Websecurity - Веб безпека

Виявлена можливість виконання коду в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 6 під Windows XP та Windows 2003 Server.

Файли з папок з розширенням .asp обробляються як ASP-сценарії незалежно від розширення файлу.

• Microsoft IIS 6 parsing directory “x.asp” Vulnerability (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.xakep.ru, McAfee склала список кіберзагроз на 2011 рік.

Експерти американської компанії по розробці антивірусного програмного забезпечення McAfee склали список найбільших кібернебезпек, з якими ризикують зіштовхнутися користувачі в 2011 році. У список увійшли:

• Соціальні мережі, у які користувачі викладають величезну кількість особистої інформації.
• Багатофункціональні мобільні пристрої, що одержали широке поширення в бізнесі-сфері.
• Крім того, експерти пророкують значне збільшення атак на продукти компанії Apple - iPhone і iPad.
• Також не варто скачувати на мобільні пристрої сумнівні додатки.
• Ще одну небезпеку McAfee бачить у популярності WikiLeaks.

За повідомленням hackzona.com.ua, спецслужби дісталися до експерта з кібербезпеки.

ZDNet намагається дізнатися хоч що-небудь про нинішнє місцеперебування та стан відомого експерта з кібербезпеки Данча Данчева. Напарник Данчева по блогу Zero Day, що належить цьому виданню, Райан Нарайн повідомив, що не може вийти на зв’язок з колегою вже кілька місяців. В своєму останньому листі експерт заявив про те, що його, по всій видимості, переслідують болгарські спецслужби.

За повідомленням www.xakep.ru, взломаний сайт ChronoPay.

Наприкінці грудня сайт міжнародної процесінгової системи ChronoPay взломаний зловмисниками. Хакери розмістили на головній сторінці повідомлення про нібито викрадання баз даних з персональною інформацією про клієнтів ChronoPay, що мало місце, включаючи номера банківських карт. Скріншот повідомлення на взломаному сайті надається.

Виявлена можливість пошкодження пам’яті в різних браузерах для мобільних пристроїв.

Уразливі продукти: вбудовані браузери BlackBerry, HTC Windows, Apple iPhone, Apple iPod, Google Android.

Можливе пошкодження пам’яті при обробці URL. Що призводить до DoS атаки на дані браузери.

• Update your BlackBerry (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, пісочниця Adobe Flash взломана.

Технічний фахівець Google Біллі Ріос у своєму блозі стверджує, що ним був знайдений спосіб обійти нову систему безпеки, реалізовану в новій версії Adobe Flash Player з метою ускладнення атак. Ріос говорить, що його метод дозволяє обійти локальну файлову “пісочницю”, яка спочатку повинна була запобігти доступу Flash-файлів до віддаленої інформації, розташованої за межами ізольованого сегменту пам’яті комп’ютера.

За повідомленням itua.info, співробітників Білого дому поздоровили і відразу пограбували.

Напередодні Різдва по старому стилю, 23 грудня, персонал Білого дому одержав вітальну листівку. Під ангельським обличчям святкового настрою ховався злісний троян. В результаті атаки трояном було вкрадено близько 2 Гб документів.

За повідомленням internetua.com, ЄС підрахував збитки від кіберкрадіжок квот на викиди газів.

Хакери нанесли електронній системі Євросоюзу, в якій здійснюється торгівля квотами на викиди парникових газів і шкідливих речовин в атмосферу, збиток на 30 мільйонів євро.

Як зазначається, 20 січня найбільші європейські біржі, що торгують квотами на викиди, призупинили здійснення угод. У числі таких бірж ICE Futures Europe, Nasdaq OMX Commodities Europe і LCH.Clearnet.

Виявлена можливість несанкціонованого доступу в Objectivity/DB.

Уразливі версії: Objectivity/DB 10.

Можливе виконання деяких команд без аутентфікації.

• Objectivity/DB Lack of Authentication Remote Exploit (деталі)

В січні місяці Microsoft випустила 2 патчі. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло два бюлетені по безпеці. Що закривають три уразливості в програмних продуктах компанії. Зокрема один патч виправляє важливу уразливість, а інший патч - критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, сайт Google піддався дефейсу.

Нещодавно бангладешський сайт Googlе піддався дефейсу. На минулому тижні хакер зумів захопити управління над доменом google.com.bd і тим самим продемонстрував дефейс відвідувачам цього ресурсу.

За повідомленням ain.ua, Нацбанк України вперше дозволив випустити електронні гроші.

Наприкінці листопада Національний Банк України затвердив правила системи електронних грошей MoneXy і “Максі”. Відповідні дозволи одержали банки-власники систем - “Контракт” і “VAB Банк”. Тепер вони зможуть здійснювати випуск електронних грошей та інші операції у своїх системах відповідно до вимог Положення про електронні гроші в Україні, затвердженими Правлінням Нацбанку України №178 від 25.06.2008.

Це перший випадок коли електронним платіжним системам (в даному випадку двом системам) надали офіційні дозволи на роботу в Україні. Але враховуючі дірявість сайта банку Контракт, як і проблеми з безпекою на сайтах самої системи MoneXy, то незважаючи на наявність офіційних дозволів, користувачам цих систем потрібно бути обережними.

За повідомленням hackzona.com.ua, зламати WiFi-пароль можна за допомогою Amazon Web Services.

Німецький фахівець з інформаційної безпеки розробив спеціальне програмне забезпечення, яке використовуючи обчислювальні ресурси хмарного сервісу Amazon може взламувати паролі бездротових WiFi-мереж.

Про використання хмарних технологій (в тому числі й від Amazon) для хакінгу я вже писав.

Нещодавно, 06.01.2011, вийшли PHP 5.3.5 та 5.2.17. В яких виправлена одна критична уразливість. Даний реліз направлений на покращення стабільності та безпеки 5.2.x та 5.3.x гілок PHP.

В PHP 5.3.5 та 5.2.17 зроблене наступне секюріті виправлення:

• Виправлена DoS уразливість (баг #53632), що виникала при конвертаціїї з типу string в double та могла привести до підвисання систем, що використовують x87 FPU регістри. Дана проблема торкається тільки x86 32-бітних систем.

По матеріалам http://www.php.net.

Виявлені численні уразливості в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Можливі обхід захисту від XSS, обхід open_basedir(), DoS при обробці zip-архівів, DoS в функції filter_var(), читання довільної пам’яті в функції mb_strcut, DoS в функції NumberFormatter::getSymbol, DoS в функції zend_strtod.

• PHP vulnerabilities (деталі)

Виявлена можливість виконання коду в Apache Axis2 та програмних продуктах, що містять Axis2.

Уразливі продукти: ARCserve D2D 15, HP Universal CMDB Server 9.0, SAP BusinessObjects Crystal Reports Server 2008.

Обліковий запис за замовчуванням.

• CA ARCserve D2D r15 Web Service Apache Axis2 World Accessible Servlet Code Execution Vulnerability Poc (деталі)
• Security Notice for CA ARCserve D2D (деталі)

Додаткова інформація.

• Security Notice for CA ARCserve D2D (updated) (деталі)