Websecurity - Веб безпека

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Міжсайтовий скриптінг, DoS.

• Cross-Site Scripting vulnerability in PHP (деталі)
• Vulnerabilities in PHP (деталі)

В листопаді місяці Microsoft випустила 3 патчі. Що значно менше ніж у жовтні.

У листопадевому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 3 бюлетені по безпеці. Що закривають 11 уразливостей в програмних продуктах компанії. В тому числі один патч виправляє 5 критичних уразливостей, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері.

Дані патчі стосуються таких продуктів компанії як додатки Microsoft Office та Microsoft Forefront Unified Access Gateway.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, новий варіант хробака Zeus заражає тільки “швидкі” комп’ютери.

Фахівці антивірусної компанії F-Secure повідомили про виявлення екзотичного варіанта інтернет-хробака Zeus, який інфікує тільки “досить швидкі” комп’ютери, щоб потім включати їх до складу своєї бот-мережі для атак і розсилки спаму.

За повідомленням itua.info, програми Apple лідирують по числу уразливостей.

Програмне забезпечення “яблучної компанії” саме діряве - такі результати досліджень, проведених відомим розробником програмних засобів захисту даних Secunia.

За повідомленням hackzona.com.ua, через помилку розкриті дані користувачів Facebook.

У Facebook була виявлена уразливість, яка дозволила взломщикам отримати імена та фотографії всіх користувачів. Розкриття інформації про користувачів проводилося за адресами електронної пошти: знаючи адресу, атакуючі отримували ім’я і фотографію.

Це вже не перша уразливість на Facebook, що набула розголосу цього року. Безпека як даної соціальної мережі, так і соціальних мереж взагалі, залишає бажати кращого.

Виявлена можливість виконання довільного коду в Google Chrome.

Уразливі версії: Google Chrome 6.x.

Уразливість дозволяє віддаленому зловмиснику виконати довільний код на цільовій системі. Уразливість існує через помилку у використанні уразливої версії Flash плагіна. Нападник може заманити користувача на спеціально створений сайт, що приведе до виконання довільного коду.

• Выполнение произвольного кода в Google Chrome (деталі)

Виявлена Cross-Site Scripting уразливість в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

Міжсайтовий скриптінг у додатку Manager.

• Apache Tomcat Manager application XSS vulnerability (деталі)

Виявлені численні уразливості Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Міжсайтовий скриптінг, перенаправлення запитів.

• Important Vulnerabilities in Forefront Unified Access Gateway (UAG) Could Allow Elevation of Privilege (2316074) (деталі)

Виявлені численні уразливості безпеки в Apple Webkit, Safari, Google Chrome.

Уразливі продукти: Apple Safari 4.1, Safari 5.0, Webkit, Google Chrome.

Цілочисленні переповнення, ушкодження пам’яті, слабкий алгоритм генерації псевдовипадкових чисел, використання після звільнення, міжсайтовий скриптінг, підміна адреси, витік інформації, звертання по неініціалізованим вказівникам.

• Apple Safari for Windows (4.0.2-4.0.5, 5.0-5.0.2) Math.random() predictability (деталі)
• Apple Safari Selections Handling Use-after-free Vulnerability (деталі)
• Apple Safari Scrollbar Handling Use-after-free Vulnerability (деталі)
• About the security content of Safari 5.0.3 and Safari 4.1.3 (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, двоє росіян отримали по 20 років за інтернет-шахрайство в США.

Суд штату Оклахома визнав двох росіян винними в інтернет-шахрайстві. За версією звинувачення, 25-річний Дмитро Кривошеєв і 24-річний Максим Ілларіонов були кур’єрами, переводили гроші в готівку з рахунків, взломаних українськими хакерами. Загальна сума розкрадання склала не менше 1,3 мільйонів доларів.

В минулому місяці я вже писав про подібний випадок засудження інтернет-шахраїв в США.

За повідомленням habrahabr.ru, оприлюднені дані про уразливості півтисячі сайтів.

Агентством Інформаційної Безпеки SHALB, у рамках глобального дослідження безпеки Інтернет ресурсів, був проведений аналіз 500 сайтів. Досліджувані сайти - найбільш популярні сайти у своїй тематиці для свого регіону, сайти великих корпорацій, фінансових установ, державних структур. У цілому було знайдено 7683 уразливості різного ступеня ризику. З них 2318 критичних.

За повідомленням itua.info, Google Chrome визнали самим уразливим додатком.

Веб-браузер від Google потрапив на перше місце “чорного списку”, що складається з найбільш дефектних додатків, що мають серйозні проблеми у своїй структурі. Щороку такий список складає організація Bit9. Вони проводять аналіз уразливостей на основі бази даних Національного інституту по технології і стандартизації.

Google Chrome заслужив перше місце завдяки 76 уразливостям. Друге і третє місце займають браузер Safari від Apple і Microsoft Office з кількістю 60 і 57 дір відповідно.

Виявлена можливість обходу захисту в Apache Shiro та JSecurity.

Уразливі продукти: Apache Shiro 1.0, JSecurity 0.9.

Обхід захисту через зворотний шлях у каталогах.

• Apache Shiro information disclosure vulnerability (деталі)

Виявлено переповнення буфера в Google Chrome та бібліотеці libvpx.

Уразливі продукти: Google Chrome 7.0, libvpx 0.9.

Переповнення буфера при розборі файлу WebM.

• libvpx vulnerability (деталі)