Websecurity - Веб безпека

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Численні переповнення буфера, ушкодження пам’яті, DoS-умови.

• PEAR Net_Traceroute: Command injection (деталі)
• PHP multiple issues (деталі)

Нещодавно Колумбійський університет провів велике дослідження, у рамках якого відбулося глобальне сканування IP-адрес. У ході дослідження з’ясувалося, що близько 21000 роутерів, веб-камер і VoIP-пристроїв цілком відкриті для віддалених атак. Адміністративний інтерфейс цих продуктів доступний усім бажаючим з будь-якої точки Інтернету і, до того ж, стандартний заводський пароль для доступу до нього не був змінений власниками.

Більше всього серед доступних роутерів у США виявилося пристроїв від Linksys. З 2729 знайдених у цьому регіоні апаратів 45% були публічно доступні і мали стандартний пароль для доступу до адміністративного інтерфейсу. На другому місці VoIP-пристрої від Polycom: 29% з 585 знайдених апаратів виявилися не захищені.

Наслідки несанкціонованого доступу до адміністративного інтерфейсу мережевого пристрою можуть бути дуже серйозними. Роутер може бути використаний для мережевих атак на інші комп’ютери, а VoIP-пристрій перепрошитий так, що буде записувати всі розмови і відправляти їх прямо зловмиснику. На базі незахищеного обладнання може бути створений ботнет, адже зовсім нещодавно багато роутерів і модемів піддалися серйозній вірусній атаці, і тепер виробники оперативно латають діри в системі захисту своїх пристроїв.

Остаточні результати дослідження такі: більше 300000 мережевих пристроїв мають вільний доступ до адміністративного інтерфейсу, хоча в переважній більшості з них стандартний пароль був змінений. Проте, фахівці з Колумбійського університету вважають, що таке обладнання уразливе перед серйозними хакерськими атаками.

По матеріалам http://www.securitylab.ru.

23.11.2009

Виявлена можливість пошкодження пам’яті в Internet Explorer.

Уразливі продукти: Internet Explorer 7 під Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Пошкодження пам’яті при встановленні outerHTML для стилю тіла документа.

• Vulnerability in IE7 (деталі)

01.12.2009

Додаткова інформація.

• Code to mitigate IE STYLE zero-day (деталі)
• Some more details on IE STYLE zero-day (деталі)

Додаткова інформація.

• Microsoft IE 6&7 Crash Exploit (деталі)

Сьогодні, 30 листопада, у світі відзначається Computer Security Day - Міжнародний день захисту інформації. З чим вас і вітаю .

Його ціль - нагадати людям про необхідність захисту своїх комп’ютерів і інформації, що знаходиться в них. Щорічно День проводиться під визначеним девізом, що розміщується на плакати й іншу друковану продукцію, що випускається до свята. Девізом 2009 р. став слоган “Керування ризиком”.

Міжнародний день захисту інформації був оголошений Асоціацією комп’ютерного обладнання в 1988 р. Проголошуючи цей День, Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників та користувачів обладнання і програмних засобів на проблеми безпеки.

Проголошення Міжнародного дня захисту інформації саме в 1988 р. було не випадковим: саме в цей рік була зафіксована перша масова комп’ютерна епідемія - епідемія хробака Морріса, що одержав назву по імені свого творця. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки. Але прототип першого комп’ютерного вірусу з’явився вже в 1983 р.

По матеріалам http://ain.ua.

Після попередніх численних уразливостех в розширеннях Mozilla Firefox, виявлені уразливості в нових розширеннях. Цього разу виявлені уразливості міжконтекстного скриптінга в розширеннях Sage та infoRSS до Firefox.

Уразливі продукти: плагіни Sage 1.4 та infoRSS 1.1 до Mozilla Firefox.

Уразливості в розширеннях дозволяють віддаленому користувачу скомпрометувати цільову систему.

• Межконтекстный скриптинг в Sage расширении к Firefox (деталі)
• Межконтекстный скриптинг в infoRSS расширении к Firefox (деталі)

В листопаді місяці Microsoft випустила 6 патчів. Що значно менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів, що закривають останні виявленні уразливості. З яких 3 критичних та 3 важливих.

Найбільш небезпечною є критична уразливість, експлуатація якої відбувається при перегляді спеціального шрифту Embedded OpenType. Інша критична уразливість наявна в інтерфейсі Web Services on Devices Application Programming Interface (WSDAPI) і виявляється при передачі шкідливих пакетів по локальній мережі. Остання уразливість міститься в License Logging Server і так само діє при передачі пакета по мережі, але не обов’язково локальній.

Два важливих патчі призначенні для Office - один бюлетень випривляє Excel, а інший поліпшує безпеку Word. Останній патч запобігає DoS-атакам через Active Directory Lightweight Directory Service (AD LDS).

По матеріалам http://news.techlabs.by.

Вчора прес-служба Секретаріату Президента України Віктора Ющенко повідомила, що працівники Секретаріату залишилися без зв’язку з Інтернетом. Він не працював в Секретаріаті із самого ранку, а служба технічної підтримки довго не могла знайти причини відсутності зв’язку.

Офіційне інтернет-представництво Президента України деякий час протягом дня також не було доступно (вірогідно через DDoS-атаку). Про що я вже згадував учора. Ранком представник Секретаріату затруднився назвати терміни поновлення роботи веб-ресурсу. А вдень сайт вже працював в звичайному режимі.

Зазначу, що два роки тому веб сайт Президента України Віктора Ющенко вже піддавався DDoS-атаці, ініційованою російською політичною організацією “Євразійський союз молоді”. Так що імовірність того, що на передодні президентських виборів сайт Президента “поклав” хтось зі сторони не виключається.

Окрім DDoS-атаки могли взагалі взломати ресурс. Показовою в цьому відношенні є ситуація із сайтом президента Латвії, чий сайт взломали на минулому тижні.

По матеріалам http://itua.info.

Виявлена можливість проведення DoS атаки проти PHP через завантаження файлів.

Уразливі версії: PHP 5.3.

POST-запит multipart/form-data з великою кількістю файлів приводить до вичерпання ресурсів сервера.

• PHP “multipart/form-data” denial of service (деталі)

Американська влада заявила про розкриття групи хакерів з Естонії, Росії і Молдавії, що за допомогою фальшивих дебетових карток зуміли викрасти більш $9 мільйонів.

У числі підозрюваних - 8 чоловік, у тому числі 5 жителів Естонії, 1 громадянин Росії, 1 житель Молдавії і ще 1 чоловік, про громадянство якого не повідомляється.

Один з підозрюваних естонців - 25-літній Сергій Цуріков вже арештований і очікує рішення про екстрадицію в США. Американська влада не повідомляє, де знаходяться інші підозрювані, вік яких складає від 20 до 33 років.

За даними слідчих, біля року тому зловмисники зуміли проникнути в комп’ютери однієї з ведучих міжнародних платіжних мереж - RBS WorldPay. Ця компанія базується в американській Атланті і є підрозділом шотландського Royal Bank of Scotland.

Як повідомляє американська прокуратура, у листопаді минулого року хакери одержали доступ до даних про рахунки клієнтів RBS WorldPay, після чого виготовили 44 фальшивих дебітових карток. З їхньою допомогою з 2100 банкоматів по усьому світі було протягом 12 годин витягнуто $9,4 мільйонів. При цьому хакери зуміли збільшити максимальний розмір коштів, що банк дозволяє знімати за допомогою тієї чи іншої картки, щоб викрасти ще більше.

Спеціальний агент ФБР Грег Джонс підкреслив, що після пред’явлення обвинувачень “інтернет-злочинці по всьому світі будуть знати, що державні кордони правосуддя не зупиняють”. В обвинувальному висновку сказано, що США будуть домагатися від підозрюваних відшкодування викрадених 9,4 мільйонів доларів.

По матеріалам http://ain.ua.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні уразливості, що призводять до можливості виконання коду.

• Adobe Shockwave Player Multiple Code Execution Vulnerabilities (деталі)
• Security updates available for Shockwave Player (деталі)