Websecurity - Веб безпека

Виявлена можливість Denial of Service атаки через JDBC в IBM DB2.

Уразливі версії: IBM DB2 8.1, DB2 8.2.

Читання неініціалізованої пам’яті в jdbcReadString().

• IBM DB2 JDBC Applet Server Remote DoS Vulnerability (деталі)

У вересні, 17.09.2009, вийшов PHP 5.2.11. В якому виправлено більше 75 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.11:

• Виправлена валідація сертифікату всередині php_openssl_apply_verification_policy.
• Виправлена перевірка для індексу кольору в imagecolortransparent().
• Додані пропущені перевірки навколо обробки exif.
• Виправлений баг #44683 (popen вибивав якщо був заданий некоректний режим).

По матеріалам http://www.php.net.

В другому кварталі 2009 року зареєстрована 151000 фішингових атак. Про що повідомила дослідницька компанія MarkMonitor.

Це максимальний за останні два роки показник. Чотири з п’яти підроблених листів, відправлених у другому кварталі 2009 року, виманювали логіни і паролі користувачів банків і платіжних систем. Число атак на користувачів соціальних мереж за останній рік виросло на 168 відсотків.

У середньому в другому кварталі на користувачів кожного онлайн-сервіса була зареєстрована 351 атака. Половина підроблених сайтів, призначених для перехоплення паролів, була розміщена в США.

Число фішингових атак росте всупереч тому, що в сучасні браузери вбудована технологія захисту від них. При таких атаках зловмисники створюють точну копію справжнього сайта банку чи платіжної системи і заманюють на них користувачів, зазвичай через підроблені email. Отримані в такий спосіб логіни і паролі потім використовуються для викрадення грошей з рахунка жертви.

По матеріалам http://www.bezpeka.com.

Виявлена можливість ін’єкції SQL в Pygresql, Mysql-ocaml та Postgresql-ocaml.

Уразливі продукти: Pygresql 4.0, Mysql-ocaml 1.0, Postgresql-ocaml 1.7.

Не викликаються функції нормалізації тексту для багатобайтних кодових сторінок.

• New pygresql packages provide secure escaping (деталі)

Компанія Mozilla представила сервіс, що перевіряє плагіни для браузера Firefox на сумісність і відсутність відомих уразливостей.

Сервіс стартував у вівторок на веб сторінці, де 15 плагінів для Firefox перевіряються на наявність самих останніх версій. Згодом розробники Mozilla планують додавати нові плагини, а також впровадити в Firefox 3.6 функцію, що дозволяє визначати, версії яких плагінів, що використовуються на поточній сторінці, вже застаріли.

Нова розробка заснована на представленій минулого місяця функції, що повідомляє користувачів Firefox про те, що вони використовують небезпечну версію плагіна Adobe Flash, що часто піддається атакам. По статистиці Mozilla, більше половини користувачів, що встановили нову версію браузера, використовували застарілий варіант цього плагіна.

По матеріалам http://www.xakep.ru.

05.09.2009

Нещодавно я писав про переповнення стека в Microsoft IIS 5.0 та 6.0. Після якої була виявлена нова уразливість в IIS.

Вчора була виявлена Denial of Service уразливість у вбудованому FTP сервері в Microsoft IIS. Для даної уразливості був розроблений експлоіт.

Уразливі версії: Microsoft IIS 5.0, IIS 6.0.

• Microsoft IIS 5.0/6.0 FTP Server (Stack Exhaustion) Denial of Service (деталі)

15.10.2009

Додаткова інформація.

• Important Vulnerabilities in FTP Service for Internet Information Services Could Allow Remote Code Execution (975254) (деталі)
• Microsoft Internet Information Server ftpd zeroday (деталі)

Компанія Google розробила нову функцію, що надає веб-майстрам скомпрометованих ресурсів зразки шкідливого коду й іншу деталізовану інформацію, що дозволяє позбутися інфекції.

Пошуковий гігант уже довгий час сканує сторінки Всесвітньої павутини, що він індексує, на наявність шкідливих програм. У випадку їхнього виявлення він вставляє попередження про це в результати пошуку. Крім того, дана інформація надходить у браузери Google Chrome, Mozilla Firefox і Apple Safari, що повідомляють своїх користувачів про наявність загрози зараження ще більш наполегливо. Крім цього, списки інфікованих сторінок відправляються адміністраторам сайтів, щоб вони змогли ужити відповідних заходів.

Тепер Google починає постачати веб-майстрам ще більш детальну інформацію, надаючи їм зразки шкідливого коду, що хакери використовують для впровадження у веб-сторінки. Іноді новий сервіс дозволяє навіть виявити першопричину зараження. Адміністратори скомпрометованих сайтів будуть одержувати інформацію автоматично після авторизації в Google Webmaster Tools.

В останні роки результати різних досліджень свідчать про те, що джерелом зараження більшістю шкідливих програм є цілком законні сайти, що були взломані. Тому можливість вивчити небезпечні JavaScript, HTML-код і експлоіти для Adobe Flash разом з точною вказівкою місця їхнього впровадження важко переоцінити.

По матеріалам http://www.xakep.ru.

Компанією Visa опубліковані рекомендації із шифрування так званих “полів даних” (здійснення наскрізного шифрування). Текст рекомендацій містить ряд порад, що допомагають захистити термінали від взлому, зокрема використовувати довгі криптографічні ключі. Крім того, Visa призиває власників карт завжди шифрувати дані.

Шифруванням полів даних передбачається використання методів, що забезпечують передачу інформації про банківську карту прямо з клієнтського пристрою в пристрій, що займається обробкою зашифрованої інформації. Даний підхід повинний забезпечувати дотримання діючих стандартів безпеки PCI DSS. Нові рекомендації вимагають, щоб важлива аутентифікаційна інформація (така як, номера PIN чи CVV2) використовувалася лише при авторизації, не зберігаючись в комп’ютері торгової точки.

Варто відмітити, що систему стандартів у цій сфері лише почали розробляти, але компанія Visa намагається знайти способи, що стимулюють усіх зайнятих у торгівлі бізнесменів переходити на них. Зробити це можливо через зниження зборів за процесінгові послуги самим свідомим, а також накладення штрафів на тих, що допускають витік секретних відомостей.

По матеріалам http://itua.info.

Як повідомляли онлайн ЗМІ у вересні, 02.09.2009, були взломані сайти Арсенія Яценюка http://www.front-zmin.org і http://www.arseniy.org. Сайти були атаковані хакерами з Ukrainian Hackers Team, які розмістили свої побажання (в дещо грубій формі) Арсенію Яценюку. І як я писав нещодавно, з цих подій почалася кібервійна в Україні між політичними силами в зв’язку з майбутніми президентськими виборами.

Після даних інцидентів, Арсеній Яценюк висловив подяку хакерам за безкоштовне тестування його сайтів на уразливості. Що є не більше ніж піар на власних дірявих сайтах. Подібна дірявість сайтів і несерйозне відношення до їх безпеки, не робить честі ні Яценюку, ні іншим політичним силам, ні жодному з кандидатів у президенти, чиї сайти були взломані.

У жовтні хакерська група FRONT ZMIN h4ck t34m, учасники якої називають себе прихильниками Арсенія Яценюка, провела акт помсти за взломи сайтів Яценюка. В результаті їх діяльності були взломами сайти Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.

P.S.

Що взломи сайтів Яценюка, що взломи сайтів інших політичних сил дуже нагадують цирк. Це більше схоже на комедію, а не на кібервійну . І ця комедія буде тривати аж до закінчення президентської компанії.

Виявлена можливість виконання коду в Google Chrome через Internet Explorer.

Уразливі версії: Google Chrome 2.0.

Впровадження команд в URI googleapps.url.mailto://.

• google apps googleapps.url.mailto:// uri handler cross-browser remote command execution exploit (IE) (деталі)