Websecurity - Веб безпека

Виявлена HTTP Response Splitting уразливість в Perl модулі CGI::Simple.

Уразливі продукти: CGI.pm до версії 3.50, Simple.pm в CGI::Simple 1.112 і попередніх версіях.

Можлива ін’єкція довільних HTTP заголовків.

• Vulnerability in perl-CGI-Simple (деталі)

Якщо 01.09.2009 вийшла Opera 10, яка додала нових проблем з безпекою (як це робить кожна нова версія браузера). То 16.12.2010 вийша нова версія браузера - Opera 11.

Нова версія Opera є значним оновленням браузера, що додає новий функціонал, а також покращує безпеку браузера. Серед найбільш значних змін:

• Підтримка розширень.
• Групування вкладок.
• Покращене управління жестами миші.
• Адресний рядок, що відображає рівень безпеки.
• Підвищена швидкодія браузера.

Серед виправлень безпеки в Opera 11:

• Виправлена уразливість, коли контент веб сторінок міг показувати некоректну секюріті інформацію.
• Виправлена уразливість, що дозволяла витік інформації про зміст WAP форм на інші сайти.
• Виправлено декілька уразливостей викого ризику.

По матеріалам http://www.opera.com.

В грудні місяці Microsoft випустила 17 патчів. Що значно більше ніж у листопаді. Що стало новим рекордом (попередній був у жовтні, коли компанія випустила 16 патчів).

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають більше 40 уразливостей в програмних продуктах компанії. В тому числі два патчі виправляють дев’ять критичних уразливостей, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері.

Дані патчі стосуються таких продуктів компанії як ОС Microsoft Windows та додатки Internet Explorer, Exchange Server, Windows Movie Maker, Windows Media Encoder, Publisher, SharePoint та Microsoft Office.

Нещодавно, 16.12.2010, вийшов PHP 5.2.16. В якому виправлено декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x і є останнім релізом даної гілки PHP. Раніше планувалося, що PHP 5.2.15 буде останнью версію даної гілки, але потім була випущена ще версія 5.2.16.

Cеред секюріті покращень та виправлень в PHP 5.2.16:

• Виправлена регресія в реалізації open_basedir, що з’явилася в версії 5.2.15.
• Виправлене вибивання в PDO::pgsql при отриманні даних коли сервер не працює.

По матеріалам http://www.php.net.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, віруси знову навчилися видаляти антивіруси.

Компанія “Доктор Веб” повідомила про виявлення нового методу протидії роботі антивірусів. Незважаючи на те, що кілька років тому більшість антивірусних вендорів включили до складу своїх продуктів модулі самозахисту, автори сучасних шкідливих програм як і раніше знаходять способи видалення компонентів антивірусного захисту з системи.

Зазначу, що з таким проявом роботи вірусів мені доводилося неодноразово стикатися.

За повідомленням news.techlabs.by, безпека відкритого ПЗ продовжує засмучувати.

Компанія Coverity, що займається питаннями безпеки відкритого ПЗ, провела аналіз 290 відомих продуктів, включаючи Android, Linux, Apache, Samba і PHP. Міф про високий рівень безпеки open-source у черговий раз розвіяний, 45% виявлених при скануванні помилок виявилися досить серйозними, щоб викликати фатальний збій чи відкрити систему для керування хакерами.

За повідомленням itua.info, корпоративні ПК заражаються через соціальні мережі.

Більшість компаній страждає через те, що їхні співробітники захоплюються відвідуванням соціальних мереж.

До такого висновку прийшли експерти відомої антивірусної компанії Panda Security провівши дослідження підприємств малого і середнього бізнесу в США. Близько 33% співробітників зізналися, що заразили робочі комп’ютери вірусами під час відвідування своїх аккаунтів у соціальних мережах.

У грудні, 10.12.2010, вийшов PHP 5.3.4. В якому виправлено чимало помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.4:

• Виправлене вибивання в extract методі zip.
• Шляхи, що містять в собі NULL, зараз вважаються невірними. Тобто в PHP доданий захист від Null byte Injection.
• Виправлене потенційне подвіне звільнення в розширенні imap.
• Виправлений NULL pointer dereference в ZipArchive::getArchiveComment.
• Виправлена потенціна дірка в open_basedir.
• Виправлений MOPS-2010-24, виправлена валідація рядків.
• Виправлена підтримка символьної резолюції якщо ціль є DFS шаром.
• Виправлений баг #52929 (вибивання в filter_var з FILTER_VALIDATE_EMAIL з великим обсягом даних).

По матеріалам http://www.php.net.

На початку грудня, 09.12.2010, вийшов PHP 5.2.15. В якому виправлено чимало помилок та чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x і є останнім релізом даної гілки PHP.

Cеред секюріті покращень та виправлень в PHP 5.2.15:

• Виправлений extract(), щоб не переписувати $GLOBALS і $this при використанні EXTR_OVERWRITE.
• Виправлене вибивання в extract методі zip.
• Виправлене потенційне подвіне звільнення в розширенні imap.
• Виправлена потенціна дірка в open_basedir.
• Виправлений NULL pointer dereference в ZipArchive::getArchiveComment.
• Виправлений баг #52929 (вибивання в filter_var з FILTER_VALIDATE_EMAIL з великим обсягом даних).

По матеріалам http://www.php.net.

Виявлена уразливість в Apple Safari та Google Chrome.

Уразливі продукти: Apple Safari та Google Chrome.

Можливо підмінити адресу в браузерах.

• minor browser UI nitpicking (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, Facebook запрошує хакерів взяти участь у конкурсі.

Facebook оголосила про намір провести конкурс хакерів Hacker Cup. Як повідомляється, в ході змагань учасники будуть займатися зовсім не взломом програм або сервісів, а рішенням непростих алгоритмічних задач. Брати участь у конкурсі може будь-хто, а переможці, окрім всесвітнього визнання, одержать грошові призи.

Це вони конкурси влаштовують замість того щоб безпекою власного сайта займатися . Причому конкурс по взлому свого сайта вони проводити не стали, розуміючи, що це буде проста задача, тому й влаштували конкурс по програмуванню.

За повідомленням news.techlabs.by, хакери знайшли нову уразливість в Internet Explorer.

У листопаді Microsoft випустила новий бюлетень безпеки, що стосується нової незакритої уразливості у веб-оглядачі Internet Explorer. Дана дірка є у всіх версіях браузера, за винятком IE 9 Beta. Вона була виправлена лише в патчі, що вийшов у грудні.

За повідомленням itua.info, за рік зросла кількість атак хакерів на великий і середній бізнес.

За даними Annual Enterprise IT Security Survey, шостого щорічного опитування, що організувала компанія VanDyke Software, помітно участилися хакерські атаки на середній і великий бізнес, особливо збільшилася кількість незаконних проникнень у мережі корпорацій і викрадення інформації в співробітників.

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2007.

Виконання коду в Document Conversions Launcher Service при обробці запиту SOAP.

• Microsoft Security Bulletin MS10-104 - Important Vulnerability in Microsoft SharePoint Could Allow Remote Code Execution (2455005) (деталі)