Websecurity - Веб безпека

В січні місяці Microsoft випустила 1 патч. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшов лише один патч. Даний патч адресований уразливості, що дозволяє віддалено перехоплювати керування комп’ютером і запускати на виконання довільний код. Для систем Windows 7, Vista, XP, Server 2003 і Server 2008 зазначена низька потенційна небезпека.

Також у січні, вже після чергового вівторку пачтів, Microsoft випустила виправлення для численних уразливостей в Microsoft Internet Explorer (не відкладуючи до наступного місяця). А також випустила advisory з рекомендаціями по виправленню уразливості в Flash Player, що постачається в Windows XP.

Інцидентів, пов’язаних із утратою, розголошенням, крадіжкою чи випадковою публікацією найважливішої інформації в 2009 р. відбулося чимало. При цьому більша частина подібних випадків відбулася по недогляду чи внаслідок недотримання найпростіших правил забезпечення безпеки.

Нижче представлений перелік п’яти самих помітних випадків витоку даних у США, що відбулися в минулому році через неуважність і недбалість, за версією видання Computerworld.

1. Управління транспортної безпеки США: публікація секретного керівництва.

На початку грудня Управління транспортної безпеки США (TSA) випадково опублікувало на офіційному урядовому веб-сайті 93-сторінкове керівництво, у якому докладно розповіло про всі процедури огляду пасажирів, передбачених в американських аеропортах. Витік був визнаний загрожуючим національній безпеці США.

2. Heartland Payment Systems: витік даних кредитних карт.

Через наявність уразливостей до SQL-ін’єкцій, комп’ютерна мережа найбільшого платіжного оператора Heartland Payment Systems була взломана хакерами, що дозволило їм протягом декількох місяців викрасти дані про 130 млн. кредитних і дебетових карт. Цей витік став найбільшим за всю історію галузі.

3. Health Net: запізніле повідомлення.

Медична компанія Health Net одержала скандальну популярність через те, що протягом півроку ховала від своїх клієнтів і влади інформацію про те, що нею був загублений жорсткий диск, що містив інформацію про 1,5 млн. пацієнтів. Серед загубленої інформації значилися медичні записи, а також адреси, телефони і номери карт соціального страхування клієнтів компанії.

4. Управління урядового друку США: публікація ядерних секретів.

Управління урядового друку США опублікувало на своєму сайті офіційний звіт, що містить інформацію про сотні цивільних ядерних об’єктів, розташованих на території країни. Варто відзначити, що гриф “високої конфіденційності” на цей документ був накладений президентом США особисто.

5. RockYou: 32 мільйонів незашифрованих паролів.

В грудні з вини компанії RockYou, розробника додатків для соціальних мереж, були скомпрометовані дані авторизації 32 млн. зареєстрованих користувачів. Масштаби витоку потрясають самі по собі, однак найбільш дивним є той факт, що всі ці паролі зберігалися в розробника в незашифрованому вигляді.

По матеріалам http://ain.ua.

Виявленні численні уразливості в Microsoft Internet Explorer. Серед них 0-day уразливість use-after-free, що активно використовувалася в січні.

Уразливі продукти: Microsoft Internet Explorer 6, 6 SP1, 7 і 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

0-day уразливість “використання після звільнення” при обробці createEventObject, численні пошкодження пам’яті.

• Microsoft Internet Explorer Remote Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Reuse Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer item Object Memory Corruption Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Col Tag Cache Update Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Baseline Tag Rendering Remote Code Execution Vulnerability (деталі)
• Microsoft Security Bulletin MS10-002 - Critical Cumulative Security Update for Internet Explorer (978207) (деталі)
• Microsoft Internet Explorer Vulnerabilities (деталі)
• Code to mitigate IE event zero-day (CVE-2010-0249) (деталі)

Виявені численні уразливості безпеки в MySQL.

Уразливі версії: MySQL 5.0, MySQL 5.1.

Підміна сертифіката, підвищення привілеїв, DoS.

• Vulnerabilities in mysql (деталі)

Виявлена можливість пошкодження пам’яті в Adobe Flash Player, що постачається разом з Windows XP.

Уразливі продукти: Flash Player в Microsoft Windows XP.

Пошкодження пам’яті (використання після звільнення).

• Microsoft Windows Flash Player Movie Unloading Vulnerability (деталі)
• Microsoft Security Advisory (979267) Vulnerabilities in Adobe Flash Player 6 Provided in Windows XP Could Allow Remote Code Execution (деталі)
• Windows XP Macromedia Flash 6 ActiveX control use-after-free vulnerability (деталі)

В своєму повідомленні Adobe Acrobat Script Injection Paul Theriault розповів про знайдену ним Script Injection уразливість в Adobe Acrobat. До якої вразливі Adobe Reader та Acrobat 9.2, 8.1.7 та попередні версії. Як я перевірив Adobe Reader 6.0 не вразливий.

Уразливість має місце в Forms Data Format (FDF) в PDF документах, що дозволяє зробити ін’єкцію JavaScript в будь-який PDF файл. Атака з використанням даної уразливості дозволяє отримати доступ до змісту важливих pdf файлів, а також на сайтах з редиректорами (так званими open redirector) можлива Cross-Site Scripting атака.

Зазначу, що дане використання редиректорів для обходу секюріті повідомлення в Adobe Reader та Acrobat і проведення XSS атаки, є дуже цікавим варіантом використання редиректорів. Який я додам до свого переліку 12 атак через редиректори, про які я писав у статті Редиректори: прихована загроза.

Виявлена можливість обходу захисту в Microsoft IIS. Дана техніка увйшла до переліку найкращих веб хаків 2009 року.

Уразливі продукти: Microsoft Internet Information Services (IIS) під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Частина імені файлу після крапки з комою ігнорується, що дозволяє підмінити розширення файлу, наприклад файл script.asp;.jpg виконується сервером як скрипт ASP.

• Code to mitigate IIS semicolon zero-day (деталі)
• Microsoft IIS 0Day Vulnerability in Parsing Files (semi-colon bug) (деталі)

Після виходу в грудні, 15.12.2009, Firefox 3.0.16, в якому було виправлено 5 уразливостей, в січні, 05.01.2010, вийшов Firefox 3.0.17. В якому не було зроблено жодних секюріті покращень і виправлень (хоча дірок в ньому вистачає, про що я неодноразово повідомляв Mozilla, але вони завжди ігнорували мої повідомлення про DoS і XSS уразливості в їхніх браузерах).

В останній версії Firefox був виправлений лише баг з презентацією оновлень користувачам.

Також в цей же день вийшов Firefox 3.5.7. В якому також не було зроблено жодних секюріті покращень і виправлень. Лише виправленна загальна проблема зі стабільністю (що може включати і DoS уразливість, але Mozilla любить відности це не до уразливостей, а до stability issue) та виправленний баг з презентацією оновлень користувачам.

У грудні, 17.12.2009, вийшов PHP 5.2.12. В якому виправлено більше 60 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.12:

• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Доданий захист для $_SESSION проти пошкоджень і покращена перевірка “session.save_path”.
• Виправлений баг #49785 (недостатня перевірка вхідного рядка в htmlspecialchars()).

По матеріалам http://www.php.net.

Виявлене переповнення буфера в модулі Perl DBD::Pg.

Уразливі версії: perl-DBD-Pg 2.x.

Переповнення буфера в pg_getline, DoS.

• Vulnerabilities in perl-DBD-Pg (деталі)