Websecurity - Веб безпека

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, пісочниця Adobe Flash взломана.

Технічний фахівець Google Біллі Ріос у своєму блозі стверджує, що ним був знайдений спосіб обійти нову систему безпеки, реалізовану в новій версії Adobe Flash Player з метою ускладнення атак. Ріос говорить, що його метод дозволяє обійти локальну файлову “пісочницю”, яка спочатку повинна була запобігти доступу Flash-файлів до віддаленої інформації, розташованої за межами ізольованого сегменту пам’яті комп’ютера.

За повідомленням itua.info, співробітників Білого дому поздоровили і відразу пограбували.

Напередодні Різдва по старому стилю, 23 грудня, персонал Білого дому одержав вітальну листівку. Під ангельським обличчям святкового настрою ховався злісний троян. В результаті атаки трояном було вкрадено близько 2 Гб документів.

За повідомленням internetua.com, ЄС підрахував збитки від кіберкрадіжок квот на викиди газів.

Хакери нанесли електронній системі Євросоюзу, в якій здійснюється торгівля квотами на викиди парникових газів і шкідливих речовин в атмосферу, збиток на 30 мільйонів євро.

Як зазначається, 20 січня найбільші європейські біржі, що торгують квотами на викиди, призупинили здійснення угод. У числі таких бірж ICE Futures Europe, Nasdaq OMX Commodities Europe і LCH.Clearnet.

Виявлена можливість несанкціонованого доступу в Objectivity/DB.

Уразливі версії: Objectivity/DB 10.

Можливе виконання деяких команд без аутентфікації.

• Objectivity/DB Lack of Authentication Remote Exploit (деталі)

В січні місяці Microsoft випустила 2 патчі. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло два бюлетені по безпеці. Що закривають три уразливості в програмних продуктах компанії. Зокрема один патч виправляє важливу уразливість, а інший патч - критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, сайт Google піддався дефейсу.

Нещодавно бангладешський сайт Googlе піддався дефейсу. На минулому тижні хакер зумів захопити управління над доменом google.com.bd і тим самим продемонстрував дефейс відвідувачам цього ресурсу.

За повідомленням ain.ua, Нацбанк України вперше дозволив випустити електронні гроші.

Наприкінці листопада Національний Банк України затвердив правила системи електронних грошей MoneXy і “Максі”. Відповідні дозволи одержали банки-власники систем - “Контракт” і “VAB Банк”. Тепер вони зможуть здійснювати випуск електронних грошей та інші операції у своїх системах відповідно до вимог Положення про електронні гроші в Україні, затвердженими Правлінням Нацбанку України №178 від 25.06.2008.

Це перший випадок коли електронним платіжним системам (в даному випадку двом системам) надали офіційні дозволи на роботу в Україні. Але враховуючі дірявість сайта банку Контракт, як і проблеми з безпекою на сайтах самої системи MoneXy, то незважаючи на наявність офіційних дозволів, користувачам цих систем потрібно бути обережними.

За повідомленням hackzona.com.ua, зламати WiFi-пароль можна за допомогою Amazon Web Services.

Німецький фахівець з інформаційної безпеки розробив спеціальне програмне забезпечення, яке використовуючи обчислювальні ресурси хмарного сервісу Amazon може взламувати паролі бездротових WiFi-мереж.

Про використання хмарних технологій (в тому числі й від Amazon) для хакінгу я вже писав.

Нещодавно, 06.01.2011, вийшли PHP 5.3.5 та 5.2.17. В яких виправлена одна критична уразливість. Даний реліз направлений на покращення стабільності та безпеки 5.2.x та 5.3.x гілок PHP.

В PHP 5.3.5 та 5.2.17 зроблене наступне секюріті виправлення:

• Виправлена DoS уразливість (баг #53632), що виникала при конвертаціїї з типу string в double та могла привести до підвисання систем, що використовують x87 FPU регістри. Дана проблема торкається тільки x86 32-бітних систем.

По матеріалам http://www.php.net.

Виявлені численні уразливості в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Можливі обхід захисту від XSS, обхід open_basedir(), DoS при обробці zip-архівів, DoS в функції filter_var(), читання довільної пам’яті в функції mb_strcut, DoS в функції NumberFormatter::getSymbol, DoS в функції zend_strtod.

• PHP vulnerabilities (деталі)

Виявлена можливість виконання коду в Apache Axis2 та програмних продуктах, що містять Axis2.

Уразливі продукти: ARCserve D2D 15, HP Universal CMDB Server 9.0, SAP BusinessObjects Crystal Reports Server 2008.

Обліковий запис за замовчуванням.

• CA ARCserve D2D r15 Web Service Apache Axis2 World Accessible Servlet Code Execution Vulnerability Poc (деталі)
• Security Notice for CA ARCserve D2D (деталі)

Додаткова інформація.

• Security Notice for CA ARCserve D2D (updated) (деталі)

Виявлене переповнення стека в Apache mod-fcgid - модулі FastCGI інтерфейса для Apache 2.

Уразливі версії: Apache mod_fcgid 2.3.

Переповнення стека при роботі додатка FCGI.

• New libapache2-mod-fcgid packages fixes stack overflow (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, виявлена небезпечна вразливість в PHP.

Нещодавно стало відомо про наявність уразливості в PHP 5.2.x і 5.3.x, яка здатна спожити всі доступні ресурси процесора в системі.

За повідомленням news.techlabs.by, WebMoney не працюють через атаку хакерів.

На початку грудня з’явилися повідомлення про проблеми із сервісом light.webmoney.ru. Він зустрічав користувачів, що прийшли сюди за грошима, повідомленням про недоступність сервера. Схоже, що труднощі були серйозні, тому що сервіс не працював декілька діб.

За повідомленням ain.ua, Президент ліквідує комісію з моралі.

Президент Віктор Янукович у рамках адміністративної реформи видав указ “Про оптимізацію системи центральних органів виконавчої влади”, що, зокрема, передбачає ліквідацію Національної експертної комісії з питань захисту суспільної моралі.

Враховуючи дірявість сайту комісії по захисту моралі (що старого, що нового), то це цілком очікуване рішення . Презеденту в рамках адміністративної реформи потрібно ліквідувати всі держоргани, що мають діряві сайти (або поставити питання “ребром”, щоб швидко свої дірки повиправляли). Що значно оптимізує державний апарат і значно заощадить бюджетні кошти.

Виявленнні численні уразливості безпеки в багатьох браузерах. Зокрема уразливості виявлені в Internet Explorer, WebKit браузерах, Mozilla Firefox та Opera.

За допомогою фьюзера cross_fuzz було виявлено біля сотні різних уразливостей, переважно пов’язаних з пошкодженням динамічної пам’яті. Даний додаток був розроблений Michal Zalewski.

• Announcing cross_fuzz, a potential 0-day in circulation, and more (деталі)