Websecurity - Веб безпека

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, двоє росіян отримали по 20 років за інтернет-шахрайство в США.

Суд штату Оклахома визнав двох росіян винними в інтернет-шахрайстві. За версією звинувачення, 25-річний Дмитро Кривошеєв і 24-річний Максим Ілларіонов були кур’єрами, переводили гроші в готівку з рахунків, взломаних українськими хакерами. Загальна сума розкрадання склала не менше 1,3 мільйонів доларів.

В минулому місяці я вже писав про подібний випадок засудження інтернет-шахраїв в США.

За повідомленням habrahabr.ru, оприлюднені дані про уразливості півтисячі сайтів.

Агентством Інформаційної Безпеки SHALB, у рамках глобального дослідження безпеки Інтернет ресурсів, був проведений аналіз 500 сайтів. Досліджувані сайти - найбільш популярні сайти у своїй тематиці для свого регіону, сайти великих корпорацій, фінансових установ, державних структур. У цілому було знайдено 7683 уразливості різного ступеня ризику. З них 2318 критичних.

За повідомленням itua.info, Google Chrome визнали самим уразливим додатком.

Веб-браузер від Google потрапив на перше місце “чорного списку”, що складається з найбільш дефектних додатків, що мають серйозні проблеми у своїй структурі. Щороку такий список складає організація Bit9. Вони проводять аналіз уразливостей на основі бази даних Національного інституту по технології і стандартизації.

Google Chrome заслужив перше місце завдяки 76 уразливостям. Друге і третє місце займають браузер Safari від Apple і Microsoft Office з кількістю 60 і 57 дір відповідно.

Виявлена можливість обходу захисту в Apache Shiro та JSecurity.

Уразливі продукти: Apache Shiro 1.0, JSecurity 0.9.

Обхід захисту через зворотний шлях у каталогах.

• Apache Shiro information disclosure vulnerability (деталі)

Виявлено переповнення буфера в Google Chrome та бібліотеці libvpx.

Уразливі продукти: Google Chrome 7.0, libvpx 0.9.

Переповнення буфера при розборі файлу WebM.

• libvpx vulnerability (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5, 6, 7 та 8 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті.

• Microsoft Internet Explorer writing-mode Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Event Object Type Double-Free Vulnerability (деталі)
• MSIE Content-Encoding: deflate memory corruption vulnerability (деталі)
• Microsoft Security Bulletin MS09-054 - Critical Cumulative Security Update for Internet Explorer (974455) (деталі)

Виявлені численні уразливості безпеки в MySQL.

Уразливі версії: MySQL 5.1.

Несанкціонований доступ до файлів через ALTER DATABASE / UPGRADE DATA DIRECTORY, численні DoS-умови.

• MySQL vulnerabilities (деталі)
• Vulnerabilities in MySQL (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.1.

Численні пошкодження пам’яті, виконання коду, міжсайтовий доступ, витік інформації, DoS.

• Adobe Flash Player Remote Memory corruption Vulnerability (деталі)
• Remote Binary Planting in Adobe Flash Player (деталі)
• Security update available for Adobe Flash Player (деталі)

05.11.2010

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

DoS, обхід захисту.

• Vulnerabilities in PHP (деталі)

11.11.2010

Додаткова інформація.

• Information leakage in libmbfl and PHP (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, турецькі хакери зламали сайти правлячої партії Німеччини.

Турецькі хакери атакували сайти відділень Християнсько-демократичного союзу (ХДС) в Гамбурзі і Мекленбурзі - Передній Померанії cduhamburg.de і cdu-mecklenburg- vorpommern.de. Хакерська атака була здійснена 19 жовтня.

Про те, що турецькі хакери є дуже активними в плані взлому сайтів, добре відомо всім читачам мого сайту. Бо в Уанеті вони ведуть себе дуже активно вже на протязі багатьох років - більшість взломаних сайтів в Уанеті постраждали саме від турецьких хакерів.

За повідомленням ain.ua, Bigmir.net запустив власний сервіс електронних платежів.

За допомогою сервісу Платіжка користувачі порталу Bigmir.net зможуть оплачувати товари і послуги через Інтернет чи мобільний телефон. Для цього необхідно мати карти Visa, MasterCard, Maestro та інші. Жителі Києва, Одеси і Донецька зможуть оплачувати ще і житлово-комунальні послуги. Сервіс plategka.bigmir.net являє собою партнерку www.plategka.com.

Враховучи дірявість Бігміра, про що я писав багато разів, то даний сервіс не визиває довіри. Зараз на даному сервісі потрібна окрема реєстрація і він знаходиться на іншому сервері (за нього повністю відповідає plategka.com). Але коли Бігмір зробить інтеграцію даного сервісу з іншими своїми сервісами - а колись вони до цього дійдуть - то дірки Бігміра дадуться взнаки.

За повідомленням hackzona.com.ua, 12-річний комп’ютерник за виявлення уразливості отримав $3000.

Як стало відомо, одну з усунених в жовтні критичну уразливість в програмах Firefox, Thunderbird і SeaMonkey, виявив 12-річний дослідник комп’ютерної безпеки - Олександр Міллер (Alexander Miller). Компанія Mozilla підтримує ентузіастів комп’ютерної безпеки, що знаходять уразливості в їхніх продуктах, так за виявлення критичної уразливості Алекс отримав чек на 3000 доларів США.

Виявлена можливість проведення DoS атаки проти Python.

DoS через функції прийому з’єднань (модулі asyncore і smtpd).

• DoS vulnerabilities in Python (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player “DEMX” Chunk Parsing Vulnerability (деталі)
• Adobe Shockwave Player “pamm” Chunk Parsing Vulnerability (деталі)