Websecurity - Веб безпека

Виявлене переповнення буфера в обробці HTTP відповідей в Google Chrome. Дана уразливість дозволяє скомпрометувати систему цільового користувача.

Уразливі версії: Google Chrome до версії 2.0.172.33.

Переповнення буфера виявлене при обробці деяких HTTP відповідей. У результаті можна виконати довільний код через спеціально оброблену HTTP відповідь, що була отримана від зловмисного HTTP сервера.

• Переполнение буфера в обработке HTTP ответов в Google Ghrome (деталі)

Інтернет Асоціація України в червні запустить проект, ціль якого - боротьба з негативними явищами в Інтернеті, зокрема з дитячою порнографією. Для цього Асоціація виділила фінансування на створення сайта і вже зареєструвала торгову марку, а протягом найближчих тижнів розраховує одержати домен першого рівня на базі цієї торгової марки - проект skarga.ua. Офіційно сайт вже відкрився в цьому місяці.

“Там люди будуть мати можливість повідомляти про знаходження потворних речей - дитячої порнографії, расової і національної нетерпимості, закликів до тероризму. На сайті буде список з цих трьох речей, - говорить виконавчий директор ІнАУ Володимир Куковський. - Ми розуміємо, що треба боротися і з іншими негативними явищами, але ці три пов’язані з насильством. Зараз ми визначили для себе ось ці три пріоритети. Ось з цим ми призиваємо боротися”.

За словами Володимира Куковського, провайдери дуже зацікавлені в тім, щоб дитячої порнографії в Інтернеті не було.

По матеріалам http://ain.com.ua.

P.S.

По-перше, на сайті наявні не три, а чотири типи скарг - окрім вищезгаданих, також є скарга стосовно закликів до повалення конституційного ладу.

По-друге, ні кіберзлочинці, ні порнографісти, ні ті хто закликає до нетерпимості, тероризму чи повалення конституційного ладу, вони не читають скарги (ні на даному, ні на інших сайтах).

По-третє, даний сайт буде зручним інструментом для кіберзлочинців, для того щоб роботи наклепи на сайти в порушенні Кримінального Кодексу (у вищенаведених правопорушеннях), для їх подальшого закриття. Про можливість подібного я писав в новинах про закриття сайтів через їх уразливості.

У червні, 18.06.2009, вийшов PHP 5.2.10. В якому виправлено більше 100 помилок, в тому числі й одна уразливість. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.10:

• Виправлений баг #48378 (exif_read_data() збій на специфічних пошкоджених .jpeg файлах).

По матеріалам http://www.php.net.

Виявлена можливість обходу захисту в Apache.

Уразливі версії: Apache 2.2.

Некоректна обробка опції IncludesNOEXEC дозволяє виконувати код через exec у включених файлах .shtml.

• [ MDVSA-2009:124 ] apache (деталі)

Виявлена можливість обходу захисту safemode в PHP.

Уразливі версії: PHP 5.2.

Можна обійти захист safemode за допомогою вставки зворотних слешей у команду.

• [PHP safe_mode bypass with exec/system/passthru] Once again (деталі)

В червні місяці Microsoft випустила велику кількість патчів. Що значно більше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшли патчі, що виправляє 31 уразливість (що є рекордом). “Це самий великий пакет патчів з жовтня 2003 року, коли ми стали регулярно випускати оновлення кожний другий вівторок місяця”, - підтвердив рекорд представник корпорації.

Червневий збірник заплаток містить у собі патчі для багатьох продуктів Microsoft. Зокрема, він виправляє вісім уразливостей Internet Explorer 8, що дозволяють віддалено запускати код на користувацькій машині. Що цікаво, одна з них уперше була використана на конференції по безпеці CanSecWest, що пройшла у Ванкуверу в березні цього року.

Були усунуті уразливості й в популярних програмах з пакета Microsoft Office, зокрема у Word і Excel. Також Microsoft прикрила дірки в захисті PowerPoint, через які в квітні було зафіксовано декілька хакерських атак. Інші патчі виправляють уразливості в сервісах Active Directory і Internet Information Services у серверних операційних системах Windows 2000 Server і Windows Server 2003.

По матеріалам http://ura-inform.com.

У Москві затриманий хакер з Казахстану, що підозрюється у крадіжці 1 мільйона доларів. Про це повідомила представник прес-служби УВС по Центральному федеральному окрузі столиці Олена Перфилова.

За її словами, міліціонери розшукували 20-літнього уродженця Казахстану, що підозрювався в взломі банківського рахунка. “Молода людина, по оперативним даним, взломала банківську мережу і перевела на свій рахунок з чужого більш 1 мільйона доларів, - розповіла Перфилова. - Перевівши в готівку частину суми, він прибув на територію Росії, після чого був оголошений у федеральний розшук”.

У Росії він, за даними міліції, переїжджав з одного міста в інше, намагаючись зробити документи для виїзду з країни в Європу. “У Москві він спробував зняти частину грошей, що залишилася на його рахунку, що був на той час заблокований”, - продовжила представниця УВС.

За її словами, у результаті спільної роботи співробітників карного розшуку ОВД району “Арбат” і співробітників Департаменту карного розшуку МВС Росії в приміщенні одного зі столичних банків молода людина була затримана.

За словами самого хакера, він хотів відправитися в Німеччину на постійне місце проживання. У відношенні кіберзлочинця порушена кримінальна справа по статті 159 КК РФ “Шахрайство”, ведеться розслідування.

По матеріалам http://www.xakep.ru.

08.06.2009

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5, Tomcat 6.0.

Витік інформації, перевірка існування користувача, DoS.

• CVE-2009-0580 UPDATED Apache Tomcat User enumeration vulnerability with FORM authentication (деталі)
• CVE-2009-0783 Apache Tomcat Information disclosure (деталі)
• CVE-2009-0580 Apache Tomcat User enumeration vulnerability with FORM authentication (деталі)
• CVE-2009-0033 Apache Tomcat DoS when using Java AJP connector (деталі)

11.06.2009

Додаткова інформація.

• CVE-2008-5515 RequestDispatcher directory traversal vulnerability (деталі)

18.06.2009

Додаткова інформація.

• UPDATED CVE-2008-5515 RequestDispatcher directory traversal vulnerability (деталі)

Виявлена можливість проведення DoS атаки проти Mozilla Firefox на Linux та Unix платформах.

Уразливі версії: Mozilla Firefox 3.0.

Відмова при використанні великого зображення GIF в якості body background.

• Firefox (GNU/Linux version) <= 3.0.10 Denial Of Services (деталі)

Нещодавно, 11.06.2009, вийшов Firefox 3.0.11. В якому було виправлено 9 уразливостей: чотири критичні, одна високого, дві середнього та дві низького рівня ризику.

Про численні уразливості в Mozilla Firefox, які були виправлені в даній версії, я вже писав детально.

Жодна зі знайдених мною уразливостей (зокрема цьогорічних), ні Properties not-inheritance уразливість, що дозволяє проводити XSS атаки, ні DoS уразливості виправлені не були. Що є типовим для Мозіли.