Websecurity - Веб безпека

Виявлена можливість виконання JavaScript-коду в Opera.

Уразливі версії: Opera 10.0.

Виконання JS-коду можливе через RSS-підписки.

• Hijacking Opera’s Native Page using malicious RSS payloads (деталі)

Фахівці з питань безпеки з компанії RSA Security зафіксували перші випадки використання кіберзлочинцями фішинг-атак нового типу.

Експерти розповідають, що на перший погляд схема нападу виглядає звичайно: потенційній жертві приходить електронний лист із пропозицією підтвердити свої реєстраційні дані в онлайновой платіжній системі чи на сайті банку. При цьому в листі вказується лінка, що насправді веде на фальшиву сторінку, що копіює дизайн справжнього веб-сайта.

Саме цікаве відбувається після того, як користувач переходить на зазначений сайт і починає вводити у форму особисті дані чи намагається переглянути інші сторінки фальшивого ресурсу. У цьому випадку відкривається чат-вікно, в якому потенційній жертві від імені співробітників департаменту банку по боротьбі із шахрайством повідомляється про те, що клієнту необхідно підтвердити особистість (зрозуміло, з метою забезпечення безпеки). При цьому шахраї просять користувача назвати своє ім’я, телефонний номер, адресу електронної пошти тощо.

Фахівці RSA Security відзначають, що при організації фішинг-нападів нового типу кіберзлочинці використовують відкритий протокол Jabber для миттєвого обміну повідомленнями. Фахівці RSA Security відзначають, що в перспективі ця схема може стати дуже популярною у шахраїв.

По матеріалам http://www.cripo.com.ua.

У жовтні, 18.10.2009, вийшла Invision Power Board 3.0.4. В даній версії виправлені помилки та покращена функціональність.

• IP.Board 3.0.4 (деталі)

Компанія ІBResource повідомляє про вихід російської версії IP.Board 3.0.4 (IPB). Ця версія включає виправлення багатьох помилок, а також невеликі поліпшення у функціональній частині. Додана підтримка візуального редактора в браузерах Chrome і Safari. Модулі галереї, блогів і файлового архіву також обновлені.

В жовтні місяці Microsoft випустила 13 патчів для 34 уразливостей. Що значно більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів, що включають виправлення 34 уразливостей. З яких 8 критичних та 5 важливих.

Критичні патчі виправляють уразливості в SMBv2, Windows Media Runtime, Windows Media Player, .NET і Silverlight, ActiveX-компонентах для MS Office, написаних за допомогою уразливої версії ATL, кумулятивні оновлення для IE і блокуючих прапорців ActiveX. Важливі патчі виправляють віддалене виконання коду в GDI+, службі FTP і службі індексування, підробку сертифіката в CryptoAPI, DoS у підсистемі Local Security Authority.

По матеріалам http://bugtraq.ru.

У цьому місяці, 6 жовтня, більше 10000 логінів і паролів користувачів поштової системи Windows Live Mail були опубліковані у вільному доступі в Інтернеті. Даний сервіс, що раніше називався Hotmail, належить Microsoft і є одним із самих популярних поштових сервісів у світі.

У корпорації підтвердили факт витоку даних і повідомили, що експерти компанії зараз розслідують ситуацію. Утім, експерти говорять, що витік даних тут малоймовірний, швидше за все, можна говорити про публікацію даних користувачів, що раніше потрапили на гачок фішерів чи авторів троянів, що крадуть інформацію.

“Ми можемо підтвердити, що опубліковані дані справжні і їх більша частина належить користувачам з Європи”, - говорять у Microsoft. Відомо, що реквізити витекли в користувачів, що використовували адреси в доменах hotmail.com, live.com і msn.com.

“Компанія розслідує ситуацію і робить всі необхідні кроки”, - говорять у Microsoft. Незалежні експерти рекомендують користувачам цієї системи змінити власні паролі для входу.

По матеріалам http://www.bezpeka.com.

Виявлена можливість Denial of Service атаки через JDBC в IBM DB2.

Уразливі версії: IBM DB2 8.1, DB2 8.2.

Читання неініціалізованої пам’яті в jdbcReadString().

• IBM DB2 JDBC Applet Server Remote DoS Vulnerability (деталі)

У вересні, 17.09.2009, вийшов PHP 5.2.11. В якому виправлено більше 75 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.11:

• Виправлена валідація сертифікату всередині php_openssl_apply_verification_policy.
• Виправлена перевірка для індексу кольору в imagecolortransparent().
• Додані пропущені перевірки навколо обробки exif.
• Виправлений баг #44683 (popen вибивав якщо був заданий некоректний режим).

По матеріалам http://www.php.net.

В другому кварталі 2009 року зареєстрована 151000 фішингових атак. Про що повідомила дослідницька компанія MarkMonitor.

Це максимальний за останні два роки показник. Чотири з п’яти підроблених листів, відправлених у другому кварталі 2009 року, виманювали логіни і паролі користувачів банків і платіжних систем. Число атак на користувачів соціальних мереж за останній рік виросло на 168 відсотків.

У середньому в другому кварталі на користувачів кожного онлайн-сервіса була зареєстрована 351 атака. Половина підроблених сайтів, призначених для перехоплення паролів, була розміщена в США.

Число фішингових атак росте всупереч тому, що в сучасні браузери вбудована технологія захисту від них. При таких атаках зловмисники створюють точну копію справжнього сайта банку чи платіжної системи і заманюють на них користувачів, зазвичай через підроблені email. Отримані в такий спосіб логіни і паролі потім використовуються для викрадення грошей з рахунка жертви.

По матеріалам http://www.bezpeka.com.

Виявлена можливість ін’єкції SQL в Pygresql, Mysql-ocaml та Postgresql-ocaml.

Уразливі продукти: Pygresql 4.0, Mysql-ocaml 1.0, Postgresql-ocaml 1.7.

Не викликаються функції нормалізації тексту для багатобайтних кодових сторінок.

• New pygresql packages provide secure escaping (деталі)

Компанія Mozilla представила сервіс, що перевіряє плагіни для браузера Firefox на сумісність і відсутність відомих уразливостей.

Сервіс стартував у вівторок на веб сторінці, де 15 плагінів для Firefox перевіряються на наявність самих останніх версій. Згодом розробники Mozilla планують додавати нові плагини, а також впровадити в Firefox 3.6 функцію, що дозволяє визначати, версії яких плагінів, що використовуються на поточній сторінці, вже застаріли.

Нова розробка заснована на представленій минулого місяця функції, що повідомляє користувачів Firefox про те, що вони використовують небезпечну версію плагіна Adobe Flash, що часто піддається атакам. По статистиці Mozilla, більше половини користувачів, що встановили нову версію браузера, використовували застарілий варіант цього плагіна.

По матеріалам http://www.xakep.ru.