Websecurity - Веб безпека

Виявлена можливість проведення DoS атаки проти Adobe Flash Media Server.

Уразливі версії: Adobe Flash Media Server 3.5, Flash Media Server 4.0.

Пошкодження пам’яті.

• Security update available for Adobe Flash Media Server (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, виконання коду.

• Internet Explorer 6, 7 and 8 Window.open race condition Vulnerability (деталі)
• Microsoft Internet Explorer XSLT SetViewSlave Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Protected Mode Bypass Vulnerability (деталі)
• Microsoft Internet Explorer 9 STYLE Object Parsing Remote Code Execution Vulnerability (деталі)
• Microsoft Security Bulletin MS11-057 - Critical Cumulative Security Update for Internet Explorer (2559049) (деталі)

За повідомленням hackzona.com.ua, експерти виявили SQL ін’єкцію нового типу.

IТ-компанія Armorize повідомляє про виявлення нового типу атак типу SQL ін’єкції, скоєних на ряд працюючих в інтернеті веб-сайтів. Експерти цієї компанії говорять, що масові випадки компрометації веб сайтів за допомогою SQL ін’єкцій, що давно стали головним болем для власників сайтів і хостинг-операторів, проте нові зразки SQL ін’єкцій складніше виявити і запобігти.

Armorize каже, що нова форма SQL ін’єкцій використовує просту форму файлообмінних мереж для проникнення в скомпрометовану мережу і проникнення у взломані сервери.

За повідомленням www.xakep.ru, експерти повідомили про саму масштабну серію хакерських атак.

Експерти компанії McAfee, що займається інформаційною безпекою, зафіксували саму масштабну в історії серію хакерских атак.

Серія взломів торкнулася 72 різні компанії, пов’язані з великими міжнародними організаціями такими як ООН і Міжнародний олімпійський комітет (МОК), а також урядовими структурами США, Канади, Тайваню, Південної Кореї і В’єтнаму. У результаті атак, що тривали від одного до 28 місяців, хакерам вдалося одержати доступ до великого обсягу конфіденційної інформації.

За повідомленням www.svobodanews.ru, хакери взломали сайт британської газети Sun.

Минулого місяця хакерська група Lulz Security, відома взломом американських урядових сайтів, взламала сайт газети The Sun - таблоїда, що належить Руперту Мердоку. Де хакери розмістили жартівливе повідомлення про Мердока.

Це черговий взлом відомого ресурсу хакерами з Lulz Security, які регулярно проводять подібні акції. Деякий час тому вони взломали сайт Sony Pictures.

Минулого місяця, 07-08.07.2011 (а також в попередні місяці), відбувся масовий взлом сайтів на сервері Goodnet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Goodnet. Взлом відбувався багаторазово на протязі року, в тому числі майже в той же час, що і третій масовий взлом сайтів на сервері HostPro.

Всього було взломано 34 сайти на сервері хостера Goodnet (IP 91.203.146.38). Це наступні сайти: krasaua.com, www.stropuva.com.ua (двічі), wellnessworld.com.ua, wbud.net, basseinplus.com.ua, lad-ltd.te.ua, protuvsih.com.ua, kulyba.ru, spektr.in.ua, vil.org.ua, foto-print.org.ua, vanilla.zp.ua, detka.zp.ua, top-style.org.ua, agropromstal.com.ua, expert.zp.ua, ksujen.com.ua, amgu.org.ua, l-dsk.com, vetmir.kiev.ua, www.absolutplus.com.ua, bogatir.pp.ua, bratva.pp.ua, demo-test.pp.ua, income.kh.ua, isachenko.pp.ua, laptopshop.kh.ua, www.l-dsk.ru, www.school25.kiev.ua, www.zvichay.kiev.ua, group-expo.com, it-sphere.net, www.westsiders.net.

З зазначених сайтів 1 був взломаний в березні і 1 в серпні 2010 року, 3 в лютому, 2 в квітні, 9 в травні, 8 в червні, 9 в липні і 1 в серпні 2011 року. Сайти були взломані наступними хакерами: SALDIRAY і PC_MAN, The-Force, ahs-hackerz, KSG-CREW, iskorpitx, HEXB00T3R, RKH, S.V Crew та SLYHACKER.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

P.S.

Після публікації звіту я виявив ще один дефейс на даному сервері. Це сайт krasaua.com, який я додав до звіту.

Після виходу Opera 11.11, спочатку 31.05.2011 вийла версія Opera 11.50 beta, а потім 28.06.2011 вийша фінальна версія Opera 11.50.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень.

Серед виправлень безпеки в Opera 11.50:

• Посилена політика безпеки в декількох місцях.
• Виправлена уразливість середнього рівня ризику.
• Виправлена уразливість, що дозволяла через data URI проводити XSS атаки на непов’язані сайти.
• Виправлена уразливість зі сторінками про промилку, що могла призвести до вибивання системи.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

Зазначу, що торік я вже писав про XSS через data URI в Opera, що розробник в несерйозній манері виправив в своєму браузері.

По матеріалам http://www.opera.com.

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9, PeopleSoft Enterprise PeopleTools 8.51, Oracle E-Business Suite Release 11i та інші продукти Oracle.

Чергове щоквартальне оновлення закриває 78 уразливостей у всіх основних продуктах.

• Oracle Enterprise Manager vulnerable to XSS (metricDetail$type page) (деталі)
• Oracle Enterprise Manager vulnerable to XSS (sitemap page) (деталі)
• Oracle Enterprise Manager vulnerable to XSS (notifRuleInfo$mode page) (деталі)
• Oracle Sun GlassFish Enterprise Server Stored XSS Vulnerability - Security Advisory (деталі)
• Oracle Secure Backup validate_login Command Injection Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - July 2011 (деталі)

22.07.2011

Виявлені численні уразливості безпеки в WebKit, Apple Safari, Google Chrome.

Уразливі продукти: Apple Safari 5.0, Safari 5.1, Google Chrome 9.0, Chrome 10.0, Chrome 11.0.

Численні уразливості безпеки в WebKit і бібліотеках Apple.

• Multiple Vendor WebKit MathML Use-After-Free Vulnerability (деталі)
• Safari WebKit TIFF Use-After-Free Vulnerability (деталі)
• Multiple Vendor WebKit frameset style Heap Corruption Vulnerability (деталі)
• Apple Safari innerText Use-After-Free Vulnerability (деталі)
• Multiple Vendor WebKit SVG animVal Memory Corruption Vulnerability (деталі)
• Safari 5.1 and Safari 5.0.6 (деталі)

02.08.2011

Додаткова інформація.

• WebKit ContentEditable Inline Style Remote Code Execution Vulnerability (деталі)
• Apple Safari Rendering Object Body Detachment Remote Code Execution Vulnerability (деталі)
• Webkit setAttributes attributeChanged Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit SVG Marker Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit FrameOwner Element Remote Code Execution Vulnerability (деталі)

Виявлена SQL Injection уразливість в модулі Apache mod_authnz_external.

Уразливі версії: Apache mod_authnz_external 3.2.

SQL ін’єкція можлива через ім’я користувача.

• libapache2-mod-authnz-external security update (деталі)

За повідомленням hackzona.com.ua, хакери зламали Citibank через уразливість в web-інтерфейсі.

Згідно з інформацією The New York Times, зловмисники змогли отримати доступ до особистих даних клієнтів Citibank через уразливість в web-інтерфейсі. На сайті присутня уразливість, яка дозволяла зловмисникові шляхом зміни ідентифікатора користувача в адресному рядку браузера переглянути особисті дані довільного клієнта банку.

Представники Citibank офіційно підтвердили крадіжку номерів кредитних карт і уточнили кількість постраждалих від хакерської атаки клієнтів. У загальній складності витік торкнувся приблизно 360000 кредитних карт.

Що цікаво, то назабаром після цього інцеденту я почув згадку про нього в новинах по радіо. І при цьому в новинах згадувалося, що Visa і MasterСard, які самі мають діряві сайти, після цього інцеденту з сайтом Citibank, будуть вимагати від банків (та всіх хто працює з пластиковими картками) дотримуватися більш сурових вимог безпеки. При тому, що SQL ін’єкцій на сайті даного банку бути не повинно було, якщо б вони дотримувалися PCI DSS. А про справжню безпеку сайтів із секюріті логотипами я вже розповідав. Тому варто було б їм не базікати, а дотримуватися існуючих стандартів, як всім хто працює з картками включаючи банки, так і самим власникам платіжних систем, таким як Visa і MasterСard (сайт якої нещодавно взломали).

За повідомленням www.xakep.ru, у Британії засуджені троє фішерів.

Троє чоловіків були присуджені в цілому до 13,5 років тюремного ув’язнення за їхню участь у витонченій атаці на міжнародну банківську систему.

Розслідування було сфокусовано на групі людей, що систематично добували велику кількість особистої інформації (такий як паролі до банківських акаунтів і номера кредитних карт) через фішинг і потім крали гроші з банківських акаунтів і шахрайським чином використовували дані кредитних карт.

За повідомленням www.opennet.ru, оцінка ефективності блокування веб браузерами шкідливих лінок.

Дослідники з лабораторії NSS провели дослідження ефективності роботи вбудованих у сучасні браузери засобів для захисту користувача від атак, пов’язаних з використанням методів соціальної інженерії для поширення шкідливого ПЗ. Окремо слід зазначити, що в дослідженні врахована лише можливість захисту від переходу по спеціально сформованих прямих лінок на шкідливе ПЗ, без врахування засобів блокування відкриття шкідливих веб сторінок і блокування виконання шкідливого коду.

Цього разу перші місця зайняли IE9 та IE8. Про попередні дослідження NSS Labs я вже писав - тоді двічі перше місце займав IE8. Результат передбачуваний, як це завжди буває в проплачених Майкрософт дослідженнях .

В липні місяці Microsoft випустила 4 патчі. Що значно менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетені по безпеці. Що закривають 22 уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інші три патчі виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Visio 2003.