Websecurity - Веб безпека

Виявлене переповнення буфера в Mozilla Firefox, Thunderbird і Seamonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Переповнення буфера при використанні document.write і DOM використовується для прихованого впровадження шкідливого коду. Дана уразливість активно використовувалася різними malware в жовтні 2010.

• Mozilla Foundation Security Advisory 2010-73 (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, хакери зламали американський сайт “Лабораторії Касперського”.

Американський сайт “Лабораторії Касперського” був взломаний невідомими зловмисниками, тому що при зверненні до нього він почав поширювати шкідливе програмне забезпечення.

Згідно з повідомленнями користувачів на форумі компанії, взлом стався 17.10.2010 і шкідливе програмне забезпечення було присутнє на сайті щонайменше три з половиною години. Торік сайт Лабораторії Касперського (основний сайт ЛК) вже взламували.

За повідомленням sbu.gov.ua, на Сумщині за матеріалами СБУ засуджено хакера.

Набув чинності вирок суду за кримінальною справою, порушеною СБУ стосовно громадянина України, який несанкціоновано втручався в роботу одного з провідних інформаційних порталів на Сумщині. У квітні 2010 року житель обласного центру незаконно проникнув до серверу інформаційного порталу, створеного та функціонуючого за підтримки органів місцевої влади, та отримав повний доступ до всіх файлів сайту, у тому числі, конфіденційних.

За повідомленням internetua.com, у Миколаєві затримали людей, що поширювали порно в Інтернеті.

На миколаївських редакторів і адмінів порносайтів заведена кримінальна справа. Про що повідомив відділ по зв’язках із громадськістю УМВС України в Миколаївській області.

В жовтні місяці Microsoft випустила 16 патчів. Що значно більше ніж у вересні. Що стало новим рекордом (попередній був у серпні, коли компанія випустила 14 патчів).

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетней по безпеці. Що закривають 49 уразливостей в програмних продуктах компанії (що також є рекордом). В тому числі чотири патчі виправляють критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері, ще десять важливих патчів і два патчі середньої важливості.

Дані патчі стосуються таких продуктів Microsoft як операційні системи Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008 R2, додатків Microsoft Office, браузера Internet Explorer та платформи .NET.

Виявлені можливості міжсайтового скриптінга в браузерах Google Chrome і Flock та в WebKit.

Числені умови міжсайтового скриптінга.

• Flock Browser: window.open() Method Javascript Same-Origin Policy Violation (XSS) (деталі)
• Flock Browser: javascript: url with a leading NULL byte can bypass cross origin protection (XSS) (деталі)
• Flock Browser: A malicious RSS feed can bypass cross origin protection (XSS) (деталі)
• Flock Browser: A malformed favourite can bypass cross origin protection (XSS) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий скриптінг, проблеми з SSL/TLS, виконання коду.

• Mozilla Foundation Security Advisory 2010-64 (деталі)
• Mozilla Foundation Security Advisory 2010-65 (деталі)
• Mozilla Foundation Security Advisory 2010-66 (деталі)
• Mozilla Foundation Security Advisory 2010-67 (деталі)
• Mozilla Foundation Security Advisory 2010-68 (деталі)
• Mozilla Foundation Security Advisory 2010-69 (деталі)
• Mozilla Foundation Security Advisory 2010-70 (деталі)
• Mozilla Foundation Security Advisory 2010-71 (деталі)
• Mozilla Foundation Security Advisory 2010-72 (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, фахівці Damballa виявили комерційний ботнет.

Компанія Damballa, що займається забезпеченням ІТ-безпеки, повідомляє, що в Інтернеті з’явився великий і швидко зростаючий ботнет, створений спеціально для проведення замовних DDoS-атак на різні сайти. Використовувати цю мережу в своїх інтересах можуть всі бажаючі, які заплатять за дану послугу особам, які керують ботнетом.

За повідомленням internetua.com, двох росіян у США засудили за інтернет-шахрайство.

Суд Манхеттена розглянув справи двох росіян, арештованих за крадіжку коштів з рахунків американських вкладників. Як повідомляється із посиланням на віце-консула Росії в Нью-Йорку, їх присудили до тюремного ув’язнення і грошових штрафів.

За повідомленням hackua.com, США лідирують за кількістю “зомбованих” комп’ютерів.

Корпорація Microsoft обнародувала черговий звіт Security Intelligence Report, в якому розглядається ситуація з безпекою у Всесвітній мережі.

За даними “Майкрософт”, в даний час Сполучені Штати лідирують за кількістю комп’ютерів, залучених до ботнетів: у першій половині поточного року понад 2,2 млн. американських ПК були частиною таких мереж. “Зомбовані” машини використовуються для розсилки спаму та організації DoS-атак. Крім того, зловмисники викрадають з інфікованих комп’ютерів конфіденційні дані.

Виявлені уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Цілочисленні переповнення і переповнення буфера при обробці Shockwave.

• Adobe Shockwave Player 3D Model Buffer Overflow (деталі)
• Adobe Shockwave Player Integer Overflow Vulnerability (деталі)

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.3.

Підміна SSL-сертифіката, підвищення привілеїв.

• Multiple vulnerabilities in PostgreSQL (деталі)

Ще в березні, 22.03.2010, Андрій Терещенко повідомив розробникам системи LiqPAY та написав в Bugtraq про уразливість в LiqPAY. Дана уразливість стосується sms-повідомлень для авторизації в системі.

Про уразливості в Приват24 (версія для Facebook), оприлюднені Андрєм в жовтні, я вже писав. Зазначу, що дана уразливість в sms-ках LiqPAY ідентична одній з уразливостей в sms-ках Facebook-версії Приват24. І ПриватБанку варто було виправити дану уразливість в Приват24 для Facebook так само, як вони це зробили в LiqPAY.

Тоді ж він отримав відповідь від ПБ, що вони не вважають це уразливістю. Але вже в березні LiqPAY виправив дану уразливість (хоча від всіх фішинг атак це не захистить). Що я добре знаю, тому що активно використовую дану систему (з листопада 2009 року). Це один з тих рідких випадків, коли ПриватБанк виправив уразливості в своїх сервісах чи сайтах.

11.03.2010 LiqPAY змінили текст sms-ки (додавши пораду не давати пароль іншим особам).
27.03.2010 LiqPAY додали в текст sms-ки адресу сайта.

• Insecure SMS authorization scheme at LiqPAY micro-payments of PrivatBank (Ukraine) (деталі)

Як повідомив Андрій Терещенко, в Приват24 (версія для Facebook) є уразливості, що дозволяють обійти статичний пароль для акаунтів ПриватБанку. Уразливість стосується саме версії Приват24 для Facebook і звичайна система Приват24 невразлива.

Тому всі користувачі Facebook, що користуються клієнтом Приват24 для цієї соціальної мережі, повинні бути дуже обережні. Враховуючи наявність уразливостей, що дозволяють отримати доступ до вашого рахунку після логіна через клієнт Приват24 для Facebook (у ваш чи інший Facebook-акаунт), а також враховуючи, що ПриватБанк відмовився виправляти дані уразливості.

Цікаво, що банк навіть відповів йому на дане повідомлення про уразливості (тому що на всі ті численні повідомлення про уразливості в 2008-2010 роках ПриватБанк ні разу мені не відповів). Заявивши, що виправляти уразливості не будуть, тому що “Insecurity accepted as trade-off”. В чому немає нічого нового і це є типовим явищем для ПриватБанка. Бо даний банк не виправив майже жодної уразливості про які я їм повідомив, як я вже зазначав в новинах.

• Privat24 (Facebook version) bypass of static password for accounts of PrivatBank (Ukraine, Russia and CIS) (деталі)