Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Apple WebKit, Safari, Google Chrome.

Уразливі продукти: Apple Safari 5.0, Google Chrome 9.0.

Численні уразливості при розборі PNG, TIFF, JPEG, XML, численні пошкодження пам’яті в WebKit.

• chromium-browser security update (деталі)
• About the security content of Safari 5.0.4 (деталі)
• Apple Safari WebKit Iframe Event Handling Remote Use-after-free (деталі)
• Apple Safari WebKit Scroll Event Handling Remote Use-after-free (деталі)
• Apple Safari WebKit Block Dimensions Handling Integer Overflow (деталі)
• Apple CoreGraphics Library Heap Memory Corruption Vulnerability (деталі)
• Apple Webkit Error Message Mutation Remote Code Execution Vulnerability (деталі)
• Apple Safari WebKit Range Object Remote Code Execution Vulnerability (деталі)
• Apple Webkit setOuterText Memory Corruption Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit Runin Box Promotion Remote Code Execution Vulnerability (деталі)
• Apple Webkit Font Glyph Layout Remote Code Execution Vulnerability (деталі)
• Apple Webkit Root HTMLBRElement Style Remote Code Execution Vulnerability (деталі)
• Apple iPhone Webkit Library Javascript Array sort Method Remote Code Execution Vulnerability (деталі)

У січні, 27.01.2011, через місяць після виходу Opera 11, вийшла Opera 11.01.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера.

Серед виправлень безпеки в Opera 11.01:

• Removed support for “javascript:” URLs in CSS -o-link values, to make it easier for sites to filter untrusted CSS.
• Fixed an issue where large form inputs could allow execution of arbitrary code.
• Fixed an issue which made it possible to carry out clickjacking attacks against internal opera: URLs.
• Fixed issues which allowed web pages to gain limited access to files on the user’s computer.
• Fixed an issue where email passwords were not immediately deleted when deleting private data.
• Fixed an issue which could cause the wrong executable to be used to display a downloaded file in its folder.
• А також виправлена велика кількість вибивань браузера.

По матеріалам http://www.opera.com.

Виявлена можливість обходу аутентифікації в Postgres Plus SQL.

Уразливі продукти: Postgres Plus SQL.

Несанкціонований доступ до DBA Management Server (TCP/9000, TCP/9363).

• PostgreSQL Plus Advanced Server DBA Management Server Remote Authentication Bypass Vulnerability (деталі)

У жовтні місяці відбувся масовий взлом сайтів на сервері Garant-Park-Telecom. Це російський хостер, але багато сайтів з України. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер російської компанії Garant-Park-Telecom. Взлом відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 246 сайтів, з них 218 українських сайтів на сервері Garant-Park-Telecom (IP 89.111.170.128). Це наступні сайти: cayman.raskone.silver.biz.ua, convictus.kiev.ua, convictus.com.ua, chuguy.make.silver.biz.ua, doshkilnyatko.com.ua, elistom.frcbc.silver.biz.ua, carpeta.com.ua, cargogruzcom.leon49.silver.biz.ua, bypillsn.silver.biz.ua, biotech-system.make.silver.biz.ua, bimboka.dp.ua, grafskates.silver.biz.ua, imw.com.ua, duschy.com.ua, cult.sk.silver.biz.ua, green-wheel.com.ua, homeopat.dp.ua, gabro.com.ua, edoctor.com.ua, live.toni.silver.biz.ua, online.roman2.silver.biz.ua, apkservice.com.ua, andariys.monument.com.ua, adv-dva.sk.silver.biz.ua, abdomed.com.ua, acg.com.ua, kamerton.in.ua, 4dkino-com.koreyko.silver.biz.ua, manzuk.silver.biz.ua, lemonchic.com.ua, nika.dn.ua, andriy2.silver.biz.ua, dj.vadimzp2.silver.biz.ua, alexroll.silver.biz.ua, bankomat.convictus.org.ua, baz.kiev.ua, bazoka.silver.biz.ua, newrealtor.contur.net.ua, carpeta.ua, churchan.silver.biz.ua, climate.lviv.ua, contur.org.ua, contur.net.ua, com.victorcg.silver.biz.ua, conturorg.contur.net.ua, convictusnet.convictus.org.ua, convictus.org.ua, dnepr-co-ua.koreyko.silver.biz.ua, digestin.com.ua, dizel.silver.biz.ua, dmitriys.silver.biz.ua, dom.silver.biz.ua, domomania.contur.net.ua, domus.biz.ua, doshkilnyatko.contur.net.ua, dti.com.ua, eflet.silver.biz.ua, edoctor.webvideo.com.ua, eflet2.silver.biz.ua, o-hutorok.lnxd.silver.biz.ua, elistom.com.ua, psytron.com.ua, eugenevi.silver.biz.ua, etalon.uz.ua, eye.poltava.ua, fiat-lux.com.ua, forsale.co.ua, forofis.com.ua, lifeinmo.silver.biz.ua, roman2.silver.biz.ua, forsale.lviv.ua, frcbc.silver.biz.ua, geo-vision.com.ua, gbyte.silver.biz.ua, gindia.silver.biz.ua, gotovimvodu.com.ua, group.irochkon.silver.biz.ua, ibanez.silver.biz.ua, gts.org.ua, imwuser1.lnxd.silver.biz.ua, inlanger2.silver.biz.ua, iyt.com.ua, ivanushk.silver.biz.ua, iyt.yachtcharter.com.ua, sk.silver.biz.ua, sonyashnik.kiev.ua, nazard.silver.biz.ua, statusatm.com.ua, stroy.irochkon.silver.biz.ua, shlyah.contur.net.ua, td-himinvest.com.ua, irochkon.silver.biz.ua, kg-dp-ua.koreyko.silver.biz.ua, konstantin.avsz.silver.biz.ua, koreyko.silver.biz.ua, toni.silver.biz.ua, laminatparket.contur.net.ua, leon49.silver.biz.ua, letmesee.sk.silver.biz.ua, ttholod.com.ua, live.roman2.silver.biz.ua, lnxd.silver.biz.ua, main.victorcg.silver.biz.ua, makintosh.ks.ua, make.silver.biz.ua, maks-tour.com.ua, test1.nika.dn.ua, test.nika.dn.ua, ustav.silver.biz.ua, masterprint.com.ua, teploagent.com.ua, usedboats.com.ua, monument.com.ua, mykolaivka-rada.nika.dn.ua, montessori.org.ua, nacional.contur.net.ua, net.victorcg.silver.biz.ua, newboats.com.ua, newboats.yachtcharter.com.ua, newborn.silver.biz.ua, newrealtor.com.ua, vika.vadimzp2.silver.biz.ua, npoenergy.com.ua, olside.silver.biz.ua, orfey.acg.com.ua, orfey.com.ua, yachtmarina.yachtcharter.com.ua, parketmaster.com.ua, ozerniyhutorok.lnxd.silver.biz.ua, patmari.odessa.ua, pelmen.silver.biz.ua, pavlo.com.ua, pavlo.webvideo.com.ua, plantro.com.ua, polorsade.raskone.silver.biz.ua, prestige-life.com.ua, privatblog.vadimzp2.silver.biz.ua, pumping.com.ua, raskoua.raskone.silver.biz.ua, rasko.ua, raskone.silver.biz.ua, reebok.silver.biz.ua, resume.co.ua, retriver.net.ua, review.vadimzp2.silver.biz.ua, retion.silver.biz.ua, robingood.contur.net.ua, robingood.com.ua, rudi.dizel.silver.biz.ua, snooker.in.ua, snooker.contur.net.ua, startinukraine.webvideo.com.ua, stas.standov.silver.biz.ua, artfresh.silver.biz.ua, standov.silver.biz.ua, suvenirtr.silver.biz.ua, sunnyart.make.silver.biz.ua, ticketcom.acg.com.ua, tofs.roman2.silver.biz.ua, asu.silver.biz.ua, ukrfer.silver.biz.ua, unberto2.silver.biz.ua, usedboats.yachtcharter.com.ua, vadimzp.silver.biz.ua, vadimzp2.silver.biz.ua, venol-oil.silver.biz.ua, venol.com.ua, victorcg.silver.biz.ua, vitakor.silver.biz.ua, vitohaus.silver.biz.ua, august.silver.biz.ua, art-rcom.contur.net.ua, www1.elistom.com.ua, yachtmarina.com.ua, yachtcharter.com.ua, zdorovka.lnxd.silver.biz.ua, zoj.com.ua, avtoguru.contur.net.ua, artgallery.contur.net.ua, ask-complex.ask-complex.com.ua, arm-dp-ua.koreyko.silver.biz.ua, aquaritm.koreyko.silver.biz.ua, ask-complex.kiev.ua, audioline.com.ua, aviasvit.olside.silver.biz.ua, avsz.silver.biz.ua, avsn.avsz.silver.biz.ua, artland4you.videoxxi.silver.biz.ua, apkservicecomua.lnxd.silver.biz.ua, avtey.com.ua, www-promin-info.make.silver.biz.ua, garden-ua.com, skulptura-granit-mramor.monument.com.ua, art-r.com.ua, sculpture-granit-mramor.monument.com.ua, aspi.in.ua, pottery-park.koreyko.silver.biz.ua, artgallery.in.ua, provodov-net-ua.koreyko.silver.biz.ua, ask-complex.com.ua, nord-1-dp-ua.koreyko.silver.biz.ua, yonex.com.ua, fast-start-crimea-ua.make.silver.biz.ua, suvenir.com.ua, cinematix4d-com.koreyko.silver.biz.ua, turboam.com.ua, cinematix-org.koreyko.silver.silver.biz.ua, tess.in.ua, tess.contur.net.ua, alant-biz-ua.koreyko.silver.biz.ua, akalaboratory-dp-ua.koreyko.silver.biz.ua, synergos.com.ua, alina-karina-com.koreyko.silver.biz.ua, sgifts.com.ua, master-biz-ua.koreyko.silver.biz.ua, silver.biz.ua, foreign-realestate.koreyko.silver.biz.ua, www.slavuta-mvk.gov.ua. Серед них український державний сайт www.slavuta-mvk.gov.ua (дуже дивно бачити gov.ua сайт, що хоститься в іншій державі - всі державні сайти повинні хоститися у власній державі).

Всі сайти були взломані 12 жовтня 2010 року. Дефейси 217 (245) сайтів проведено хакером GHoST61 і 1 сайта хакером з By_aGReSiF.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

За повідомленням hackzona.com.ua, новий варіант Zeus атакує клієнтів банків через перехоплення SMS-повідомлень.

Гучний банківський троян Zeus повертається до користувачів в новому образі - Mitmo. Нова версія Zeus націлена на призначені для користувача стільникові телефони, перехоплюючи SMS-повідомлення від банківських сервісів і користувачів, і сподіваючись перехопити банківські реквізити або логіни / паролі для систем доступу до онлайн-банкінгу. Очевидно, що даний крок хакерів спрямований на обхід систем двофакторної аутентифікації, які за останній час банки почали активно розгортати.

За повідомленням www.xakep.ru, ФБР заарештувала хакерів за витік даних про користувачів iPad.

Два дослідники систем безпеки були арештовані в справі, пов’язаній з витоком інформації, що піддала ризику більш 100000 користувачів iPad.

Федеральне Бюро Розслідувань США сказали, що заарештували дослідників системи безпеки компанії Goatse Security Ендрю Орнхаймера і Деніела Шпітлера за їхні ролі у витоку користувацької бази даних AT&T, що відбулася в червні 2010 року.

За повідомленням www.3dnews.ru, на WordPress зроблена масштабна DDoS-атака.

На початку березня найбільша у світі платформа для ведення блогів WordPress (wordpress.com) піддалася найбільш масованій в історії DDoS-атаці, у результаті чого безліч блогів стали недоступні.

Відповідно до повідомлення материнської компанії Automattic, під час атаки на сервери посилалося по декілька мільйонів пакетів інформації в секунду.

Нещодавно, 09.03.2011, я виявив фішинг атаку на клієнтів ПриватБанку - на користувачів Приват24. В той день я отримав два однакових фішерських листи (на два моїх емайли) з темою “PrivatBank: New security notification” стосовно змін в системі Приват24 і рекомендацією терміново відвідати власний акаунт П24 (що є типовою схемою для фішинга).

Зазначу, що сам я не користуюся Приват24, але фішинг листи все ж таки отримав . Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я іноді взаємодіяв з цією системою.

Обидва листи були відправлені з серверів англійського хостинг-провайдера uk2.net. В обох листах використовувалось ідентичне шахрайське повідомлення, що вело на фішерський сайт для крадіжки облікових даних користувачів П24. Відправка фішінг-листів відбувалась через Perl-скрипт.

Сам фішинг сайт розміщувався на сайті www.abc-centraltaxis.com, що також хоститься у цього ж провайдера (в одній з папок сайта - http://www.abc-centraltaxis.com/login.privatbank.ua/). Вірогідно даний сайт був взломаний для проведення фішинг атаки на користувачів П24. Зараз фішерських сторінок (всієї папки login.privatbank.ua) вже немає на даному сайті.

Це поширений підхід, коли фішери розміщують свої фішерськи веб-сторінки на існуючих сайтах (що вони взломали). В Уанеті такі випадки також регулярно трапляються, про що я знаю зокрема з розповідей людей, які звертаються до мене за аудитом безпеки.

Виявлені численні уразливості безпеки в Firefox, Seamonkey, Thunderbird.

Уразливі продукти: Mozilla Firefox 3.6, SeaMonkey 2.0, Thunderbird 3.1.

Численні пошкодження пам’яті, переповнення буфера, використання пам’яті після звільнення, міжсайтовий скриптінг і підміна запитів.

• Mozilla Firefox JSON.stringify Dangling Pointer Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2011-10 (деталі)
• Mozilla Foundation Security Advisory 2011-09 (деталі)
• Mozilla Foundation Security Advisory 2011-08 (деталі)
• Mozilla Foundation Security Advisory 2011-07 (деталі)
• Mozilla Foundation Security Advisory 2011-06 (деталі)
• Mozilla Foundation Security Advisory 2011-05 (деталі)
• Mozilla Foundation Security Advisory 2011-04 (деталі)
• Mozilla Foundation Security Advisory 2011-03 (деталі)
• Mozilla Foundation Security Advisory 2011-02 (деталі)
• Mozilla Foundation Security Advisory 2011-01 (деталі)

У вересні місяці відбувся масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Freehost. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Inter-Telecom. Окрім основного (масового) взлому, були ще декілька невеликих взломів сайтів на даному сервері до і після цього інцеденту.

Всього в 2010-2011 роках було взломано 78 сайтів на сервері Freehost (IP 194.0.200.30). Це наступні сайти: www.your-brand.kiev.ua, general-brend.com.ua, www.efremov.kiev.ua, www.bibliotekaoz.com, www.report.if.ua, bilders.com.ua, masterknig.com.ua, masterknyg.com.ua, rotor-dv.com.ua, lawbrothers.com.ua, www.elitmoda.com.ua, www.podobovo.biz, www.caritas.if.ua, www.teksa.com.ua, drupal.ukrface.org.ua, www.studweek.org, www.styknews.info, www.ukrface.org.ua, www.vatikan.com.ua, www.studiya-igr.com.ua, www.relife.com.ua, www.sundara.com.ua, catalog.erkc.com.ua, jobs.alfa-personal.com.ua, www.alfa-dom.com.ua, www.alfa-personal.com.ua, www.erkc.com.ua, www.femida-online.com.ua, www.alliance-chemistry.com.ua, www.artmedia.dp.ua, www.colorart.com.ua, www.fabrika.gov.ua, www.filatovich.com, www.fit4you.dp.ua, www.gods.in.ua, www.hlpu.in.ua, www.nfuk.org.ua, www.novahvilya.org.ua, www.sharu.in.ua, www.inazuma.dn.ua, www.intermarr.com.ua, www.klimova.com.ua, littlestar.com.ua, www.master.ks.ua, www.mebel-megalux.com.ua, www.migexpo.kiev.ua, www.mykhail-krugliak.org.ua, www.naytov.net, www.nvcompany.com.ua, www.palladium.in.ua, www.goldenkey.com.ua, www.permyakov.info, www.lc-femida.com.ua, www.bomond-club.com.ua, www.burbbery.com.ua, www.timeresort.com.ua, www.retriever-db.com.ua, www.rk-ukraina.com, www.honda-shop.net, www.shopsex.in.ua, www.sichstudio.com, www.mebliki.kiev.ua, www.msio.com.ua, beta.bpf-ukraine.com.ua, maegrafik.in.ua, www.business-tour.com.ua, www.business-realt.com.ua, absolute-ukraine.com.ua, athome.in.ua, elegido.in.ua, gcapital.com.ua, lawyer-dan.in.ua, lmg.net.ua, na-5.org.ua, sessia-plus.org.ua, xxicentury-immigration.com, passionstyle.com.ua, www.dpks.dp.ua. Серед них український державний сайт www.fabrika.gov.ua.

Більшість з зазначених сайтів була взломана 07 вересня 2010 року. А також було ще декілька окремих дефейсів (перед і після цього масового взлому проведеного The KabuS): 01.03.2010, 18.05.2010, 16.08.2010, 17.08.2010, 24.08.2010, 24.08.2010, 10.09.2010, 30.09.2010, 17.11.2010 та 27.02.2011. Дефейси 52 сайтів проведено хакером The KabuS, 6 сайтів хакерами з K-N-S, 1 сайта хакером sr1_0d0nk, 17 сайтів хакерами з AHG, 1 сайта хакерами з AH-Crew і 1 сайта хакерами з KTN.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

09.02.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-003 - Critical Cumulative Security Update for Internet Explorer (деталі)

08.03.2011

Додаткова інформація.

• Microsoft Internet Explorer “mshtml.dll” Dangling Pointer Vulnerability (деталі)

За повідомленням hackzona.com.ua, у Java проявилася вразливість при обробці чисел з плаваючою комою.

У січні в інтерпретаторі PHP була виправлена уразливість, що дозволяє викликати зависання процесу при виконанні операцій c деякими числами з плаваючою комою. Уразливість проявлялася тільки при використанні в процесі перетворення чисел x87 FPU-регістрів.

Як виявилося, до цієї проблеми схильний не тільки інтерпретатор PHP, але і віртуальна машина Java.

За повідомленням www.xakep.ru, хакер обвинувачений у перекачуванні грошей розробника ПЗ.

Передбачуваний хакер був обвинувачений у вторгненні в електронні системи Digital River і спробі переправити більш $274000 на акаунт, що знаходиться під його контролем.

За повідомленням www.3dnews.ru, Google запропонувала двоступінчастий механізм аутентифікації.

З метою більш надійного захисту користувацьких облікових записів у системі служб Google, фахівці пошукового гіганта вирішили застосувати механізм двоступінчастої аутентифікації. Крім стандартного пароля, застосовуваного для входу в обліковий запис, тепер можна за бажанням використовувати додатковий механізм.