Websecurity - Веб безпека

Виявлене переповнення буфера в python-cjson - пакеті для Python.

Уразливі версії: python-cjson 1.0.

Переповнення буфера при розборі скрипта Python.

• New python-cjson packages fix denial of service (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.runewsweek.ru, в статті Кібер-імперія зла розповідається про російських хакерів (а також згадуються деякі українські діячі, зокрема ті, що входять до числа найбільших в світі спамерів).

Захід знайшов нову глобальну загрозу. Місце “Аль-Каїди” зайняла всесвітня мережа російськомовних хакерів.

За повідомленням hackzona.com.ua, Sophos попереджає про нові атаки в Facebook. Антивірусна компанія Sophos в минулому місяці попередила про те, що кілька сотень тисяч користувачів соціальної мережі Facebook стали жертвами атаки типу Сlickjacking або так званого “угону кліків”.

За повідомленням www.crime-research.ru, у Вінницькій області СБУ піймала студента-хакера. Співробітники Управління Служби безпеки України у Вінницькій області затримали студента, що шляхом комп’ютерного взлому незаконно втрутився в роботу інтернет-сайта Могилів-Подільського міської ради.

СБУ встановило, що 20-літній студент одного з вінницьких вузів замінив логін і пароль у системі керування сайтом міськради, що дало можливість іншим користувачам мережі Інтернет одержати доступ до деяких його розділів.

Виявлена можливість проведення MITM-атак при використанні технології ClickOnce від Microsoft.

Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Не заборонене встановлення непідписаних елементів.

• Microsoft ClickOnce MITM Vulnerabilities (деталі)

В липні місяці Microsoft випустила 4 патчі. Що значно менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетня по безпеці. Що закривають 5 уразливостей в програмних продуктах компанії. В тому числі 3 патчі виправляють критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері, а четвертий патч має “важливий” рейтинг.

Дані патчі стосуються таких продуктів Microsoft як операційні системи Windows XP, Windows Server 2003, Windows 7, Windows Server 2008 R2 та MS Office XP, Office 2003, Office 2007.

Зазначу, що в даному вівторку патчів була виправлена уразливість в Canonical Display Driver, що була виявлена ще в травні цього року, а також уразливість в довідковій системі Windows, що була виявлена в минулому місяці.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.1, SeaMonkey 2.0.

Численні пошкодження пам’яті, використання після звільнення, виконання коду, цілочислене переповнення, переповнення індексу масиву та інші уразливості.

• Mozilla Firefox 3.5.x Address Bar Spoofing Vulnerability (деталі)
• Mozilla Firefox DOM Attribute Cloning Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox CSS font-face Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox Plugin Parameter EnsureCachedAttrParamArrays Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox nsTreeSelection Dangling Pointer Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox NodeIterator Remote Code Execution Vulnerability (деталі)
• SeaMonkey 2.0.5 Address Bar Spoofing Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2010-48 (деталі)
• Mozilla Foundation Security Advisory 2010-47 (деталі)
• Mozilla Foundation Security Advisory 2010-46 (деталі)
• Mozilla Foundation Security Advisory 2010-45 (деталі)
• Mozilla Foundation Security Advisory 2010-44 (деталі)
• Mozilla Foundation Security Advisory 2010-43 (деталі)
• Mozilla Foundation Security Advisory 2010-42 (деталі)
• Mozilla Foundation Security Advisory 2010-41 (деталі)
• Mozilla Foundation Security Advisory 2010-40 (деталі)
• Mozilla Foundation Security Advisory 2010-39 (деталі)
• Mozilla Foundation Security Advisory 2010-38 (деталі)
• Mozilla Foundation Security Advisory 2010-37 (деталі)
• Mozilla Foundation Security Advisory 2010-36 (деталі)
• Mozilla Foundation Security Advisory 2010-35 (деталі)
• Mozilla Foundation Security Advisory 2010-34 (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, кібершахрай присвоїв за допомогою інтернет-аукціонів більше 10 мільйонів рублів. Співробітники управління “К” МВС Росії припинили діяльність чоловіка, який протягом трьох років здійснював шахрайські дії на інтернет-аукціонах і тематичних форумах для колекціонерів. Про це повідомила прес-секретар управління “К” МВС РФ Ірина Зубарєва.

За її словами, від дій зловмисника постраждали сотні людей, які проживають як в Росії, так і в країнах СНД. Затриманий розробив хитру схему обману користувачів через Інтернет.

За повідомленням www.3dnews.ru, зловмисниками частіше експлуатуються уразливості Windows XP. Корпорація Microsoft обнародувала черговий звіт Security Intelligence Report (SIR), що висвітлює ситуацію з інформаційною безпекою в Інтернеті в другій половині 2009 року. Представлені в документі дані базуються на аналізі статистичних відомостей, зібраних за допомогою різних програмних засобів захисту ПК більш ніж з 500 мільйонів комп’ютерів по усьому світі, а також за допомогою онлайнових сервісів Windows Live Hotmail і Bing.

Відповідно до звіту, у другому півріччі 2009 року фахівцями Microsoft було виявлено 126 мільйонів зразків шкідливих додатків. Це на 8,9% більше, ніж у першому півріччі минулого року. Проводячи порівняльний аналіз проведених хакерами спроб взлому продуктів корпорації, експерти прийшли до висновку, що 55,3% всіх атак у вивченій вибірці довелося на експлуатування уразливостей Windows XP.

За повідомленням ain.ua, фальшиві банки - основні “автори” фишинга. Темпи електронного фишингу ростуть в усьому світі.

За даними СРР, кількість шкідливих листів за рік склало понад 3,7 млрд. При цьому більше половини повідомлень, що містили фрагменти шкідливого коду, шкідливе ПЗ чи підроблені лінки, довелося на підроблені листи від банківських структур. Даний механізм використовується для одержання незаконного доступу до даних про кредитні карти і банківські рахунки для взлому сервісів онлайн-банкінга.

Виявлена можливість виконання коду через переповнення буфера в IBM solidDB.

Уразливі версії: IBM solidDB 6.5.

Переповнення буфера в службі TCP/1315.

• IBM SolidDB solid.exe Handshake Request Username Field Remote Code Execution Vulnerability (деталі)

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.7, Python 3.2.

Переповнення буфера в audioop.lin2lin, пошкодження пам’яті в audioop.reverse.

• Multiple vulnerabilities in Python (деталі)

Раніше я вже писав про заражені аддони для Firefox і новий інцидент зі шкідливим плагіном для Firefox - це ще один подібний випадок.

Плагін Mozilla Sniffer, що займається перехопленням і передачею на сторонній сервер паролів користувачів, був завантажений на сайт розширень Firefox 6 червня і до блокування 12 червня був скачаний близько 1800 разів. Mozilla вже оголосила про плани переходу на нову модель поширення плагінів, у рамках якої код усіх розширень буде аналізуватися перед викладанням на сайт.

Що давно потрібно було зробити, бо я ще в 2007 році передбачив можливість розповсюдження інфікованих або зловмисних плагінів та аддонів для браузерів Мозіли через їхній офіційний сайт (не кажучи вже про шкідливі плагіни на сторонніх сайтах). Але Мозіла дійшла до цього лише в 2010 році.

Крім того, виявлена уразливість у популярному плагині CoolPreviews, що дозволяє виконати код на JavaScript c правами локального користувача. Про подібну уразливість в CoolPreviews я вже згадував раніше.

По матеріалам http://bugtraq.ru.

Виявлена можливість обходу захисту в dotDefender. Раніше я вже писав про XSS уразливість в Applicure dotDefender, а зараз повідомляю про уразливість в даному WAF, що дозволяє обходити захист від XSS.

Можливо обійти захист від міжсайтового скриптінга.

• XSS holes dotDefender (деталі)