Websecurity - Веб безпека

Виявлена можливість витоку інформації в nginx.

Уразливі версії: nginx 0.8.

Можна одержати доступ до вихідного коду сторінок, додавши пробільний символ до імені файлу. Зазначу, що дана уразливість вже була виявлена в більш ранніх версіях nginx. Вірогідно вона не була виправлена до версії nginx 0.8.36.

• Nginx 0.8.35 Space Character Remote Source Disclosure (деталі)

Виявлена можливість витоку інформації в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.5, Firefox 3.6.

Можна одержати інформацію про відвідані URL сайтів.

• Cross Site URL Hijacking by using Error Object in Mozilla Firefox (деталі)

Виявлена можливість витоку інформації в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 8 на Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Через опцію ICMFilter можливий доступ до зовнішніх UNC-розташувань з витоком інформації аутентифікації.

• Arbitrary UNC file read in IE 8 (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, шкідливий код імітує систему оновлення Adobe Systems.

Експерти з безпеки повідомили про виявлення першого зразка шкідливого програмного забезпечення, що модифікує системи оновлення легітимних програмних продуктів. Даний напрямок розвитку шкідливих кодів є новим і представляє додаткову небезпеку для користувачів.

За повідомленням ain.ua, український хакер арештований в Індії. Американські спецслужби заарештували українського хакера Сергія Сторчака. Його обвинувачують в участі в одній з найбільших крадіжок персональних даних жителів США.

Обвинувачення проти Сторчака були висунуті ще в 2008 році. Сторчак був арештований після того, як він приземлився на літаку в Нью-Делі. Крім Сторчака, у справі про крадіжку даних замішані ще два українця, а також американці, китайці, громадяни Естонії і Білорусії.

За повідомленням hackzona.com.ua, в Італії знешкоджена хакерська банда. Слідчі з спецпідрозділів італійських карабінерів знешкодили велику міжнародну злочинну групу, яка активно співпрацювала з російськими хакерами.

В рамках операції було заарештовано 23 людини різних національностей. Всі вони звинувачуються в здійсненні кіберзлочинів. Дане угруповування займалося кримінальними операціями з кредитними картками (тобто це кардери).

Виявлені численні уразливості безпеки в MySQL.

Уразливі версії: MySQL 5.0.

Переповнення буфера і підвищення привілеїв у COM_FIELD_LIST, відмова через нескінченний цикл при читанні меревого пакета.

• Vulnerabilities in MySQL (деталі)

В травні місяці Microsoft випустила 2 патчі. Що значно менше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетня по безпеці. Що закривають критично небезпечні уразливості в програмних продуктах компанії, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері.

Критичні діри виявлені в операційних системах Windows різних версій і програмних продуктах Office та Visual Basic for Applications.

Виявлена можливість виконання коду в PostgreSQL.

Уразливі версії: PostgreSQL 8.4.

Можна виконати PL/perl чи PL/Tcl код через збережені процедури.

• PostgreSQL vulnerabilities (деталі)

Виявлений витік інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

В імені реалма для basic HTTP-аутентифікації може бути використане внутрішнє ім’я комп’ютера і порт.

• Apache Tomcat information disclosure vulnerability (деталі)

Виявлена Denial of Service уразливість в плеєрі Adobe Flash.

Уразливі версії: Adobe Flash Player 10.0.

Через атаку на Flash плеєр можливе споживання пам’яті та вибивання системи.

• Adobe Flash Player 10.0 Denial Of Service Vulnerability (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, у Франції арештований хакер, який зламав блог Обами на Twitter.

У Франції арештований хакер, оголошений у розшук після взлому акаунтів на сервісі Twitter, що належать ряду відомих людей, у тому числі президенту США Бараку Обамі і поп-співачці Брітні Спірс. У липні минулого року ФБР повідомили своїх французьких колег, що цей хакер знаходиться на території Франції. І у березні 2010 року він був арештований в результаті спільної із співробітниками ФБР спецоперації.

За повідомленням www.cnews.ru, DSecRG продемонстрували спосіб обходу останніх захистів IE8. Фахівці дослідницького центра DSecRG, заснованого компанією Digital Security, опублікували публічний практичний приклад обходу останніх захистів браузера IE8 від атак переповнення буфера. Техніка полягає в практичній реалізації методу JIT-Spray, що дозволяє атакувати додатки, уразливі до переповнення буфера в обхід останніх захистів, говориться в повідомленні DSecRG.

Раніше я вже розповідав про уразливість в Internet Explorer 8, що дозволяє використовувати новий захисний фільтр IE8 (XSS Filter) для атаки на користувачів даного браузера.

За повідомленням hackzona.com.ua, банківські хакери влаштовують DDoS-атаки на телефони.

Останнім часом у США почастішало використання банківськими хакерами нової методики, що дозволяє їм обходити додатковий рівень захисту при здійсненні транзакцій. Вона полягає в проведенні DDoS-атак на телефон жертви.