Websecurity - Веб безпека

Після виходу Opera 11.10, 18.05.2011 вийша Opera 11.11.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера.

Серед виправлень безпеки в Opera 11.11:

• Виправлена уразливість з обробкою frameset, що могла привести до виконання довільного коду.
• Виправлена велика кількість вибивань браузера, а також одне зависання. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

По матеріалам http://www.opera.com.

06.05.2011

Виявлені численні уразливості безпеки в Mozilla Firefox, Seamonkey, Thunderbird.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Firefox 4.0, SeaMonkey 2.0, Thunderbird 3.1.

Численні пошкодження пам’яті, звертання по неініціалізованим вказівникам, витік інформації, виконання коду.

• Mozilla Foundation Security Advisory 2011-18 (деталі)
• Mozilla Foundation Security Advisory 2011-17 (деталі)
• Mozilla Foundation Security Advisory 2011-16 (деталі)
• Mozilla Foundation Security Advisory 2011-15 (деталі)
• Mozilla Foundation Security Advisory 2011-14 (деталі)
• Mozilla Foundation Security Advisory 2011-13 (деталі)
• Mozilla Foundation Security Advisory 2011-12 (деталі)

19.05.2011

Додаткова інформація.

• Mozilla Firefox OBJECT mChannel Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox OBJECT mObserverList Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox nsTreeRange Dangling Pointer Remote Code Execution Vulnerability (деталі)

Виявлена можливість проведення DoS атаки проти Opera.

Уразливі версії: Opera 10.60.

Звертання по нульовому вказівнику при великому значенні SIZE у тезі SELECT.

• Opera : SELECT SIZE Arbitrary null write (деталі)

За повідомленням www.xakep.ru, хакер обнародував інформацію про взлом поліції.

Під час тестування рівня безпеки американського муніципального органа управління, Кевін Фіністер провів доволі цікавий взлом. Після сканування декількох ІP-адрес, використовуваних міським відділенням поліції, він незабаром виявив, що вони прямо зв’язані з Linux-пристроями, що знаходяться в поліцейських автомобілях. Використовуючи трохи більше, ніж FTP і telnet-команди, він підключився до автомобільного цифрового відеореєстратора, застосовуваному для запису і показу аудио і відео. І отримав пряму трансляцією з поліцейского авто.

За повідомленням hackzona.com.ua, хакери у Ванкувері. На конференції з комп’ютерної безпеки CanSecWest у Ванкувері в березні пройшов популярний конкурс хакерів Pwn2Own.

Apple MacBook з браузером Safari першим “здався” на змаганнях хакерів. У перший же день експерти успішно взломали браузери Safari та Internet Explorer 8. А от спроби взлому Chrome не увінчалися успіхом, попри те, що Google заснував додатковий приз у 20000 доларів тому, хто може знайти вразливість у системі.

Раніше я повідомляв про думку директора Tipping Point стосовно надійності браузерів. Яку він висловив стосовно результів останнього змагання хакерів Pwn2Own.

За повідомленням www.3dnews.ru, хакери змусили “Аерофлот” змінити платіжну систему.

В липні 2010 року відбувся цікавий інцедент. Практично цілий тиждень авіакомпанія “Аерофлот” не могла продавати в онлайні квитки через зупинку процесінгової системи Assist, викликаною хакерскою атакою. Як зазначив представник “Аерофлоту” - “Персональні дані клієнтів не постраждали, але оплачувати квитки через Інтернет було неможливо”. Що змусило “Аерофлот” змінити Assist на систему інтернет-платежів Альфа-банку.

Тобто DDoS атака на процесінгову систему призвела як до збитків у самої системи та її клієнтів, так і до того, що головний клієнт процесінгової системи пішов від неї. Що негативно вплинуло як на імидж компанії, так і на її подальші прибутки.

Минулої осені відбувся п’ятий масовий взлом сайтів на сервері Delta-X, після четвертого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний п’ятий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це останній випадок з п’яти. Загалом на даних серверах було дефейснуто 11065 сайтів. Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року (а в цьому випадку чимало сайтів було взломано також 26.10.2010).

Всього було взломано 3126 сайтів (що більше ніж в попередні рази) на сервері української компанії Delta-X (IP 195.64.184.13). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.kozova-rda.gov.ua.

Частина зазначених сайтів була взломана 26.10.2010, а частина - на протязі 24.11.2010 та 25.11.2010. Дефейси 2955 сайтів було проведено хакером The KabuS, 2 сайтів хакером TheWayEnd і 169 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

26.04.2011

Виявлені численні уразливості в додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, WebLogic Server 8.1, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise CRM 8.9, JRockit 27.6 та інші продукти Oracle.

73 уразливості в різних додатках.

• Oracle Application Server Authentication Bypass Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - April 2011 (деталі)

11.05.2011

Додаткова інформація.

• Oracle Malformed Network Package Spins CPU (деталі)
• XSS in Oracle AS Portal 10g (деталі)
• XSS in locale parameter on IASTOP_CS_FARM_PAGE.html (деталі)
• Multiple SQL Injection in Oracle Enterprise Manager Service Level component (деталі)
• Oracle Malformed Network Package Spins CPU (деталі)
• Oracle JD Edwards JDENET Remote Logging Deactivation (деталі)
• Oracle JD Edwards JDENET Buffer Overflow (деталі)
• Oracle JD Edwards JDENET Firewall Bypass (деталі)
• Oracle JD Edwards JDENET USRBROADCAST Denial of Service (деталі)
• Oracle JD Edwards JDENET Kernel Denial of Service (деталі)
• Oracle JD Edwards JDENET SawKernel Remote Password Disclosure (деталі)
• Oracle JD Edwards JDENET Kernel Shutdown (деталі)
• Oracle JD Edwards JDENET CallObjectKernel Remote Command Execution (деталі)

В минулому місяці, 30.04.2011, відбувся масовий взлом сайтів на сервері Tavrida Network. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Tavrida Network. Взлом відбувся після згаданого масового взлому сайтів на сервері Realon Service.

Всього був взломаний 91 сайт на сервері провайдера Tavrida Network (IP 212.110.143.80). Це наступні сайти: www.tradecreation.com, www.itallux.com.ua, www.foxauto.com.ua, www.press.crimea.ua, www.goldnika.com.ua, www.qamt.com.ua, www.palas.ua, www.evrostroy.com.ua, www.galereya2008.com, www.gazifikator.com.ua, www.dnop.crimea.ua, www.evrograd.com.ua, www.flint.crimea.ua, www.hora.crimea.ua, www.rccombatglider.com, www.grandpiano.com.ua, www.toyotaparts.com.ua, www.toyota.org.ua, www.kerchmlin.com, www.tours.crimea.ua, www.primer.crimea.ua, www.flat.crimea.ua, www.fijet.com.ua, www.hipath.crimea.ua, www.eqp.com.ua, www.krimresurs.com.ua, www.krymnovysvet.ru, www.party.crimea.ua, www.airtech.com.ua, www.vanlicht.com.ua, www.prodmash.crimea.com, www.rest-irey.com.ua, www.pmp.crimea.ua, www.pomol.com.ua, www.rasswet.crimea.ua, www.tehnounit.com.ua, www.ppu.gov.ua, www.lagoda.crimea.ua, www.alushta-dom.com, www.yantar-a.com, www.xtime.com.ua, www.upb.gov.ua, www.upiterm.com, www.wint.com.ua, www.webcreation.com.ua, www.korporativ.crimea.ua, www.swanlake.com.ua, www.pioner.crimea.ua, www.neapol-m.com, www.novsvet.com, www.mitsubishi-newavto.com, www.mirfilmov.com, www.moneyonline.com.ua, www.med-export.com.ua, www.mazda.biz.ua, www.willa-lubimaya.com.ua, www.novagroup.com.ua, www.tuberculosis.com.ua, www.nikolaevka-leto.com.ua, www.lombard-econom.com.ua, www.otdixsudak.crimea.ua, www.vashvibor.com.ua, www.crimeahost.com, www.electra-olimp.com, www.cretc.crimea.ua, www.depositu.net, www.cruise.crimea.ua, www.cretc.com.ua, www.crimeadog.com, www.chikurov.com.ua, www.chikurov.spb.ru, www.cimmeros.com, www.chikurov.com, www.cctgo.com, www.cacao.net.ua, www.biodiesel.crimea.ua, www.biodiesel-ua.com, www.biodiesel-biofuel-ua.com, www.aviamodel.com, www.autoshtamp.com.ua, www.africanmaritimeacademy.net, www.alphatest.com.ua, www.architecturemaket.com, www.auto-lombard.crimea.ua, www.seotrademarket.com, www.service.yalta.ua, www.siemens.crimea.ua, www.silcont.com.ua, www.solamar.crimea.ua, www.sudomodel.com, www.summit.crimea.ua. Серед них українські державні сайти www.ppu.gov.ua та www.upb.gov.ua.

Всі зазначені сайти були взломані 30 квітня 2011 року. Дефейси 91 сайту проведено хакерами з 1923Turk-Grup. Окрім цього один сайт на цьому сервері був вломаний Swan ще 09.08.2009.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлены численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Підвищення привілеїв, пошкодження пам’яті, переповнення буфера, DoS умови, цілочислене переповнення, помилки форматного рядка, витік інформації.

• PHP vulnerabilities (деталі)

За повідомленням hackzona.com.ua, уряд США відключив ботнет Coreflood.

Американський уряд зробив першу в своєму роді спробу знешкодити ботнет Coreflood, що включає в себе сотні тисяч скомпрометованих систем. Це було здійснено за допомогою альтернативного каналу керування ботнетом. За заявою Міністерства юстиції США, дана акція проводилася в рамках “цілковитого і всеосяжного силового впливу, початого владою США для відключення міжнародного ботнету”.

За повідомленням sbu.gov.ua, засуджено мешканця Дніпропетровська, що торгував дисками з хакерськими програмами.

За інформацією Служби безпеки України, у лютому набув чинності вирок Красногвардійського районного суду м. Дніпропетровська у кримінальній справі, порушеній слідчими СБУ стосовно місцевого мешканця за ознаками злочину, передбаченого ч.1 ст.361-1 (створення з метою використання, розповсюдження або збуту шкідливих програмних засобів, а також їх розповсюдження або збут) Кримінального кодексу України.

Про аналогічний випадок у Києві я вже писав торік. В останні роки СБУ полюбляє ловити торгівців дисками з шкідливими програмами, але чомусь вона цим не займалася в попередні роки (і якщо до появи відповідних статей в КК вони цим не могли займатися, то пізніше вони просто ігнорували це - аж до останнього часу).

За повідомленням www.xakep.ru, директор Tipping Point: не існує надійних браузерів.

На змаганні хакерів Pwn2Own цього року Internet Explorer і Safari були швидко взломані, тоді як Chrome і Firefox залишилися порівняно непошкодженими, але спонсор змагання сказав, що це зовсім не означає, що вони більш безпечні у використанні.

На думку Саймона Ліча, директора Tipping Point, не існує самого надійного веб-браузера.

В березні окрім Chrome 10 та Internet Explorer 9 також вийшов Mozilla Firefox 4. Нова версія браузера Firefox вийшла 22.03.2011.

Якщо між виходом Firefox 1.0 та 2.0 пройшло 2 роки, між виходом Firefox 2.0 та 3.0 трохи менше двох років, то між виходом Firefox 3.0 та 4.0 майже три роки. При тому, що Mozilla випустила в 2009 і 2010 роках проміжні версії 3.5 і 3.6 браузера.

Головні нововведення та можливості Firefox 4:

• Інтеграція браузерного движка Gecko 2.0 і нового JavaScript-движка JagerMonkey.
• Переміщений рядок вкладок у верхню частину і додані інструменти для угруповання вкладок.
• Забезпечення підтримки специфікації WebGL і видеокодека VP8.
• Інтеграція системи синхронізації настроювань Firefox Sync.
• Реалізація нової техніки написання доповнень JetPack.

Нові можливі браузера для забезпечення безпеки:

• Додано підтримку HTTP-заголовка Do Not Track (”DNT”), що дозволяє інформувати сайти про небажання користувача передавати на збереження інформацію, що фігурує в рамках сесії, у ситуації її використання для відстеження переміщень і переваг користувача.
• Здійснено перехід на поліпшений механізм розподілу пам’яті, що дозволить захиститися від цілого ряду уразливостей, пов’язаних з разіменуванням NULL-вказівників.
• Підтримка технології CSP (Content Security Policy), спрямованої на інтеграцію в web-браузери засобів для захисту від проведення CSRF-атак, організації міжсайтового скриптінга (XSS) і підстановки в сторінки “IFRAME/JavaScript src” блоків.
• Інтегровано технологію ізольованого виконання плагінів. Наприклад, Flash плагін відтепер буде працювати в контексті окремого процесу, не впливаючи на стабільність основного браузера.
• Підтримка протоколу HSTS (HTTP Strict Transport Security), що дозволяє власникам сайтів настояти на використанні SSL-шифрування.

Також в цій версії Mozilla нарешті виправила CSS History Hack (вони запланували ще в березні 2010 і ось через рік, з виходом Firefox 4, нарешті це зробили).

• Релиз Firefox 4.0. Обзор новшеств (деталі)