Websecurity - Веб безпека

В листопаді місяці Microsoft випустила 6 патчів. Що значно менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів, що закривають останні виявленні уразливості. З яких 3 критичних та 3 важливих.

Найбільш небезпечною є критична уразливість, експлуатація якої відбувається при перегляді спеціального шрифту Embedded OpenType. Інша критична уразливість наявна в інтерфейсі Web Services on Devices Application Programming Interface (WSDAPI) і виявляється при передачі шкідливих пакетів по локальній мережі. Остання уразливість міститься в License Logging Server і так само діє при передачі пакета по мережі, але не обов’язково локальній.

Два важливих патчі призначенні для Office - один бюлетень випривляє Excel, а інший поліпшує безпеку Word. Останній патч запобігає DoS-атакам через Active Directory Lightweight Directory Service (AD LDS).

По матеріалам http://news.techlabs.by.

Вчора прес-служба Секретаріату Президента України Віктора Ющенко повідомила, що працівники Секретаріату залишилися без зв’язку з Інтернетом. Він не працював в Секретаріаті із самого ранку, а служба технічної підтримки довго не могла знайти причини відсутності зв’язку.

Офіційне інтернет-представництво Президента України деякий час протягом дня також не було доступно (вірогідно через DDoS-атаку). Про що я вже згадував учора. Ранком представник Секретаріату затруднився назвати терміни поновлення роботи веб-ресурсу. А вдень сайт вже працював в звичайному режимі.

Зазначу, що два роки тому веб сайт Президента України Віктора Ющенко вже піддавався DDoS-атаці, ініційованою російською політичною організацією “Євразійський союз молоді”. Так що імовірність того, що на передодні президентських виборів сайт Президента “поклав” хтось зі сторони не виключається.

Окрім DDoS-атаки могли взагалі взломати ресурс. Показовою в цьому відношенні є ситуація із сайтом президента Латвії, чий сайт взломали на минулому тижні.

По матеріалам http://itua.info.

Виявлена можливість проведення DoS атаки проти PHP через завантаження файлів.

Уразливі версії: PHP 5.3.

POST-запит multipart/form-data з великою кількістю файлів приводить до вичерпання ресурсів сервера.

• PHP “multipart/form-data” denial of service (деталі)

Американська влада заявила про розкриття групи хакерів з Естонії, Росії і Молдавії, що за допомогою фальшивих дебетових карток зуміли викрасти більш $9 мільйонів.

У числі підозрюваних - 8 чоловік, у тому числі 5 жителів Естонії, 1 громадянин Росії, 1 житель Молдавії і ще 1 чоловік, про громадянство якого не повідомляється.

Один з підозрюваних естонців - 25-літній Сергій Цуріков вже арештований і очікує рішення про екстрадицію в США. Американська влада не повідомляє, де знаходяться інші підозрювані, вік яких складає від 20 до 33 років.

За даними слідчих, біля року тому зловмисники зуміли проникнути в комп’ютери однієї з ведучих міжнародних платіжних мереж - RBS WorldPay. Ця компанія базується в американській Атланті і є підрозділом шотландського Royal Bank of Scotland.

Як повідомляє американська прокуратура, у листопаді минулого року хакери одержали доступ до даних про рахунки клієнтів RBS WorldPay, після чого виготовили 44 фальшивих дебітових карток. З їхньою допомогою з 2100 банкоматів по усьому світі було протягом 12 годин витягнуто $9,4 мільйонів. При цьому хакери зуміли збільшити максимальний розмір коштів, що банк дозволяє знімати за допомогою тієї чи іншої картки, щоб викрасти ще більше.

Спеціальний агент ФБР Грег Джонс підкреслив, що після пред’явлення обвинувачень “інтернет-злочинці по всьому світі будуть знати, що державні кордони правосуддя не зупиняють”. В обвинувальному висновку сказано, що США будуть домагатися від підозрюваних відшкодування викрадених 9,4 мільйонів доларів.

По матеріалам http://ain.ua.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні уразливості, що призводять до можливості виконання коду.

• Adobe Shockwave Player Multiple Code Execution Vulnerabilities (деталі)
• Security updates available for Shockwave Player (деталі)

Федеральна прокуратура США розраховує стягнути з 26-літнього жителя Каліфорнії $1 мільйон за обман провайдера. Райан Харріс із Сан-Дієго обвинувачується в продажі програмних і апаратних засобів, призначених для одержання незаконного доступу до мереж Charter Communications та інших інтернет-провайдерів.

Суть злочинної схеми складалася в підробці MAC-адрес користувачів, що заплатили за широкополосний доступ. Згодом компанія Харріса TCNISO почала надавати й інші послуги, наприклад, розширення інтернет-каналу і засоби визначення MAC-адрес законослухняних користувачів. Згідно представленим в окружний суд матеріалам, з 2003 р. йому вдалося дістати прибуток на суму понад 1 мільйон доларів.

Крім надання безкоштовного доступу до мережі Інтернет, фірма TCNISO пропонувала клієнтам можливість анонімного веб-серфінга.

При цьому Харріс не намагався приховувати свою діяльність. Наприклад, на сайті його компанії був форум технічної підтримки, а сам зловмисник написав і продавав у Мережі книгу “Взлом кабельного модему”. Якщо Райана Харріса визнають винним по всім шести пунктам обвинувачення, він може провести у в’язниці до 20 років і виплатити компенсацію матеріального збитку в розмірі $1,5 мільйони.

По матеріалам http://ain.ua.

Вивлена можливість обходу захисту в Google Chrome.

Уразливі версії: Google Chrome 3.0.

Не видається повідомлення про потенційну небезпеку деяких видів вмісту - файлів. mht, .mhtml, .svg та інших.

• Using Blended Browser Threats involving Chrome to steal files on your computer (деталі)

Виявлена закладка в Apache Tomcat для Windows.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

При установці створюється обліковий запис admin з порожнім паролем.

• CVE-2009-3548 Apache Tomcat Windows Installer insecure default administrative password (деталі)

Розробниками Mozilla в жовтні був представлений перший робочий прототип браузера Firefox, в якому вони реалізували технологію CSP (Content Security Policy). Вони додали засоби захисту від атак через організацію міжсайтового скриптінга (XSS), підстановку в сторінки блоків “Iframe/JavaScript src” чи приховане виконання користувачем дій на зовнішньому ресурсі.

З механізмом роботи і можливостями технології можна ознайомитися на сторінці Content Security Policy Demo.

Специфікація CSP додала новий HTTP-заголовок. З його допомогою web-розробник може явно вказувати які зі скриптів можна виконувати для заданого домена.

По матеріалам http://acrossnet.net.

Виявлена можливість несанкціонованого доступу через PHP.

Уразливі версії: PHP 4.4, PHP 5.1.

Зміни mbstring.func_overload в .htaccess застосовуються до всього серверу в цілому.

• Vulnerability in PHP (деталі)