Websecurity - Веб безпека

Минулої осені відбувся черговий масовий взлом сайтів на сервері Delta-X, після попереднього взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний другий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це другий випадок з п’яти (про кожен з них я розповім окремо). Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року.

Всього було взломано 2360 сайтів (що значно більше ніж попереднього разу) на сервері української компанії Delta-X (IP 195.64.184.28). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yampil-rda.gov.ua.

Зазначені сайти були взломані 25.11.2010. Дефейси всіх 2360 сайтів було проведено хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після виходу Opera 11.01, спочатку 17.03.2011 вийла версія Opera 11.10 beta, а потім 12.04.2011 вийша фінальна версія Opera 11.10.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень. І хоча розробник не зазначив секюріті покращень, я все ж виявив деякі виправлення, що стосуються безпеки (зроблених в бета та фінальній версії 11.10 браузера).

Серед виправлень безпеки в Opera 11.10:

• Покращені SSL та TLS.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності” (про що вона офіційно заявляє). Тому й не вказує вибивання в переліку секюріті виправлень.

По матеріалам http://www.opera.com.

12.04.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті і витік інформації.

• Microsoft Security Bulletin MS11-018 - Critical Cumulative Security Update for Internet Explorer (2497640) (деталі)

18.04.2011

Додаткова інформація.

• Microsoft Internet Explorer Property Change Memory Corruption (деталі)
• Microsoft Internet Explorer Layouts Use-after-free Vulnerability (деталі)
• Microsoft Internet Explorer Use-After-Free Memory Corruption Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer onPropertyChange Remote Code Execution Vulnerability (деталі)

Виявлена можливість витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

За певних умов дані можуть бути відправлені не тому клієнту.

• Apache Tomcat information disclosure (деталі)

За повідомленням hackzona.com.ua, Facebook змінює паролі користувачам з підключеним обліковим записом Hotmail.

Сервіс Facebook ініціював процес оновлення паролів користувачів, що підключили свої профілі до облікових записів Hotmail. Турецький дослідник інформаційної безпеки Серкан Генсел виявив уразливість, яка дозволяє зловмисникам отримувати паролі сторінок Facebook з підключеними обліковими записами Hotmail.

За повідомленням www.xakep.ru, хакери одержали повний доступ до серверів WordPress.com.

Позавчора стало відомо, що деякі хакери одержали root-доступ до серверів компанії Automattic, що володіє блог-хостінгом WordPress.com. За повідомленням компанії, дані VIP-кліентів також були доступні хакерам, включаючи вихідні коди сайтів. У такий спосіб крім внутрішніх документів і публікацій, хакерам стали доступні паролі й авторизаційні ключі від різних служб і акаунтів, що використовуються для інтеграції сайтів із соціальними мережами (такими, як Facebook чи Twitter), хмарними сервісами збереження й обробки даних (наприклад, Amazon S3), а також, не виключено, що приватні ключі SSL сертифікатів.

В минулому місяці, як я вже писав, на сервери WordPress.com проводилася масштабна DDoS атака. А вже в цьому місяці їх сервер взломали.

За повідомленням www.opennet.ru, Mozilla розглядає можливість випуску в 2011 році релизів Firefox 4, 5, 6 і 7.

Розробники проекту Mozilla опублікували попередній варіант плану розвитку Firefox у 2011 році. Однією з найбільш цікавих пропозицій, озвучених у плані, є істотне скорочення циклу підготовки значних релізів Firefox, що дозволить випустити протягом 2011 року релізи Firefox 4, 5, 6 і 7. Браузер Firefox 4 вже вийшов, про що я згодом напишу більш детально.

Це Mozilla вирішила взяти приклад з Google, що швидкими темпами випускає свій браузер (в минулому місяці вийшов Сhrome 10).

В минулому місяці, 15.03.2011, компанія Microsoft випустила фінальну версію браузера Internet Explorer 9. Вихід нової версії відбувся через два роки після виходу IE8.

Розповім детальніше про IE9 та його покращення в плані безпеки.

Нові можливості інтерфейсу IE9 включають:

• Минималистичный інтерфейс заощаджує місце на екрані, дозволяючи бачити сайт, а не панелі браузера.
• Інтелектуальний адресний рядок з функцією One Box - це єдине поле для переходу до конкретного сайту чи для пошуку.
• Користувач може розміщати вкладки на одній панелі разом з адресним рядком, а може переносити їх на окремий рядок, забезпечуючи більше місця відкритим вкладкам.
• З функцією закріплення сайтів на панелі задач на улюблені сторінки можна зайти одним кликом, не відкриваючи попереднє вікно браузера.
• Списки переходів надають простий і швидкий спосіб переходу до окремої задачі веб-сайта, будь те створення поштового повідомлення, перевірка вхідних листів чи публікація коментарю.
• Поліпшена навігація по вкладках з функцією Windows Aero Snap.
• Розширена підтримка стандартів HTML5, SVG, CSS3, ECMAScript 5 і DOM.

Серед нових можливостей браузера для забезпечення безпеки та приватності в Мережі:

• На додаток до функцій InPrivate Browsing та InPrivate Filtering, доступним ще в Internet Explorer 8, Internet Explorer 9 підсилює захист конфіденційної інформації за допомогою технології “Захист від спостереження” (Tracking Protection). Завдяки їй користувач може вказувати, які дані про нього можуть бути передані сторонніми сайтам.
• Функція Hang Recovery. Нова можливість Internet Explorer 9 служить для обмеження наслідків зависання вкладки: якщо одна з вкладок перестає відповідати, інші вкладки і весь браузер продовжують роботу.
• Функція ActiveX Filtering. Технологія ActiveX дозволяє розробникам додатків створювати інтерактивний контент сайтів, але так само може становити небезпеку для користувацьких даних. Internet Explorer 9 дозволяє заблокувати можливості ActiveX для всіх сайтов, за винятком перевірених.
• Перегляд у режимі сумісності. Якщо браузер виявляє веб сайт, на якому не зазначений кращий режим відображення, в адресному рядку відображається кнопка перегляду в режимі сумісності.
• Автоматичне оновлення браузера.
• Підтримка групової політики.

По матеріалам http://www.thg.ru.

В березні, 09.03.2011, через місяць після виходу Google Chrome 9.0, вийшов Google Chrome 10.

Основні нововведення в даній версії:

• Оновлення JavaScript-движка V8, у нову версію якого додана нова підсистема JIT-компіляції.
• Підтримка використання GPU-акселерації при програванні відео.
• У сервісі синхронізації параметрів браузера між комп’ютерами за замовчуванням активована підтримка синхронізації збережених паролів до сайтів.
• Цілком перероблений інтерфейс настроювання параметрів браузера.
• Підтримка фонового виконання web-додатків (Background WebApps).
• Новий API для створення розширень для web-навігації (webNavigation API).
• Посилення безпеки: застарілі плагіни тепер за замовчуванням автоматично блокуються. Розширено можливості по повідомленню користувача про наявність шкідливого коду на сторінках. На платформі Windows Flash-плагін відтепер виконується в ізольованому оточенні.

Також виправлені 23 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 3 - помірні і 5 - незначні.

• Релиз web-браузера Chrome 10 (деталі)

У березні, 17.03.2011, вийшов PHP 5.3.6. В якому виправлено більше 60 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.6:

• Посилена безпека в парсінгу fastcgi протоколу з fpm SAPI.
• Виправлений баг #54247 (format-string уразливість в Phar).
• Виправлений баг #54193 (Integer overflow в shmop_read()).
• Виправлений баг #54055 (buffer overrun з високими значеннями для precision ini налаштування).
• Виправлений баг #54002 (вибивання на спеціальному тезі в exif).
• Виправлений баг #53885 (вибивання в ZipArchive з FL_UNCHANGED на пустих архівах).
• Оновлений PCRE до версії 8.11.
• Виправлений баг #53577 (регресія, що була введена в 5.3.4 в open_basedir з завершальним слешем).

По матеріалам http://www.php.net.

За повідомленням hackzona.com.ua, критична вразливість в Adobe Flash Player.

В березні компанія Adobe випустила бюлетень безпеки, що повідомляє про уразливість нульового дня в Adobe Flash Player. Уразливість експлуатувалася шляхом впровадження спеціально сформованого Adobe Flash файлу (swf) в документ Microsoft Excel.

За повідомленням www.xakep.ru, Google закрила XSS уразливість в Android Market, яка могла привести до перемоги в Pwn2Own.

Уразливість, що дослідники планували використовувати для взлому мобільних телефонів Android на хакерському змаганні в березні, була закрита після того, як компанія Google усунула відповідну дірку в Android Market. І виправила вона цю уразливість напередодні Pwn2Own.

За повідомленням bugtraq.ru, MySQL.com взломали через SQL Injection.

Румунські взломщики взяли на себе відповідальність за нещодавній взлом mysql.com, що був проведений за допомогою найпростішого SQL Injection. Вони дістали імена користувачів і хеші паролів, що негайно виклали у відкритий доступ (а найпростіші відразу підібрали).

В 2008 році я вже писав про XSS уразливість на сайті MySQL. З тих пір вони так і не почали краще слідкувати за безпекою своїх сайтів.

Виявлена можливість віддаленого виконання коду в Zend Server.

Уразливі продукти: Zend Server.

Можливе виконання довільного коду через службу Java Bridge (TCP/10001).

• Zend Server Java Bridge Design Flaw Remote Code Execution Vulnerability (деталі)