Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6 та 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Виконання коду, численні ушкодження пам’яті, NTLM-релеїнг.

• MS09-014: MSIE EMBED element race condition memory corruption (деталі)
• Moderate Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege (959426) (деталі)
• Critical Cumulative Security Update for Internet Explorer (963027) (деталі)

31.01.2008

Виявлений обхід захисту безпечного режиму в PHP.

Уразливі версії: PHP 5.2.

Можливий доступ за межі обмеженого каталогу через модуль cURL.

• PHP 5.2.5 cURL safe_mode bypass (деталі)

21.04.2009

Додаткова інформація.

В PHP 5.2.9 також виявлена можливість обходу захисту безпечного режиму.

• PHP 5.2.9 curl safe_mode & open_basedir bypass (деталі)

Виявлені численні уразливості безпеки в Apache Geronimo.

Уразливі версії: Apache Geronimo 2.1.

Міжсайтовий скриптінг, зворотний шлях у каталогах.

• Apache Geronimo - Directory Traversal vulnerabilities (деталі)
• Apache Geronimo - XSS vulnerabilities (деталі)
• Apache Geronimo - XSRF vulnerabilities (деталі)

Виявлений міжсайтовий скриптінг в Apache mod_perl.

Уразливі версії: Apache mod_perl 1.3 та mod_perl 2.0.

Міжсайтовий скриптінг в perl-status.

• XSS with mod_perl perl_status utility (деталі)
• Vulnerability in mod_perl (деталі)

В минулому місяці, 19.03.2009, компанія Microsoft випустила фінальну версію браузера Internet Explorer 8.

Про вихід IE7 я розповідав раніше і так само розповім вам про вихід IE8, зокрема згадаю про його покращення в плані безпеки.

Internet Explorer 8 побудований на основі нового движка і має масу переваг перед попередніми версіями. Браузер уже не виглядає так мляво на фоні конкурентів, як це було з 7-ю версією, і цілком здатний задовольнити запити більшості користувачів. Новий движок набагато швидше завантажує й відрисовує веб-сторінки і більш сумісний з новими технологіями. Значно дороблена підтримка веб-стандартів і поліпшена обробка HTML, CSS (з повною підтримкою CSS 2.1) і JavaScript.

Серед самих помітних нових функцій варто відзначити:

• Веб-фрагменти (Web Slices).
• Прискорювачі (Accelerators).
• Автоматичне відновлення після збоїв (Automatic Crash Recovery).

Також в Internet Explorer 8 наявна маса інших функціональних покращень: потужна система пошуку, покращена панель з обраним, групування зв’язаних вкладок, розширені можливості маштабування сторінки, покращений пошук по сторінці з маркіруванням кожного екземпляра шуканого слова чи фрази, інтелектуальний адресний рядок і багато інших удосконалень.

Ясна річ, у новинці багато уваги приділено безпеці і конфіденційності. У програму внесений ряд внутрішніх поліпшень для забезпечення безпечної роботи. Серед зовнішніх поліпшень необхідно відзначити новий режим InPrivate, що забезпечує конфіденційність при покупках через Інтернет, а поліпшений фільтр SmartScreen захищає від недобрих сайтів прагнучих тим чи іншим способом нашкодити чи того гірше обманути користувача. Також SmartScreen містить засоби для захисту від шпигунського і рекламного ПЗ. Ще одним нововведенням є функція виділення домена в адресному рядку, завдяки чому завжди ясно на якому саме сайті знаходиться користувач.

Також зазначу, що в IE8 доданий вбудований XSS-фільтр, який призначений для захисту користувачів браузеру від XSS атак. Але ще до виходу браузеру (аналізуючи його бета версії), секюріті дослідники відзначили слабку ефективність XSS-фільтру.

По матеріалам http://www.internet.ru.

Виявлена DoS уразливість в PHP.

Уразливі версії: PHP 5.2.

Відмова на некоректних даних функції JSON_parser.

• Denial of Service in PHP (деталі)

Рекламна мережа Google DoubleClick була викрита в поширенні шкідливого коду через оголошення, відображувані на сайті eWeek.com, а також ряді інших. За повідомленням компанії Websense, завдяки використанню iframe браузер переадресовувався на сайт, з якого на комп’ютер - абсолютно без втручання користувача - завантажувався файл winratit.exe плюс ще два, що прописуються в автозавантаження.

Таке відбулося через досить розповсюджену уразливість у софті від Adobe - з зловмисного сайта на комп’ютер користувача завантажувався PDF-документ, що дозволяв записати на жорсткий диск будь-який файл. Після цього, якщо власник зараженої машини намагався потрапити на один з популярних антивірусних сайтів, у браузері відкривався той самий ресурс, що пропонував скачати фальшивий антивірус.

У eWeek підкреслюють, що сам сайт не був взломаний - уся справа в рекламній системі DoubleClick, що завантажувала “вірусні банери”. В даний час відвідувачам сайта ніщо не загрожує, а фахівці працюють над тим, щоб проблема не повторилася в майбутньому.

Варто відзначити, що даний випадок - далеко не перший у скорботному списку. Так, наприкінці 2007 року банера мережа Utro.ru заразила комп’ютери відвідувачів ботами для DDoS-атак, а трьома місяцями раніше портал Yahoo! було викрито в поширенні банерів із трояном.

По матеріалам http://webplanet.ru.

Нещодавно, 08.04.2009, вийшов PHP 5.2.9-2 (для Windows).

Даний реліз виправляє уразливості, що мали місце в бібліотеці OpenSSL (CVE-2009-0590, CVE-2009-0591 та CVE-2009-0789). Бібліотека OpenSSL була оновлена до версії 0.9.8k. Тільки Windows пакети PHP є вразливими.

По матеріалам http://www.php.net.

Бригадний генерал США Джон Девіс, що курирує в Пентагоні питання кіберзахисту, повідомив, що за останні півроку Міністерство оборони США витратило на захист своїх ПК від хакерів не менш $100 мільйонів.

Як повідомляється, Девісу після ряду атак на військові комп’ютери було доручено вивчити вартість апгрейда їхнього захисту, а також оцінити той збиток, що наносять хакерські атаки Пентагону. Генерал відмовився привести реальні приклади інцидентів, з якими кіберзахист не справився, але уточнив, що тут представлено масштабний спектр усіх категорій хакерів - від загроз національного рівня до дій нудьгуючого підлітка.

Девіс розповів, що зараз багато країн витрачають значні суми на удосконалювання своїх кібертехнологій, тому і Міністерству оборони США приходиться не відставати і вкладати в кіберзахист усе більше коштів. Генерал не назвав конкретні країни, але, за інформацією американських ЗМІ, мова йде про Китай. Військові вважають, що Китай всерйоз зайнявся створенням вірусних програм, спрямованих на поразку комп’ютерів супротивника, а також активно поліпшує свої міри захисту.

За словами Девіса, не всі загрози йдуть ззовні, частина з них просочується зсередини Пентагона. Так, у 2008 році працівникам міністерства було строго заборонено використовувати в роботі з комп’ютерами Пентагона флеш-накопичувачі.

Після інтерв’ю Джона Девіса, свою заяву зробив міністр оборони США Роберт Гейтс, який проінформував ЗМІ, що в найближчі пару років число військових кібер-експертів зросте в три рази і складе 250 чоловік.

По матеріалам http://itua.info.

Ведучі телевізійної програми BBC Click змогли інфікувати спеціально розробленим трояном понад 22 тисяч комп’ютерів. Зараження реалізовувалося через інтернет-чати і було покликано показати легкість подібних маніпуляцій у сучасній Мережі, а також показати серйозність подібних загроз.

Як повідомляється, у ході даного експерименту інфікованим машинам була одночасно віддана команда про розсилку спама на 2 тестові електронні поштові адреси. На протязі декількох годин у ці скриньки прийшло понад тисячу листів.

Друга частина експерименту програми Click передбачала присутність експертів з компанії Prevx, що спеціалізується на комп’ютерній безпеці. Спільно вони реалізували DDoS-атаку на попередньо підготовлений сайт. Для того щоб забити канали сервера знадобилося всього 60 комп’ютерів. Після закінчення експерименту, “піддослідним” користувачам порекомендували посилити захист комп’ютерів, а всі шкідливі коди з їхніх машин були знищені, про що співробітники Click офіційно повідомили.

По матеріалам http://itua.info.