Websecurity - Веб безпека

Виявлена можливість обходу захисту в Apple Safari і WebKit.

Уразливі продукти: Apple Safari та багато інших браузерів на WebKit.

Цілочисленне переповнення дає можливість обходу обмежень по портах призначення.

• Safari browser port blocking bypassed by integer overflow (деталі)

Виявлена можливість виконання коду в PostgreSQL.

Уразливі версії: PostgreSQL 8.3, PostgreSQL 8.4.

Можливо виконати довільний код з використанням зовнішніх процедур.

• Vulnerability in PostgreSQL (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, помилка співробітника Kinetic Concepts призвела до витоку даних 4000 чоловік.

Як повідомляє компанія Perimetrix, один із співробітників корпорації Kinetic Concepts з Сан-Антоніо (штат Техас) помилково влаштував внутрішню розсилку конфіденційних даних. У аттачменті листа, якого він розіслав по компанії, містилися файли з іменами 4 тис. працівників Kinetic Concepts, їх домашніми адресами, номерами соціального страхування та відомостями про заробітну плату.

За повідомленням www.opennet.ru, компанія Google відкрила програму для перевірки безпеки веб-додатків.

Розробники з компанії Google весною представили новий відкритий проект Skipfish, що представляє собою систему для тестування безпеки веб-додатків і виступаює у ролі аналога таким інструментам, як Nikto і Nessus. Skipfish відноситься до активних інструментів перевірки: на першому кроці здійснюється створення карти сайта і словника, після чого виконується набір перевірок усіх форм і параметрів.

За повідомленням hackzona.com.ua, вперше в Україні порушили кримінальну справу проти інтернет-пірата.

В Україні порушили кримінальну справу проти чоловіка з Луганщини, який розробив та розмістив в Інтернеті низку розважальних сайтів. На цих сайтах він виклав для скачування піратські екземпляри музичних творів і фільмів, а також різні дорогі фонограми та програмне забезпечення.

Виявлена можливість проведення DoS атаки проти браузера Safari.

Уразливі версії: Apple Safari 5.0.

Відмова на довгому URL.

• Safari for windows Long link DoS (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні переповнення буфера, пошкодження пам’яті, цілочисленні переповнення, виконання коду.

• Adobe Shockwave 3D Blocks Field Code Execution Vulnerability (деталі)
• Adobe Shockwave DIRAPI Multiple Code Execution Vulnerabilities (деталі)
• Adobe Shockwave 3D Two Remote Code Execution Vulnerabilities (деталі)
• Adobe Shockwave IML32 Multiple Code Execution Vulnerabilities (деталі)
• Adobe Shockwave Player Font Processing Buffer Overflow (деталі)
• Adobe Shockwave Player Asset Entry Parsing Vulnerability (деталі)
• Adobe Shockwave Player Integer Overflow Vulnerability (деталі)

В вересні місяці Microsoft випустила 9 патчів. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетней по безпеці. Що закривають 11 уразливостей в програмних продуктах компанії. В тому числі чотири патчі виправляють критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері, а ще п’ять патчів мають “важливий” рейтинг.

Дані патчі стосуються таких продуктів Microsoft як операційні системи Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008 R2, а також Outlook та Internet Information Services. Про уразливості в Microsoft IIS я вже писав.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Витік інформації через phar, витік інформації через SPLObjectStorage, витік інформації через повідомлення про помилку, підміна змінних.

• PHP vulnerabilities (деталі)

Виявлена можливість міжсайтового доступу в Opera.

Уразливі версії: Opera 10.62.

Міжсайтовий скриптінг через @import url().

• Opera Web Browser v10.62 (CSS) Cross Domain Vulnerability (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, американець вкрав $11 тис. за допомогою одного телефонного дзвінка.

Житель штату Огайо обікрав американського рітейлера Wal-Mart на $11000 за допомогою навичок соціальної інженерії. Близько години ночі в неділю, п’ятого вересня, чоловік подзвонив на цілодобову лінію магазину Wal-Mart в місті Колумбус і зумів переконати оператора активувати декілька платіжних карт і сказати йому активаційні коди. Повідомляється, що зловмисник завдав магазину збиток в розмірі понад $11000.

За повідомленням www.cio-world.ru, у Москві ліквідована група хакерів. Відділ “К” і УБЕЗ РУВС м. Москви ліквідували злочинну групу хакерів, що заражали вірусами-блокаторами персональні комп’ютери користувачів мережі Інтернет.

Члени групи хакерів брали участь у розробці і поширенні вірусів блокаторів, що заражали персональні комп’ютери при відвідуванні ряду різних сайтів. Вірус цілком блокував роботу персонального комп’ютера, а на моніторі користувача з’являлася порнографічна картинка і повідомлення, у якому говорилося, що для розблокування комп’ютера необхідний пароль, що користувач міг одержати, відіславши платне SMS-повідомлення на чотиризначний номер.

Від дій хакерів постраждали десятки тисяч користувачів Інтернету не тільки в Росії, але і на Україні, у Білорусії, Молдавії і країнах Балтії. Зловмисники діяли біля року і, по оцінках співробітників міліції, одержали незаконний доход більше 500 млн. рублів.

За повідомленням hackzona.com.ua, NSS Labs запустить онлайн ринок експлоітів.

Компанія NSS Labs, яка спеціалізується на тестуванні продуктів безпеки, збирається запустити онлайновий ринок експлоітів в наступному місяці. Сервіс Exploit Hub надасть дослідникам безпеки можливість продавати коди експлоітів для відомих уразливостей.

Виявлені численні уразливості безпеки в Apple WebKit і Safari.

Уразливі версії: Apple Safari 4.1, Safari 5.0.

Виконання коду, пошкодження пам’яті.

• Apple Safari Webkit Runin Remote Code Execution Vulnerability (деталі)
• About the security content of Safari 5.0.2 and Safari 4.1.2 (деталі)