Websecurity - Веб безпека

10.06.2009

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6, 7 та 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Міжсайтовий доступ, численні пошкодження пам’яті.

• [Full-disclosure] CORE-2008-0826 - Internet Explorer Security Zone restrictions bypass (деталі)
• Microsoft Security Bulletin MS09-019 - Critical Cumulative Security Update for Internet Explorer (969897) (деталі)

16.06.2009

Додаткова інформація.

• FortiGuard Advisory: Microsoft Internet Explorer DHTML Handling Remote Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Event Handler Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Concurrent Ajax Request Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer onreadystatechange Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer 8 Rows Property Dangling Pointer Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer setCapture Memory Corruption Vulnerability (деталі)

Виявлені численні уразливості в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.0.

Підвищення привілеїв, міжсайтовий доступ до даних, DoS, короткочасні умови, підміна SSL при використанні проксі, численні пошкодження пам’яті.

• Mozilla Foundation Security Advisory 2009-24 (деталі)
• Mozilla Foundation Security Advisory 2009-25 (деталі)
• Mozilla Foundation Security Advisory 2009-26 (деталі)
• Mozilla Foundation Security Advisory 2009-27 (деталі)
• Mozilla Foundation Security Advisory 2009-28 (деталі)
• Mozilla Foundation Security Advisory 2009-29 (деталі)
• Mozilla Foundation Security Advisory 2009-30 (деталі)
• Mozilla Foundation Security Advisory 2009-31 (деталі)
• Mozilla Foundation Security Advisory 2009-32 (деталі)
• Secunia Research: Mozilla Firefox Java Applet Loading Vulnerability (деталі)

Виявлена можливість обходу фільтрів в ModSecurity (популярному WAF). Я сам регулярно обхожу WAF на різних веб сайтах (в тому числі й ModSecurity) і окремих advisory з цього приводу не роблю, але даний опис уразливості в ModSecurity доволі цікавий (за рахунок опису HPP атаки), тому вирішив про нього написати.

Уразливі версії: ModSecurity 2.5.9 та попередні версії.

Обхід фільтрів можливий через HTTP Parameter Pollution (HPP) атаку на веб додатки на ASP/ASP.NET.

• ModSecurity <= 2.5.9 (Core Rules <= 2.5-1.6.1) Filter Bypass Vuln (деталі)

Виявлена можливість обходу аутентифікації WebDAV в Microsoft IIS, про що я вже розповідав.

Уразливі продукти: Microsoft Internet Information Services на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server.

Можливий анонімний доступ до ресурсів, що вимагають аутентифікацію.

• Microsoft Security Bulletin MS09-020 - Important Vulnerabilities in Internet Information Services (IIS) Could Allow Elevation of Privilege (970483) (деталі)

Деякий час тому в США стартував суд над Филипом Габрієлем Петтерсоном. 21-літнього шведа обвинувачують у взломі мереж компанії Cisco і NASA.

Як повідомляється, Петтерсону, більш відомому під ником Stakkato, пред’являються обвинувачення в одержанні коду ПЗ Cisco IOS і його опублікуванні в травні 2004 року. Ситуація посилюється тим, що на базі даного ПЗ працюють, приміром, маршрутизатори Cisco.

Також Петтерсону ставиться в провину проникнення в комп’ютерну мережу NASA у жовтні і травні 2004 року. Зокрема, він взломав машини суперкомп’ютерного підрозділу NASA і дослідницького центра Еймса.

Максимальне покарання, що загрожує хакеру - 10 років в’язниці по кожному з пунктів обвинувачення. Його також можуть зобов’язати виплатити штраф на суму $250000.

По матеріалам http://itua.info.

Деякий час тому була оприлюднена уразливість в Mozilla Firefox. Для якої був розроблений експлоіт. Після чого були оприлюднені подібні експлоіти для Opera та Safari, що базуються на експлоіті для Firefox.

Атака відбувається через XML-парсер в даних браузерах.

• Firefox 3.0.x (XML Parser) Memory Corruption / DoS PoC (деталі)
• Opera 9.64 (7400 nested elements) XML Parsing Remote Crash Exploit (деталі)
• Safari 3.2.2/4b (nested elements) XML Parsing Remote Crash Exploit (деталі)

Уразливі Mozilla Firefox 3.0.10 та попередні версії.

Уразливі Opera 9.64 та попередні версії.

Уразливі Safari 3.2.2/4b та попередні версії.

Виявлена можливість DoS атаки через WebDav проти Apache.

Уразливі версії: Apache Apr-util 1.2.

Вичерпання пам’яті при великій кількості Entity.

• New apr-util packages fix several vulnerabilities (деталі)
• The father of all bombs - another webdav fiasco (деталі)
• Apache mod_dav / svn Remote Denial of Service Exploit (деталі)

Розташована в Атланті компанія Pramana розробила технологію, що за її словами здатна блокувати автоматизовані програми, відповідальні за розсилання спама, фальшиві реєстрації поштових скриньок і шахрайства з кліками по рекламним баннерам. Зазначу, що я раніше чув про розробку даної компанії, коли з’явилися перші анонси їх технології, і ось зараз відбувся офіційний вихід продукта.

Програмний комплекс за назвою HumanPresent визначає, людина чи бот заповнює онлайн-форму, і блокує ті дії, що виконуються автоматизованими системами. За словами глави Pramana Санджая Сегала, компанія вже в наступному місяці планує запустити HumanPresent як у вигляді SaaS-сервісу, так і у вигляді програми, що запобігає активності ботів усередині веб-додатків. Програмний комплекс може бути використаний для захисту таких онлайн-форм, як бланки реєстрації поштових акаунтів і транзакцій інтернет-магазинів, а також для виявлення автоматизованих кліків по рекламним банерам.

Сегал дуже обережно розголошує деталі роботи програми, побоюючись того, що спамери можуть розробити такі боти, що будуть більше походити на людей. Тим не менш, він повідомив про те, що Pramana використовує 32 параметра для виявлення активності бота на веб-сторінці. В їх числі - особливості і частота натискання на клавіш миші і клавіатури, а також деякі інші речі. Наприклад, якщо людина натисне на лінку і нічого не відбудеться, вона, швидше за все, спробує натиснути на неї знову, тоді як бот не стане цього робити.

Пропонована фірмою Pramana програма є альтернативою системі розпізнавання CAPTCHA, справлятися зі взломом якої спамерам удається все частіше. Крім того, відомі випадки, коли зловмисники наймають для обходу CAPTCHA живих людей.

По матеріалам http://www.xakep.ru.

Британський хакер Гарі Маккіннон зізнався в порушенні декількох законів Великобританії. Завдяки цьому визнанню Маккіннон, що взломав комп’ютери NASA і Пентагона, тепер має шанси уникнути екстрадиції в Америку.

За словами адвоката, своє визнання Маккіннон оформив письмово і цей документ уже переданий у відповідні органи Великобританії. Дотепер Маккіннона обвинувачували в порушенні тільки законів США, але якщо удасться довести його причетність до порушення британських законів, то, швидше за все, його будуть судити на батьківщині.

Як повідомляється, Маккіннона заарештували 8 червня 2005 року в Лондоні. Правоохоронні органи США обвинувачують його в хакерському взломі 97 комп’ютерів у період з 2001 по 2002 роки. У число цих комп’ютерів ввійшли і машини космічного й оборонного відомств. Маккіннон не заперечує цих фактів, однак стверджує, що метою взлому була секретна інформація про НЛО.

Британський суд ухвалив у 2006 році екстрадувати Маккіннона в США. Але захист подав апеляцію. Якщо хакера передадуть владі США, то йому загрожує до 60 років позбавлення волі.

По матеріалам http://itua.info.

Виявлений витік інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5

За певних умов можна одержати вміст попереднього POST-запиту.

• CVE-2008-4308: Tomcat information disclosure vulnerability (деталі)