Websecurity - Веб безпека

Виявлена уразливість в Apple Safari та Google Chrome.

Уразливі продукти: Apple Safari та Google Chrome.

Можливо підмінити адресу в браузерах.

• minor browser UI nitpicking (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, Facebook запрошує хакерів взяти участь у конкурсі.

Facebook оголосила про намір провести конкурс хакерів Hacker Cup. Як повідомляється, в ході змагань учасники будуть займатися зовсім не взломом програм або сервісів, а рішенням непростих алгоритмічних задач. Брати участь у конкурсі може будь-хто, а переможці, окрім всесвітнього визнання, одержать грошові призи.

Це вони конкурси влаштовують замість того щоб безпекою власного сайта займатися . Причому конкурс по взлому свого сайта вони проводити не стали, розуміючи, що це буде проста задача, тому й влаштували конкурс по програмуванню.

За повідомленням news.techlabs.by, хакери знайшли нову уразливість в Internet Explorer.

У листопаді Microsoft випустила новий бюлетень безпеки, що стосується нової незакритої уразливості у веб-оглядачі Internet Explorer. Дана дірка є у всіх версіях браузера, за винятком IE 9 Beta. Вона була виправлена лише в патчі, що вийшов у грудні.

За повідомленням itua.info, за рік зросла кількість атак хакерів на великий і середній бізнес.

За даними Annual Enterprise IT Security Survey, шостого щорічного опитування, що організувала компанія VanDyke Software, помітно участилися хакерські атаки на середній і великий бізнес, особливо збільшилася кількість незаконних проникнень у мережі корпорацій і викрадення інформації в співробітників.

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2007.

Виконання коду в Document Conversions Launcher Service при обробці запиту SOAP.

• Microsoft Security Bulletin MS10-104 - Important Vulnerability in Microsoft SharePoint Could Allow Remote Code Execution (2455005) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Міжсайтовий доступ до даних, численні пошкодження пам’яті.

• Microsoft Internet Explorer CSS Style Table Layout Uninitialized Memory Vulnerability (деталі)
• Microsoft Internet Explorer HTML Object Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS10-090 - Critical Cumulative Security Update for Internet Explorer (2416400) (деталі)

Виявлене цілочисленне переповнення в PHP.

Уразливі версії: PHP 5.3.

Цілочисленне переповнення в NumberFormatter::getSymbol.

• PHP 5.3.3 NumberFormatter::getSymbol Integer Overflow (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Численні пошкодження пам’яті, переповнення буфера, виконання коду, обхід захисту, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2010-74 (деталі)
• Mozilla Foundation Security Advisory 2010-75 (деталі)
• Mozilla Foundation Security Advisory 2010-76 (деталі)
• Mozilla Foundation Security Advisory 2010-77 (деталі)
• Mozilla Foundation Security Advisory 2010-78 (деталі)
• Mozilla Foundation Security Advisory 2010-79 (деталі)
• Mozilla Foundation Security Advisory 2010-80 (деталі)
• Mozilla Foundation Security Advisory 2010-81 (деталі)
• Mozilla Foundation Security Advisory 2010-82 (деталі)
• Mozilla Foundation Security Advisory 2010-83 (деталі)
• Mozilla Foundation Security Advisory 2010-84 (деталі)
• Firefox 3.6.13 pseudo-URL SOP check bug (CVE-2010-3774) (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, G Data Software попереджає про появу нового трояна Ares.

Згідно з даними компанії G Data Software, найближчим часом на підпільному Інтернет-ринку з’явиться нова троянська програма Ares. Також як і ZeuS, який був поширений мільйонними копіями раніше цього року, новий код Ares має модульну структуру.

За повідомленням news.techlabs.by, Євросоюз провів перші кібернавчання.

У листопаді в Європі відбулися масштабні кібернавчання. IT-ресурси, що мають першочергове значення для Євросоюзу, піддалися іспиту на міцність: їм довелося відбивати штучно змодельовані напади, що повинні були перевірити, наскільки готові відбити масовані DDoS-атаки європейські країни.

За повідомленням hackzona.com.ua, у Twitter поширюється вірус. Новий комп’ютерний вірус поширився по сервісу мікроблогів Twitter через міні-посилання, створені за допомогою сервісу для скорочення URL goo.gl.

Користувачі, що пройшли за лінками зробленими через сервіс goo.gl, потрапляли на сайт, який краде логіни і паролі їх облікових записів в Twitter. Вірус спочатку з’явився в мобільній версії Twitter, а через кілька годин поширився і на основну версію сервісу.

Зазначу, що goo.gl - це сервіс скорочення URL (редиректор) від Google . Дірявість сервісів Гугла давно відома - я вже багато років пишу про уразливості на сайтах Гугла - тому даний випадок з використанням сервіса Google для розповсюдження віруса на Twitter є цілком передбачуваним.

Виявлена можливість зниження рівня захисту в OpenSSL.

Уразливі версії: OpenSSL 0.9.

Нападник може понизити якість шифрування для наступних сеансів.

• OpenSSL vulnerabilities (деталі)

Виявлена можливість проведення DoS атак проти libcurl і cURL. Через дану уразливість можна атакувати додатки, які використовують libcurl, наприклад, PHP.

Уразливі продукти: libcurl 7.19, cURL 7.19.

Вичерпання ресурсів при декомпресії gzip.

• Vulnerability in cURL (деталі)

Раніше я вже згадував про вихід початкової версії Google Chrome, Google Chrome 1.0, Google Chrome 2.0 та Google Chrome 8.0. А зараз я розповім про інші основні версії Chrome в переліку дат виходу всіх основних версій даного браузера.

Дати виходу головних версій Google Chrome:

Google Chrome 0.x - 02.09.2008
Google Chrome 1.0 - 11.12.2008
Google Chrome 2.0 - 22.05.2009
Google Chrome 3.0 - 16.09.2009
Google Chrome 4.0 - 25.01.2010
Google Chrome 4.1 - 17.03.2010
Google Chrome 5.0 - 25.05.2010
Google Chrome 6.0 - 02.09.2010
Google Chrome 7.0 - 21.10.2010
Google Chrome 8.0 - 03.12.2010

Кожна наступна версія браузера, окрім виправлення багів, також покращувала рівень його безпеки. І окрім безпосереднього виправлення дірок в Chrome, в нових версіях додався новий секюріті функціонал. Зокрема, як я вже писав раніше, в Chrome 8.0 з’явився переглядач PDF-файлів, що використовує технологію “пісочниці”, що підвищує безпеку перегляду PDF-файлів.

Але враховуючи дірки в Google Chrome, що знаходять регулярно, та багаторічну дірявість Гугла, про що неодноразово наголошував я та інші секюріті діячі, Гуглу є куди покращувати безпеку свого браузера та інших своїх додатків та веб сайтів.