація в цій області. Вона призначена як для хмарних систем, так і для роботи з додатками безпосередньо на підприємствах.

Виявлені численні уразливості безпеки в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, WebLogic Portal 9.2, WebLogic Server 9.2, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9 та інші продукти Oracle.

Чергове щоквартальне оновлення закриває більше 50 уразливостей у всіх основних продуктах.

• Oracle DataDirect Multiple Native Wire Protocol ODBC Drivers HOST Attribute Stack Based Buffer Overflow Vulnerability (деталі)
• Buffer Overflow in Oracle Database (CTXSYS.DRVDISP.TABLEFUNC_ASOWN function) (деталі)
• Database Vault Account Management Vulnerabilites (деталі)
• SQL Injection Vulnerability in Oracle DROP INDEX for spatial datatypes (деталі)
• Oracle Critical Patch Update Advisory - October 2011 (деталі)

У жовтні місяці Microsoft випустила 8 патчів. Що більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. З них два патчі закривають критичні уразливості, а інші шість пачтів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, .NET Framework і Silverlight, Forefront UAG та Host Integration Server.

За повідомленням www.xakep.ru, від 85% нападів можуть допомогти 4 найпростіших методи захисту.

Кращий спосіб захисту від більшості мережевих уразливостей - це боротьба з найпростішими нападами, говорить австралійська спецслужба, відповідальна за безпеку комунікацій (Defence Signals Directorate, DSD).

Аналіз DSD заснований на вивченні реальних атак, спрямованих на мережі австралійського уряду. І відповідно до останньої роботи організації, 85% атак можуть бути відвернені за допомогою чотирьох відносно простих методів захисту.

За повідомленням www.opennet.ru, Tor і Firefox не вразливі до атаки проти SSL/TLS.

Розробники Firefox проаналізували вразливість браузера нещодавно анонсованому методу атаки проти SSL/TLS, що дозволяє на проміжному шлюзі організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.

У підсумку, був зроблений висновок, що незважаючи на використання TLS 1.0, Firefox не підданий даній проблемі, тому що без залучення додаткових плагінів неможливо забезпечити необхідні для проведення атаки умови (повний контроль над вмістом з’єднання). Проте, повідомляється, що атака теоретично може бути зроблена у випадку наявності в користувача Java-плагіна. Тому в даний час розробники розглядають можливість відключення Java-плагіна для існуючих інсталяцій.

За повідомленням www.xakep.ru, тестування стану безпеки стане частиною освіти в Німеччині.

Компанія Codenomicon і Університет прикладних наук міста Бранденбургу (Brandenburg University of Applied Sciences, FH Brandenburg) оголосили про угоду, заключену, щоб допомогти освіті німецьких ІТ-фахівців. Програмне забезпечення Codenomicon під назвою Defensics буде доступно для студентів у FH Brandenburg у рамках програми управління безпекою.

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі продукти: Apple Safari 5.1, WebKit.

Міжсайтовий скриптінг, виконання коду, численні пошкодження пам’яті.

• APPLE-SA-2011-10-12-4 Safari 5.1.1 (деталі)

Виявлена можливість несанкціонованого доступу до внутрішньої мережі через Apache mod_proxy.

Уразливі версії: Apache 1.3, Apache 2.0, Apache 2.2.

Некоректно обробляються URI зі знаком @.

• Vulnerability in Apache (деталі)

Виявлена можливість виконання коду в Microsoft .Net і Silverlight.

Уразливі продукти: Microsoft .Net Framework та Silverlight на Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Можливий вихід з обмеженого середовища.

• Microsoft Security Bulletin MS11-078 - Critical Vulnerability in .NET Framework and Microsoft Silverlight Could Allow Remote Code Execution (2604930) (деталі)

За повідомленням www.xakep.ru, Microsoft: злочинці надають перевагу старим експлоітам - загроза 0day уразливостей сильно перебільшена.

Злочинці позіхають дивлячись на те, як збуджуються засоби масової інформації по усьому світі після оголошення про кожну нову уразливість нульового дня.

Представляючи одинадцятий випуск свого звіту Security Intelligence Report на конференції RSA в Європі 11 жовтня, Microsoft вказала на те, що лише один відсоток атак, ідентифікованих у її звіті, використовував уразливості нульового дня.

За повідомленням www.anti-malware.ru, наскільки ефективний захист сучасних браузерів.

Питання безпеки в Мережі і схоронності конфіденційних даних у сучасному світі стають усе більш актуальними. І це не дивно. Число шкідливих атак, а також їхнього різновиду неухильно зростають. За даними щорічного звіту корпорації Symantec, у 2010 році було зареєстровано більш 3 млрд. шкідливих атак, що на 93% перевищує показники 2009 року. Більш того, збільшилася не тільки активність кіберзлочинців, але і помітно розширилася розмаїтість їхніх методів.

У тому ж звіті Symantec констатує появу 286 нових модифікацій хакерских атак. При цьому найбільш розповсюдженими стають так звані методи соціальної інженерії, що використовують слабості людського фактора.

За повідомленням www.xakep.ru, RSA обвинуватила державу в атаці на свої сервери.

RSA виявила, що дві групи, що працюють від імені деякої держави, взломали сервер і вкрали інформацію, що відноситься до продукту для двухфакторної аутентифікації, SecurID, випуском якої займається компанія. На конференції RSA Security Conference, що пройшла в Лондоні, голова компанії Арт Ковієлло описав атаку, що прогриміла по усьому світі.

Дана атака на RSA відбулася в березні, після чого вже постраждали деякі клієнти компанії, а вони лише зараз, у жовтні, на своїй секюріті конференції виступили з офіційними поясненнями цього інциденту . І при цьому з’їхали на хакерів спонсорованих іноземною державою і на APT. В останні роки для секюріті та інших компаній стало модним виправдовуватися подібним чином і списувати все на APT.