Websecurity - Веб безпека

Як я писав в своїй статті Редиректори: прихована загроза, в Mozilla Firefox можливі атаки міжсайтового скриптінга через jar: URI.

Дану уразливість виявив Petko D. Petkov aka PDP ще в 2007 році (тоді не знайшов часу про це написати, але уразливість достатньо цікава). Використовуючи jar: URI можна виконати код у контексті сайта, що дозволяє аплоадінг файлів (таких як JAR, ZIP, DOC та інших типів файлів, що являють собою архів).

Після чого Beford виявив, що в Firefox можна використати дану уразливість разом з редиректорами для проведення XSS атак через jar: URI без необхідності завантаження файлів на дані сайти. Уразливість була виправлена в Firefox 2.0.0.10 та SeaMonkey 1.1.7.

• Web Mayhem: Firefox’s JAR: Protocol issues (деталі)
• Mozilla Foundation Security Advisory 2007-37 (деталі)

В Татарстані розслідується справа по факту розкрадання коштів казанського банку “Ак Барс”, призначених для будівництва одного з об’єктів Універсіади-2013. У результаті хакерської атаки в кредитної установи украли більш 7 млн. рублів.

“Викрадено більше семи мільйонів рублів, причому це не федеральні гроші, а кошти саме банку”, - пояснив начальник УБЕЗ МВС по республіці Марс Бадрутдінов на брифінгу в Казані. По факту порушена кримінальна справа по ст. 159 (шахрайство) КК Росії. Як пояснив Бадрутдінов, кошти були викрадені в електронному вигляді в результаті хакерської атаки в липні. “Ніяких фактів розкрадання федеральних коштів, що виділені на будівництво об’єктів Універсіади, немає”, - підкреслив керівник УБЕЗ, нагадавши, що контроль за їхньою витратою ведеться постійно, у тому числі правоохоронними органами і Рахунковою палатою Татарстану.

По матеріалам http://www.xakep.ru.

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.2, PostgreSQL 8.3, PostgreSQL 8.4.

Відмова в обслуговуванні, підвищення привілеїв, обхід аутентифікації при використанні LDAP.

• PostgreSQL vulnerabilities (деталі)

У вересні, 14.09.2009, вийшла Invision Power Board 3.0.3. В даній версії виправлені помилки та покращена функціональність.

• Форум IP.Board 3.0.3 (деталі)

Компанія IBResource повідомляє про вихід російської версії IP.Board 3.0.3. Дане оновлення третьої версії IPB пов’язане з виправленням помилок і поліпшенням роботи існуючих можливостей форуму. Форум став ще більш стабільний, також обновлені модулі галереї, блогів і файлового архіву.

У структурі Департаменту Міністерства внутрішніх справ України по боротьбі зі злочинами, пов’язаними з торгівлею людьми, створений відділ по боротьбі з кіберзлочинністю. Про це повідомила прес-служба відомства.

У повідомленні відзначається, що для України як і для багатьох інших країн стало актуальним питання вирішення проблеми протидії злочинам, що відбуваються з використанням високих інформаційних технологій і телекомунікаційних систем.

Як відзначають у МВС, на цей підрозділ покладаються завдання по формуванню і реалізації державної політики в цій сфері правоохоронної діяльності, наробітку методичних рекомендацій протидії злочинам такої категорії, організація міжнародного співробітництва по справах про комп’ютерні правопорушення, розробка і внесення відповідних змін у чинне законодавство.

Крім того, в обов’язки цього відділу входить виявлення і документування організованих груп транснаціонального і регіонального характеру, учасники яких спеціалізуються на здійсненні злочинів з використанням високих технологій і телекомунікаційних систем.

По матеріалам http://www.xakep.ru.

P.S.

На які кошти уряд і МВС створили даний відділ, в часи фінансової кризи, яка в Україні проходить найбільш гостро - це питання риторичне. Для людей грошей немає, а на оборудки в МВС вони знайшлися. А враховуючи те, що саме даний відділ МВС (по боротьбі зі злочинами пов’язаними з торгівлею людьми) причетний до закриття Infostore в грудні минулого року, то ніякої корисної роботи від нового відділу не очікується.

Google вчора у своєму блозі оголосив про придбання компанії ReCAPTCHA, добре відомого провайдера технології CAPTCHA. Параметри угоди не повідомляються. Експерти думають, що пошуковець зацікавився не стільки самою “капчою”, скільки можливістю використання розробок ReCAPTCHA у своєму сервісі Google Books.

ReCAPTCHA починалась як дослідницький проект університету Карнегі-Меллон. Сервіс дозволяє підтвердити, що інформація, повідомлена користувачем на сайті, була зазначена саме людиною, а не роботом. Для цього відвідувачам пропонується пройти тест Тьюринга, указавши два слова на зображеній картинці. Одне зі слів уже відомо ReCAPTCHA і є контрольним, а інше було відскановано і не було розпізнано OCR-програмою. Такий підхід дозволяє “навчити” OCR-додаток і підвищити якість сканування текстів.

Google планує використовувати технології ReCAPTCHA не тільки для захисту від спама, але і для поліпшення процесу сканування книг і газет.

По матеріалам http://internetua.com.

Виявлені численні уразливості безпеки в Adobe JRun.

Уразливі версії: Adobe JRun 4.

Зворотний шлях у каталогах і міжсайтовий скриптінг в консолі керування.

• Adobe JRun 4 Directory Traversal Vulnerabilities (деталі)

24.06.2009

Виявлена DoS уразливість в Mozilla Firefox.

Уразливі версії: Mozilla Firefox з підримкою SVG.

Відмова при малюванні окружності з великим радіусом через розмітку SVG.

• Firefox (all?) Denial of Service through unclamped loop (SVG) (деталі)

18.09.2009

Додаткова інформація.

• Update: [TZO-26-2009] Firefox (all?) Denial of Service through unclamped loop (SVG) (деталі)

Компанія Google була змушена випустити ряд виправлень, що закривають декілька уразливостей у браузері Chrome, наявність яких дозволяла зловмиснику віддалено одержати контроль над комп’ютером жертви. Серед дір закритих у версії Chrome 2.0.172.43, наявні дві уразливості високої важливості і одна з помірним рівнем ризику.

Перша уразливість пов’язана з V8, вбудованим у браузер інструментом обробки JavaScript. Його наявність дозволяє розміщеному на веб-ресурсі JavaScript, що складений особливим чином, робити зчитування з заборонених областей пам’яті, обходити перевірки системи безпеки і виконувати довільний код усередині віртуалізованого середовища Chrome.

Ще одна уразливість може приводити до вибивання процесу, що відповідає за роботу вкладок у тому випадку, якщо користувач переходить на сторінки, що використовують шкідливі XML.

Утім, у компанії Google не преминули замітити, що завдяки наявності в Chrome технологія віртуалізації всім перерахованим вище уразливостям не був привласнений статус критичних.

По матеріалам http://www.xakep.ru.

Нещодавно була виявлена уразливість переповнення буфера в Mozilla Firefox. Для даної уразливості був розроблений експлоіт.

За словами автора експлоіта, вразливі Mozilla Firefox 2.0.0.16 та попередні версії.

• Mozilla Firefox 2.0.0.16 UTF-8 URL Remote Buffer Overflow Exploit (деталі)