Websecurity - Веб безпека

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, в Архангельській області будуть судити хакера за злом сайтів держустанов. Міжрайонним прокурором міста Котласа (Архангельська область) затверджено обвинувальний висновок у кримінальній справі відносно 21-річного Сергія Дашкаєва, який звинувачується у скоєнні злочинів, передбачених ч. 1 ст. 272 КК РФ (неправомірний доступ до охоронюваної законом комп’ютерної інформації).

Встановлено, що Дашкаєв з серпня 2009 по березень 2010 року здійснював взлом офіційних сайтів державних і муніципальних установ та органів, підприємств і організацій, копіював з них інформацію, а також без згоди правовласників вносив в структуру сайтів зміни.

За повідомленням www.bfm.ru, жертвами кібершахраїв з США сталі жителі 60 країн. У США заочно пред’явлені обвинувачення трьом фігурантам справи в кібершахрайстві, що обдурили користувачів на 100 мільйонів доларів. Жертвами зловмисників стали громадяни більш 60 держав, повідомляє управління ФБР по Чикаго.

За версією слідства, обвинувачувані створили компанію Innovative Marketing. Вона була зареєстрована в африканській державі Беліз як продавець антивірусного й іншого програмного забезпечення. “Дочка” Innovative Marketing знаходилася в Києві, вона і була головним офісом компанії. В києвському офісі й створювалися підроблені антивіруси.

За повідомленням hackzona.com.ua, у продажу є “невиявляємі боти”. Лабораторія PandaLabs виявила мережу, в якій продаються боти, що спеціалізуються на соціальних мережах і системах електронної пошти.

На загальнодоступній веб-сторінці викладено докладний каталог програм, націлених на сервіси електронної пошти та соціальні мережі, включаючи Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail і Yahoo.

Виявлена можливість обходу захисту в Perl.

Уразливі версії: Perl 5.10.

Обхід захисту в Safe.pm.

• Vulnerabilities in Perl (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6, 7 і 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Міжсайтовий скриптінг, витік інформації, численні пошкодження пам’яті.

• Microsoft Internet Explorer Stylesheet Array Removal Remote Code Execution Vulnerability (деталі)
• Microsoft Security Bulletin MS10-035 - Critical Cumulative Security Update for Internet Explorer (982381) (деталі)

Як я розповідав раніше, в Internet Explorer 8 був доданий функціонал, відомий як XSS Filter, призначений для протидії XSS уразливостям (зокрема reflected XSS). І пізніше була виявлена уразливість в IE8, що дозволяла обхід XSS фільтра в Internet Explorer. Дана уразливість могла використовуватися для XSS атак на користувачів сайтів, причому навіть тих сайтів, де немає XSS дірок.

За повідомленням www.h-online.com, Microsoft to fix further vulnerabilities in IE 8 XSS filter. Microsoft зробила два виправлення свого XSS фільтру - в січневому та березновому патчах. Та планує випустити ще один патч в червні для виправлення останнього вектора атаки на XSS Filter (що був оприлюднений на конференції Black Hat Europe).

Також в березневому патчі Microsoft додала новий функціонал в свій XSS Filter. Який дозволяє за допомогою спеціальної відповіді сервера (що включає режим блокування в XSS Filter) заборонити відображення даної сторінки в браузері. З приводу даного функціоналу найближчим часом я напишу окремо.

Повідомляється також, що в Google Chrome 4 доданий власний антиXSS фільтр - XSS Auditor (аналог XSS Filter в IE8). Даний функціонал доданий в WebKit, тому окрім Google Chrome 4 він також буде доступний в Apple Safari. WebKit також підтримує X-XSS заголовки, тому окрім IE8, браузери Chrome та Safari також зможуть використати відповідні заголовки сервера (для протидії XSS атакам). Вищезгаданий блокуючий режим поки ще не підтримується WebKit, але його підтримку планують додати в майбутній версій.

Виявлена можливість обходу захисту підписаних XML в Microsoft .Net.

Уразливі продукти: Microsoft .Net на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

При неповному дайджесті HMAC підпису порівнюється тільки частина підпису.

• Microsoft Security Bulletin MS10-041 - Important Vulnerability in Microsoft .NET Framework Could Allow Tampering (981343) (деталі)

Виявлені уразливості, що дозволяють виконання довільного коду та обхід XSS фільтра в Microsoft Internet Explorer.

Уразливі версії: Microsoft Internet Explorer 6 та Internet Explorer 7 (для першої уразливості), Internet Explorer 8 (для другої уразливості).

Уразливості дозволяють віддаленому користувачу скомпрометувати цільову систему і виконати XSS напад. Раніше я вже згадував про уразливість в XSS Filter в IE8, що дозволяє проводити XSS атаки на користувачів IE8 на будь-яких сайтах.

• Выполнение произвольного кода в Microsoft Internet Explorer (деталі)
• Обход ограничений безопасности в XSS фильтре в Internet Explorer (деталі)

Виявлена можливість пошкодження пам’яті в Microsoft IIS.

Уразливі версії: Microsoft IIS для Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Пошкодження пам’яті при включеному Extended Protection for Authentication.

• Important Vulnerability in Internet Information Services Could Allow Remote Code Execution (982666) (деталі)

Виявлена уразливість міжсайтового скриптінгу в Apache Axis2.

Уразливі версії: Apache Axis2 1.4.

Міжсайтовий скриптінг в інтерфейсі адміністрування.

• Authenticated Cross-Site Scripting (XSS) within the Apache Axis2 administration console (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.xakep.ru, взломані веб-сервери Apache.org. Якщо в 2009 році вже мав місце взлом apache.org, то це новий випадок, що мав місце в квітні цього року.

5 квітня на веб-сервісі Apache JIRA був створений тікет INFRA-2591, що експлуатував XSS уразливість у системі JIRA і містив посилання на короткий URL сервісу TinyURL. З використанням XSS і зазначеної лінки зловмисникам вдалося одержати cookies, що належать авторізованим адміністраторам сайта.

Це один з прикладів того, як через XSS уразливість (що була першим кроком в даній комплексній атаці на сайт Apache) був взломаний відомий веб проект.

За повідомленням ain.ua, Верховна Рада прийняла закон про захист персональних даних. Верховна Рада України прийняла закон №2273 “Про захист персональних даних”, у якому встановила, що такі дані є інформацією з обмеженим доступом.

Він поширюється на усіх власників баз персональних даних. Виключенням є приватні особи, що створюють бази даних для особистих потреб, журналісти і творчі діячі. Поширення особистих відомостей без згоди їхнього власника тепер заборонено, за винятком випадків, передбачених законом.

За повідомленням hackzona.com.ua, петербуржця судять за злом банкомата. У суді Красногвардійського району Петербурга розглядається справа 26-річного хакера Микити Петрова.

За даними слідства, він вскрив банкомат “Москомприватбанку”, розташований в будинку № 70 по проспекту Енгельса. Отримавши доступ до начинки електронної машини, він запустив в програмне забезпечення банкомату комп’ютерний вірус.

Виявлена можливість витоку інформації в nginx.

Уразливі версії: nginx 0.8.

Можна одержати доступ до вихідного коду сторінок, додавши пробільний символ до імені файлу. Зазначу, що дана уразливість вже була виявлена в більш ранніх версіях nginx. Вірогідно вона не була виправлена до версії nginx 0.8.36.

• Nginx 0.8.35 Space Character Remote Source Disclosure (деталі)