Websecurity - Веб безпека

За повідомленням www.xakep.ru, Євросоюз і США погодилися на проведення спільних кібертренувань у 2011 році.

Євросоюз і США вирішили затратити більше сил на боротьбу з кіберзлочинами і на поліпшення кібербезпеки.

На зустрічі комісара внутрішніх справ Євросоюзу Сесілії Мальмстрем, відповідальної за боротьбу з кіберзлочинами, і секретаря національної безпеки США Джанет Наполітано було вирішено запустити спільний проект-тренування по кіберподіям Євросоюзу і США наприкінці 2011.

За повідомленням hackzona.com.ua, Microsoft усунула вразливість в Hotmail.

Корпорація Microsoft повідомила про усунення уразливості нульового дня в поштовому сервісі Hotmail, яка дозволяла зловмисникам перехоплювати електронні адреси та контактні дані користувачів.

За повідомленням www.xakep.ru, чоловік засуджений до 3 років позбавлення волі за спробу перепрограмувати банкомати.

Чоловік з Північної Кароліни був присуджений до трьох років тюремного ув’язнення після того, як він зізнався, що планував привласнити $200000 шляхом взлому банкоматів.

В квітні, 28.04.2011, через півтора місяці після виходу Google Chrome 10, вийшов Google Chrome 11.

В браузері зроблено ряд нововведень. А також виправлено 24 помилок у безпеці, з яких 15 уразливостей позначені як небезпечні, 6 - помірні і 3 - незначні.

• Релиз web-браузера Chrome 11 (деталі)

Виявлені численні уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 11.0.

Пошкодження пам’яті, короткочасні умови, підвищення привілеїв, DoS.

• Vulnerabilities in Chromium browser (деталі)

За повідомленням hackzona.com.ua, знайдена вразливість на сайтах з OpenID.

Дослідники у сфері безпеки виявили збій в системі аутентифікації на деяких сайтах, що використовують систему OpenID, який міг призвести до крадіжки особистості.

Наявність даної уразливості в системі OpenID не викликає подиву, враховуючи що раніше я вже знаходив дірки на сайті openid.net, як я вже писав.

За повідомленням www.xssed.com, MasterCard and Visa sites bitten by XSS bugs.

В 2010 році Cross-Site Scripting уразливості були виявлені на сайтах MasterCard і Visa. Скріншоти роботи даних XSS наводяться.

І потім ці компанії ще запроваджують стандарти безпеки, такі як PCI DSS, а також власні секюріті логотипи. При тому, що самі за безпекою не слідкують.

За повідомленням www.xakep.ru, дослідник різко критикує Microsoft за неправдиву статистику про блокування шкідливих програм в IE9.

“Microsoft заявляє, що Internet Explorer 9 блокує атаки. Але вони видають лише половину цього рівняння”, - сказав Чет Вишневскі, дослідник інформаційної безпеки британського розробника Sophos. “Оперуючи купою цифр “для більшої науковості”, вони породжують більше питань, ніж відповідей”.

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.5, Python 2.6, Python 3.0.

Витік вихідних кодів у CGIHTTPServer, доступ до локальних файлів в urllib.

• Vulnerabilities in Python (деталі)

Виявлені численні уразливості безпеки в Ruby.

Уразливі версії: Ruby 1.8.

Міжсайтовий скриптінг, підвищення привілеїв, модифікація даних через метод Exception#to_s, пошкодження пам’яті через VpMemAlloc.

• Vulnerabilities in Ruby (деталі)

На початку травня, 03-04.05.2011, відбувся новий масовий взлом сайтів на сервері Hvosting. Перший масовий взлом сайтів на сервері Hvosting вібдувася в січні.

Був взломаний сервер української компанії Hvosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Tavrida Network.

Всього було взломано 23 сайти на сервері Hvosting (IP 91.200.40.52). Це наступні сайти: ukraids.gov.ua, new.comrad.net.ua, khortytsalife.com, uca.zp.ua, tattoo.zp.ua, reabilitolog.com.ua, www.novsemena.zp.ua, matras.zp.ua, map.khortytsalife.com, ligasockiev.org.ua, ligasocial.org.ua, kvest.zp.ua, iok.zp.ua, grandmax.zp.ua, elos.zp.ua, elit-mebel.zp.ua, comrad.zp.ua, caffenitea.com.ua, baida.zp.ua, www.autoshrot.zp.ua, artremstroy.com.ua, alexandria-f.com.ua, www.estil.com.ua. Серед них український державний сайт ukraids.gov.ua.

З зазначених сайтів 1 був взломаний 3 травня 2011 року хакером iskorpitx, а 22 сайти були взломані 4 травня 2011 року хакером S3Ri0uS.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в Embarcadero Interbase.

Уразливі версії: Embarcadero InterBase XE 10.0.

Переповнення буфера в області стека при обробці запиту connect.

• Embarcadero Interbase connect Request Parsing Remote Code Execution Vulnerability (деталі)

В травні місяці Microsoft випустила 2 патчі. Що значно менше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетені по безпеці. Що закривають 3 уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інший патч виправляє дві важливі уразливості.

Дані патчі стосуються серверних операційних систем компанії Microsoft (Windows 2003, 2008 та 2008 R2) та PowerPoint, що входить до складу Microsoft Office. А також компанія оновила свій Exploitability Index (індекс ризиків).

Виявлена можливість проведення DoS атаки проти бібліотеки APR і Apache mod_autoindex.

Уразливі продукти: Apache APR 1.4, Apache HTTP Server 2.2.

Вичерпання ресурсів процесора на довгих іменах.

• Vulnerability in apr (деталі)
• Multiple Vendors libc/fnmatch(3) DoS (incl apache poc) (деталі)
• apr security update (деталі)