Websecurity - Веб безпека

Google вчора у своєму блозі оголосив про придбання компанії ReCAPTCHA, добре відомого провайдера технології CAPTCHA. Параметри угоди не повідомляються. Експерти думають, що пошуковець зацікавився не стільки самою “капчою”, скільки можливістю використання розробок ReCAPTCHA у своєму сервісі Google Books.

ReCAPTCHA починалась як дослідницький проект університету Карнегі-Меллон. Сервіс дозволяє підтвердити, що інформація, повідомлена користувачем на сайті, була зазначена саме людиною, а не роботом. Для цього відвідувачам пропонується пройти тест Тьюринга, указавши два слова на зображеній картинці. Одне зі слів уже відомо ReCAPTCHA і є контрольним, а інше було відскановано і не було розпізнано OCR-програмою. Такий підхід дозволяє “навчити” OCR-додаток і підвищити якість сканування текстів.

Google планує використовувати технології ReCAPTCHA не тільки для захисту від спама, але і для поліпшення процесу сканування книг і газет.

По матеріалам http://internetua.com.

Виявлені численні уразливості безпеки в Adobe JRun.

Уразливі версії: Adobe JRun 4.

Зворотний шлях у каталогах і міжсайтовий скриптінг в консолі керування.

• Adobe JRun 4 Directory Traversal Vulnerabilities (деталі)

24.06.2009

Виявлена DoS уразливість в Mozilla Firefox.

Уразливі версії: Mozilla Firefox з підримкою SVG.

Відмова при малюванні окружності з великим радіусом через розмітку SVG.

• Firefox (all?) Denial of Service through unclamped loop (SVG) (деталі)

18.09.2009

Додаткова інформація.

• Update: [TZO-26-2009] Firefox (all?) Denial of Service through unclamped loop (SVG) (деталі)

Компанія Google була змушена випустити ряд виправлень, що закривають декілька уразливостей у браузері Chrome, наявність яких дозволяла зловмиснику віддалено одержати контроль над комп’ютером жертви. Серед дір закритих у версії Chrome 2.0.172.43, наявні дві уразливості високої важливості і одна з помірним рівнем ризику.

Перша уразливість пов’язана з V8, вбудованим у браузер інструментом обробки JavaScript. Його наявність дозволяє розміщеному на веб-ресурсі JavaScript, що складений особливим чином, робити зчитування з заборонених областей пам’яті, обходити перевірки системи безпеки і виконувати довільний код усередині віртуалізованого середовища Chrome.

Ще одна уразливість може приводити до вибивання процесу, що відповідає за роботу вкладок у тому випадку, якщо користувач переходить на сторінки, що використовують шкідливі XML.

Утім, у компанії Google не преминули замітити, що завдяки наявності в Chrome технологія віртуалізації всім перерахованим вище уразливостям не був привласнений статус критичних.

По матеріалам http://www.xakep.ru.

Нещодавно була виявлена уразливість переповнення буфера в Mozilla Firefox. Для даної уразливості був розроблений експлоіт.

За словами автора експлоіта, вразливі Mozilla Firefox 2.0.0.16 та попередні версії.

• Mozilla Firefox 2.0.0.16 UTF-8 URL Remote Buffer Overflow Exploit (деталі)

В вересні місяці Microsoft випустила п’ять патчів. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло п’ять оновлень безпеки.

Всі п’ять патчів для критичних уразливостей та всі виправляють можливе віддалене виконання коду. Патчі виправляють уразливості в JScript Scripting Engine, в Wireless LAN AutoConfig Service, в Windows Media Format, в реалізації Windows TCP/IP, в DHTML Editing Component ActiveX Control.

По матеріалам http://bugtraq.ru.

Нещодавно Dan Kaminsky виявив уразливість в Mozilla Firefox, що дозволяє віддалене виконання коду. Для даної уразливості був розроблений експлоіт.

За словами автора експлоіта, вразливі Mozilla Firefox до 3.0.14. Як я перевірив, в Firefox 3.0.13 він працює, але не в Firefox 3.0.14, де дана уразливість вже виправлена.

• Mozilla Firefox < 3.0.14 Multiplatform RCE via pkcs11.addmodule (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.0, Firefox 3.5.

Виконання коду, пошкодження пам’яті, підміна адреси, прихована установка сертифіката. В даному оновленні Mozilla не виправила Cross-Site Scripting уразливості в різних версіях їхніх браузерів, про які я писав і про які їм повідомив. Що наглядно демонструє відношення даної компанії до безпеки власних продуктів та безпеки їх користувачів.

• Mozilla Foundation Security Advisory 2009-47 (деталі)
• Mozilla Foundation Security Advisory 2009-48 (деталі)
• Mozilla Foundation Security Advisory 2009-49 (деталі)
• Mozilla Foundation Security Advisory 2009-50 (деталі)
• Mozilla Foundation Security Advisory 2009-51 (деталі)
• ZDI-09-065: Mozilla Firefox TreeColumns Dangling Pointer Vulnerability (деталі)
• Firefox <3.0.14 Multiplatform RCE via pkcs11.addmodule (деталі)

Ще перед попереднім оновленням безпеки в Invision Power Board 3.0.2, 18.08.2009, вийшло інше оновлення для безпеки Invision Power Board (IP.Board) 3.0 серії.

Як виявили розробники, в IPB 3.0.x (включаючи 3.0.2) було дві потенційні SQL Injection уразливості. Які й були виправлені в даному оновлені.

• Security Update for IP.Board 3.0.2 (деталі)

Уразливі версії Invision Power Board 3.0.2 (до 18.08.2009) та попередні 3.0.x версії.

Відомий кібезлочинець, 28-літній Альберт Гонсалес визнав свою провину по ряду обвинувачень і буде присуджений до тюремного ув’язнення на термін від 15 до 25 років.

Як повідомляється, Гонсалес зізнався в усіх правопорушеннях, що йому ставилися - кібершахрайство, розкрадання особистих даних при обтяжуючих обставинах, змова з метою шахрайства й інші 19 обвинувачень. Крім тюремного терміну небезпечному хакеру прийдеться виплатити біля $2,8 мільйонів штрафу. Також у нього конфіскують квартиру в Майамі, машину і коштовності на невизначену суму.

Альберт Гонсалес був арештований правоохоронними органами США в 2008 р. за обвинуваченням у застосуванні SQL-ін’єкцій та інших технологій для взлому ряду комп’ютерних мереж і крадіжці даних кредитних карт. Пізніше стало відомо, що раніше Гонсалес працював інформатором американських спецслужб.

Нагадаємо, що цей хакер разом із двома своїми спільниками, що, орієнтовно, проживають у Росії, украв більш 130 мільйонів номерів кредитних і дебетових карт. Влада країни називає це найбільшим злочином такого роду в історії США. Про долю спільників Альберта Гонсалеса не повідомляється. Через діяльність Гонсалеса постраждали такі компанії, як платіжна система Heartland Payment Systems з Нью-Джерсі, національна мережа магазинів 7-Eleven, мережа супермаркетів Hannaford Brothers та інші.

Кіберзлочинець разом зі своїми спільниками почав взламувати комп’ютерні мережі і красти номера кредитних і дебетових карт у жовтні 2006 р. Украдені дані пересилалися на сервера зловмисників у Каліфорнії, Іллінойсі, Латвії, Голландії й Україні. Після чого викрадені номери продавалися.

По матеріалам http://www.xakep.ru.

P.S.

Як видно з новини, без України тут не обійшлося. Так же склалося, що зловмисники полюбляють пересилати номери кредиток на українські сервери (це вже не перший випадок), або просто іноземні журналісти іноді полюбляють приписувати різні взломи українським хакерам. Тим самим формуючи імідж нашої країни.