Websecurity - Веб безпека

Виявлены численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Підвищення привілеїв, пошкодження пам’яті, переповнення буфера, DoS умови, цілочислене переповнення, помилки форматного рядка, витік інформації.

• PHP vulnerabilities (деталі)

За повідомленням hackzona.com.ua, уряд США відключив ботнет Coreflood.

Американський уряд зробив першу в своєму роді спробу знешкодити ботнет Coreflood, що включає в себе сотні тисяч скомпрометованих систем. Це було здійснено за допомогою альтернативного каналу керування ботнетом. За заявою Міністерства юстиції США, дана акція проводилася в рамках “цілковитого і всеосяжного силового впливу, початого владою США для відключення міжнародного ботнету”.

За повідомленням sbu.gov.ua, засуджено мешканця Дніпропетровська, що торгував дисками з хакерськими програмами.

За інформацією Служби безпеки України, у лютому набув чинності вирок Красногвардійського районного суду м. Дніпропетровська у кримінальній справі, порушеній слідчими СБУ стосовно місцевого мешканця за ознаками злочину, передбаченого ч.1 ст.361-1 (створення з метою використання, розповсюдження або збуту шкідливих програмних засобів, а також їх розповсюдження або збут) Кримінального кодексу України.

Про аналогічний випадок у Києві я вже писав торік. В останні роки СБУ полюбляє ловити торгівців дисками з шкідливими програмами, але чомусь вона цим не займалася в попередні роки (і якщо до появи відповідних статей в КК вони цим не могли займатися, то пізніше вони просто ігнорували це - аж до останнього часу).

За повідомленням www.xakep.ru, директор Tipping Point: не існує надійних браузерів.

На змаганні хакерів Pwn2Own цього року Internet Explorer і Safari були швидко взломані, тоді як Chrome і Firefox залишилися порівняно непошкодженими, але спонсор змагання сказав, що це зовсім не означає, що вони більш безпечні у використанні.

На думку Саймона Ліча, директора Tipping Point, не існує самого надійного веб-браузера.

В березні окрім Chrome 10 та Internet Explorer 9 також вийшов Mozilla Firefox 4. Нова версія браузера Firefox вийшла 22.03.2011.

Якщо між виходом Firefox 1.0 та 2.0 пройшло 2 роки, між виходом Firefox 2.0 та 3.0 трохи менше двох років, то між виходом Firefox 3.0 та 4.0 майже три роки. При тому, що Mozilla випустила в 2009 і 2010 роках проміжні версії 3.5 і 3.6 браузера.

Головні нововведення та можливості Firefox 4:

• Інтеграція браузерного движка Gecko 2.0 і нового JavaScript-движка JagerMonkey.
• Переміщений рядок вкладок у верхню частину і додані інструменти для угруповання вкладок.
• Забезпечення підтримки специфікації WebGL і видеокодека VP8.
• Інтеграція системи синхронізації настроювань Firefox Sync.
• Реалізація нової техніки написання доповнень JetPack.

Нові можливі браузера для забезпечення безпеки:

• Додано підтримку HTTP-заголовка Do Not Track (”DNT”), що дозволяє інформувати сайти про небажання користувача передавати на збереження інформацію, що фігурує в рамках сесії, у ситуації її використання для відстеження переміщень і переваг користувача.
• Здійснено перехід на поліпшений механізм розподілу пам’яті, що дозволить захиститися від цілого ряду уразливостей, пов’язаних з разіменуванням NULL-вказівників.
• Підтримка технології CSP (Content Security Policy), спрямованої на інтеграцію в web-браузери засобів для захисту від проведення CSRF-атак, організації міжсайтового скриптінга (XSS) і підстановки в сторінки “IFRAME/JavaScript src” блоків.
• Інтегровано технологію ізольованого виконання плагінів. Наприклад, Flash плагін відтепер буде працювати в контексті окремого процесу, не впливаючи на стабільність основного браузера.
• Підтримка протоколу HSTS (HTTP Strict Transport Security), що дозволяє власникам сайтів настояти на використанні SSL-шифрування.

Також в цій версії Mozilla нарешті виправила CSS History Hack (вони запланували ще в березні 2010 і ось через рік, з виходом Firefox 4, нарешті це зробили).

• Релиз Firefox 4.0. Обзор новшеств (деталі)

Раніше я вже згадував про вихід Firefox 2.0. А от про вихід Mozilla Firefox 3 та його наступних релізів 3.5 і 3.6 я раніше не згадував (лише писав про деякі з 3.x версій). І от зараз я надолужу це і розповім про всі версії та підверсії Firefox починаючи з 3.0.

Дати виходу версій Mozilla Firefox:

Firefox 3.0 - 17.06.2008
Firefox 3.0.1
Firefox 3.0.2
Firefox 3.0.3
Firefox 3.0.4
Firefox 3.0.5
Firefox 3.0.6
Firefox 3.0.7
Firefox 3.0.8
Firefox 3.0.9
Firefox 3.0.10
Firefox 3.0.11
Firefox 3.0.12
Firefox 3.0.13
Firefox 3.0.14
Firefox 3.0.15
Firefox 3.0.16
Firefox 3.0.17
Firefox 3.0.18
Firefox 3.0.19
Firefox 3.5 - 30.06.2009
Firefox 3.5.1
Firefox 3.5.2
Firefox 3.5.3
Firefox 3.5.4
Firefox 3.5.5
Firefox 3.5.6
Firefox 3.5.7
Firefox 3.5.8
Firefox 3.5.9
Firefox 3.5.10
Firefox 3.5.11
Firefox 3.5.12
Firefox 3.5.13
Firefox 3.5.14
Firefox 3.5.15
Firefox 3.5.16
Firefox 3.5.17
Firefox 3.5.18
Firefox 3.5.19
Firefox 3.6 - 21.01.2010
Firefox 3.6.1
Firefox 3.6.2
Firefox 3.6.3
Firefox 3.6.4
Firefox 3.6.5
Firefox 3.6.6
Firefox 3.6.7
Firefox 3.6.8
Firefox 3.6.9
Firefox 3.6.10
Firefox 3.6.11
Firefox 3.6.12
Firefox 3.6.13
Firefox 3.6.14
Firefox 3.6.15
Firefox 3.6.16
Firefox 3.6.17

Кожна наступна версія браузера, окрім виправлення багів, також покращувала рівень його безпеки. І окрім безпосереднього виправлення дірок в Firefox, в нових версіях додався новий секюріті функціонал. Зокрема в Firefox 3.0 до антифішинг фільтру (що був ще в версії 2.0) додали антималваре фільтр.

Виявлена можливість обходу аутентифікації в IBM solidDB.

Уразливі продукти: IBM solidDB.

Обхід аутентифікації в solid.exe (TCP/1315, TCP/1964, TCP/2315).

• IBM solidDB solid.exe Authentication Bypass Remote Code Execution Vulnerability (деталі)

Минулої осені відбувся четвертий масовий взлом сайтів на сервері Delta-X, після третього взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний четвертий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це четвертий випадок з п’яти (про кожен з них я розповім окремо). Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року.

Всього було взломано 1757 сайтів на сервері української компанії Delta-X (IP 195.64.184.15). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти dvc1.gov.ua та strategia.gov.ua.

Всі зазначені сайти були взломані 23.11.2010-24.11.2010. Дефейси 1757 сайтів було проведено хакером TheWayEnd.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

19.04.2011

Виявлені численні уразливості безпеки в Apple WebKit і Safari.

Уразливі продукти: Apple Safari 5.0.

Цілочислені переповнення, використання пам’яті після звільнення.

• (Pwn2Own) WebKit WBR Tag Removal Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Webkit CSS Text Element Count Remote Code Execution Vulnerability (деталі)
• Apple Safari Text Nodes Remote Use-after-free Vulnerability (деталі)
• About the security content of Safari 5.0.5 (деталі)

25.04.2011

Додаткова інформація.

• Webkit Undefined DOM Prototype Attach Remote Code Execution Vulnerability (деталі)
• Webkit Anonymous Frame Remote Code Execution Vulnerability (деталі)
• Webkit Detached Body Element Remote Code Execution Vulnerability (деталі)

Минулої осені відбувся третій масовий взлом сайтів на сервері Delta-X, після другого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний третій сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це третій випадок з п’яти (про кожен з них я розповім окремо). Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року.

Всього було взломано 2667 сайтів (що більше ніж попереднього разу) на сервері української компанії Delta-X (IP 195.64.184.18). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.vinrajrada.gov.ua.

Майже всі зазначені сайти були взломані 25.11.2010, 1 сайт 20.02.2011 та 1 сайт 28.02.2011. Дефейси 2666 сайтів було проведено хакером iskorpitx та 1 сайта хакерами з RKH.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В квітні місяці Microsoft випустила 17 патчів. Що значно більше ніж у березні. Це найбільший випуск патчів - по кількості патчів він рівний грудневому, але по кількості виправлених окремих уразливостей він значно більший за усі попередні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають 64 уразливості в програмних продуктах компанії. Зокрема дев’ять патчів закривають критичні уразливості (в Windows, Internet Explorer і Office), а інші вісім патчів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer, Visual Studio та .NET.

За повідомленням hackzona.com.ua, хакери вкрали конфіденційні дані у Barracuda Networks.

На початку квітня веб сайт розробника рішень з мережевої безпеки Barracuda Networks піддався хакерській атаці, яка привела до витоку конфіденційних даних партнерів і співробітників компанії.

Я вже писав про уразливості на www.barracudacentral.org - одному з сайтів компанії Barracuda Networks. Так що взлом іхнього сайта цілком передбачуваний.

За повідомленням www.xakep.ru, найбільші торгові сайти цілком відкриті для атак.

Фахівці в області комп’ютерних систем зареєстрували серйозні недоліки в програмному забезпеченні деяких найбільших торгових сайтів і показали, як вони можуть бути атаковані з метою одержання DVD, журналів в електронному вигляді й інших продуктів безкоштовно чи по сильно знижених цінах, що не були встановлені продавцями.

За останні 5 років я багато писав стосовно уризливостей на сайтах банків, онлайн магазинів та інших e-commerce сайтах та веб додатках для таких сайтів. Про що я регулярно публікую добірки про безпеку e-commerce сайтів в Уанеті.

За повідомленням hackzona.com.ua, хакери заразили більше 1,5 млн. сайтів.

Шкідлива програма, що маскується під антивірусне ПЗ (так звана scareware) заразила понад півтора мільйони сайтів у Всесвітній мережі і продовжує поширюватися. За даними Websense, цим вірусом також були заражені кілька сторінок одного з найбільших онлайнових музичних магазинів - Apple iTunes.