Websecurity - Веб безпека

16.07.2009

Thierry Zoller виявив DoS уразливість в багатьох браузерах та системах.

Уразливі продукти: Microsoft Internet Explorer 5, 6, 7, 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Mozilla Firefox 3.0, Opera 9.63, а також Chrome, Seamonkey, Midbrowser, Netscape, Konqueror та інші браузери та системи, в тому числі поштові клієнти (що використовують браузерні движки) та браузери для мобільних пристроїв і приставок.

Метод select() не обмежує кількість обраних елементів, що приводить до вичерпання ресурсів.

• One bug to rule them all - Firefox, IE, Safari, Opera, Chrome, Seamonkey, iPhone, iPod, Wii, PS3 (деталі)

22.07.2009

Додаткова інформація.

• Update: [GSEC-TZO-44-2009] One bug to rule them all - Firefox, IE, Safari, Opera, Chrome, Seamonkey, iPhone, iPod, Wii, PS3 (деталі)

Як повідомляється на zdnet.com в записі ImageShack hacked by anti-full disclosure movement - сервіс ImageShack був похаканий так званим “рухом проти full disclosure”. Цей взлом відбувся на позаминулі вихідні.

ImageShack є одним з найбільш популярних безкоштовних хостінгів зображень. І після його взому мільони зображень редиректили на одне зображення, в якому повідомлялося про причини взому ресурсу.

Анти-секюріті група відповідальна за цей взлом назвала себе “рухом призначеним для знищення full disclosure”. І вона висловила погрозу тим секюріті веб сайтам і спільнотам, що оприлюднують експлоіти в full disclosure манері.

Ось так у full disclosure з’явилися противники. Побачимо як події будуть розгортатися далі. Про різні типи оприлюднень уразливостей я писав в своїй статті Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство.

Нещодавно була оприлюднена уразливість переповнення буфера в Mozilla Firefox. Для якої був розроблений експлоіт.

Атака відбувається при роботі браузера з Unicode символами. Атака працює в новому Firefox 3.5. Про інший експлоіт для Firefox 3.5 я писав раніше.

• Mozilla Firefox 3.5 unicode Remote Buffer Overflow PoC (деталі)

Уразлива версія Mozilla Firefox 3.5 та попередні версії.

Виявлене пошкодження пам’яті в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.5.

Пошкодження пам’яті під час виконання JavaScript.

• [Full-disclosure] [SA35798] Firefox 3.5 memory corruption vulnerability (деталі)

Намічена на 30 липня доповідь експерта фірми Juniper Networks Барнабі Джека, присвячена взлому програмного забезпечення банкоматів, у понеділок була прибрана зі списку брифінгів конференції Black Hat по запиту компанії-виробника банківських терміналів.

Випущена фірмою заява говорить: “В Juniper упевнені, що доповідь Джека дуже важливо представити публічно для того, щоб просунутися в поліпшенні безпеки. Однак компанія-виробник розглянутого в доповіді термінала виразила нам свої побоювання з приводу публічного розголошення результатів дослідження до того, як безпека всіх компонентів пристроїв не буде належним чином забезпечена. З огляду на масштаби проблеми, і можливий вплив, що розкриття даної теми може зробити на інших виробників, компанія Juniper прийняла рішення відкласти презентацію доти, доки постачальники не будуть у достатній мірі ознайомлені з результатами, що містяться в ній”.

Відзначимо, що Барнабі Джек хотів представити способи віддаленої і прямої атаки на популярну нову модель банкоматів і завершити свій виступ наочною демонстрацією на не модифікованому терміналі. Як повідомлялося раніше, виявлений ним метод унікальний і не пов’язаний зі скіммінгом і фізичною крадіжкою банкомата.

По матеріалам http://www.xakep.ru.

Експерти в області інформаційної безпеки з компанії Prevx знайшли шкідливий “троянський” додаток, за допомогою якого зловмисники змогли викрасти більше 88000 паролів та імен користувачів, використовуваних для одержання доступу до корпоративних FTP-серверів.

У ході аналізу зразка шкідливого коду, експерти встановили, що досліджуваний “троян” обмінюється даними зі стороннім веб-сервером. Пройшовши по виявленому сліду, співробітники Prevx знайшли на сервері список викрадених реквізитів, збережених у відкритому незашифрованому вигляді. За заявою дослідників, жертвами хакерів виявилися такі великі організації, як Symantec, McAfee, Amazon, Cisco і Bank of America.

Виявлений “троян” являє собою модифікацію відомого додатка ZBot, що деякий час тому поширювався по електронній пошті під видом критично важливого оновлення для поштового клієнта Microsoft Outlook. Проникаючи на скомпрометований комп’ютер, троянський додаток збирає всю інформацію про встановлювані FTP-з’єднання, що зможе знайти.

“Ми вже зв’язалися з більшістю постраждалих організацій і передали зібрану інформацію фахівцям агентства US CERT, у чиї обов’язки входить оперативне реагування на подібні інциденти”, - заявив технічний директор Prevx Жак Еразмус, - “Крім того, відвідувачі нашого сайта можуть самостійно перевірити, чи не виявилися приналежні їм реквізити доступу в згаданому списку”.

По матеріалам http://www.xakep.ru.

Виявлена уразливість форматного рядка в MySQL COM_CREATE_DB.

Уразливі версії: MySQL 5.0.

Уразливість форматного рядка в імені створюваної бази.

• MySQL <= 5.0.45 post auth format string vulnerability (деталі)

США знаходяться в стані кібервійни, постійно піддаючись кібератакам, заявив глава Об’єднаного комітету начальників штабів (ОКНШ) збройних сил США адмірал Майк Маллен. “Це серйозна загроза, вона існує постійно, але останнім часом стає першочерговою проблемою для всіх”, - сказав адмірал, виступаючи на брифінгу в прес-центрі для іноземних журналістів.

Маллен нагадав, що, за вказівкою президента США, при Пентагоні створена спеціальна група по боротьбі з кібератаками, і її співробітники не залишаються без роботи. “Ми постійно знаходимося в стані кібервійни, відбиваючи кібератаки, постійно боремося”, - відзначив Маллен, відзначивши, що в сучасному світі арени воєн поступово переміщаються в кіберпростір.

За його словами, з такою небезпекою зіштовхуються всі країни світу. Глава ОКНШ нагадав про недавню кібератаку на інтернет-портали одинадцяти південнокорейських організацій, у тому числі сайти президентської адміністрації, міністерства оборони, парламенту, декількох банків.

Президент США Барак Обама в травні повідомив про створення спеціальної державної служби по боротьбі з кіберзлочинами. Пізніше всі силові відомства рапортували про формування аналогічних внутрішніх підрозділів.

По матеріалам http://www.xakep.ru.

Виявлені DoS уразливості в Apache.

Уразливі версії: Apache 2.2, Apache 2.3.

Обсяг даних, що перевищує Content-Length приводить до вичерпання ресурсів процесора. Також mod_deflate не перериває операцію стиску файлу після відключення клієнта, що приводить до потенційного вичерпання ресурсів.

• DoS in Apache (деталі)

Даміано Болзоні з Університету Твенте розробив систему, що прокладає шлях до мережевої безпеки нового покоління. За свою працю вчений одержав докторський ступінь, що був присвоєний йому 25 червня.

Системи визначення мережевих вторгнень (NIDS) схожі на антивірусні сканери, тільки призначені вони для всієї мережі, а не окремих комп’ютерів. Існує два види таких систем - сигнатурні (засновані на шаблонах уже відомих атак) і системи аналізу аномалій. Останній тип визначає наявність відхилень від нормального поводження мережі і сигналізує про це адміністратору. На практиці, однак, подібні системи використовуються недостатньо широко, оскільки дійсно гарні зразки за гроші недоступні.

Болзоні спробував змінити сформовану ситуацію, розробивши нову NIDS на основі аналізу аномалій, що він назвав SilentDefense. Вона базується на алгоритмах самонавчання, що робить її набагато точнішою існуючих аналогів. Так, шанс помилкового спрацьовування - у тисячу разів менший, ніж у нині діючих систем.

У даний момент SilentDefense проходить стадію подальшої розробки в стінах заснованої Болзоні та його колегами компанії SecurityMatters. Вони очікують, що зможуть почати продажу нової NIDS вже в середині 2010 року.

По матеріалам http://www.xakep.ru.