Websecurity - Веб безпека

Останнім часом в Україні почастішали випадки інтернет шахрайства. Один з них нещодавно зафіксували співробітники управління СБУ в Закарпатській області в місті Мукачеве.

Як повідомляється, житель Мукачева перевів на рахунки шахраїв 14000 доларів. Усе почалося з того, що на адресу своєї електронної пошти він одержав листа. У ньому говорилося, що чоловік виграв величезну суму грошей у лотерею, що проводилася серед користувачів мережі Інтернет. Щоб одержати гроші, що фактично “звалилися з неба”, людині запропонували сплатити визначену суму для здійснення переказу.

Після одержання платежу аферисти переконали мукачевця вислати їм ще грошей, нібито для сплати податків, передбачених міжнародним законодавством. Як повідомили в прес-службі Закарпатського УСБУ, на той час, коли людина зрозула, що його обдурили, він позбавився вже 14 тисяч доларів. Співробітники СБУ з’ясували, що лист прийшов з Нігерії.

Співробітники СБУ переконливо просять з великою обачністю відноситися до подібних електронних листів, що, як правило, приходять від імені представництв чи філій відомих у світі компаній чи їхніх керівників. Досить часто в таких листах указуються дійсні реквізити майбутньої жертви: прізвище, ім’я, місце роботи. Навіть якщо лист, на перший погляд, не викликає підозр і в ньому зазначені правильні дані, потрібно насамперед подзвонити в офіційне представництво компанії.

По матеріалам http://ain.com.ua.

P.S.

Дивно, що в Україні є люди, які ведуться на листи від нігерійских фішерів. На заході такі випадки траплялися часто, тому там про “нігерійський фішинг” знають, і тому фішери вже давно почали змінювати тактику - все більше подібних листів приходить не з Нігерії, а з інших країн, зокрема європейських.

Ну, а СБУ в даному випадку виступили лише статистами - не допомогли людині, а лише констатували випадок фішинга. Варто було спробувати виявити фішерів і повернути людині її кошти.

Виявлена DoS уразливість в СУБД PostgreSQL.

Уразливі версії: PostgreSQL 7.4, PostgreSQL 8.0, PostgreSQL 8.1, PostgreSQL 8.2, PostgreSQL 8.3.

Вичерпання стека при показі повідомлення про помилку.

• [ MDVSA-2009:079 ] postgresql (деталі)

В минулому місяці Adobe випустила оновлення Flash для трьох платформ (Windows, Mac OS X, Linux), що виправляє п’ять критичних уразливостей.

Дві здатні призвести до DoS, дві - до clickjacking атаки (коли користувачі, вважаючи, що працюють із кнопками активної сторінки, передають інформацію прихованому вікну), і ще одна веде до витоку інформації під Linux. Враховуючи поширеність flash-плагінів оновлення дуже бажане.

По матеріалам http://bugtraq.ru.

Нещодавно була виявлена уразливість в Mozilla Firefox. Для якої був розроблений експлоіт. Атака працює в Firefox 3, включно з останньою версією 3.0.7.

• Mozilla Firefox 3.0.7 OnbeforeUnLoad DesignMode Dereference Crash (деталі)

Уразливі Mozilla Firefox 3.0.7 та попередні версії.

В цьому місяці Microsoft випустила три патчі. Що менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшли три патчі, що виправляють у сумі вісім уразливостей. Один з яких має критичний рейтинг, а два інших мають рейтинг важливих.

Перший і єдиний критичний патч перешкоджає віддаленому запуску на виконання довільного коду при перегляді шкідливих графічних файлів EMF і WMF. Друге виправлення закриває помилку в пакеті Secure Channel (SChannel), що відкриває доступ до сертифіката, необхідного для ідентифікації користувача в системі. Третє виправлення закриває дірку в безпеці в серверах Windows DNS і Windows WINS, що приводить до перенаправлення трафіка.

По матеріалам http://news.techlabs.by.

В минулому місяці була виявлена Denial of Service уразливість в ModSecurity - популярному WAF. Для якої вчора був оприлюднений експлоіт.

Так що окрім різноманітних методів обходу ModSecurity, зокрема для проведення XSS атак, які я розробив за останні роки, в ньому ще знайшли і DoS уразливість.

• ModSecurity < 2.5.9 Remote Denial of Service Vulnerability (деталі)

Уразливі версії ModSecurity 2.5.8 та попередні версії.

Виявлена проблема з завантаженням динамічних функцій в MySQL.

Уразливі версії: MySQL 5.0.

Можна завантажити функції по будь-якому розташуванню. Після вивантаження функції залишаються доступними. Дана атака можлива лише на Windows системах, бо вона використовує зворотні слеші. Вона подібна до Directory Traversal атак з використанням back slash, що я виявив у веб додатках (ще в 2007 році).

• reporting CVE (деталі)

По оцінках ІТ-компаній збиток бізнесу в усьому світі через дії кіберзлочинців у 2008 році досяг 1 трильйона доларів. При цьому багато офіцерів поліції не мають достатньої кваліфікації для боротьби з подібними злочинами.

Через ці обставини, великим ІТ-компаніям (таким як Microsoft, Ebay, AOL) приходиться створювати свої команди для розслідування кіберзлочинів. Крім того, ця проблема вимагає тісного міжнародного співробітництва - у силу своєї інтернаціональності.

У зв’язку з цими обставинами на конференції з питань боротьби з кіберзлочинами, проведеною Радою Європи в Страсбурзі, було прийняте рішення про створення в Європі мережі університетів відповідного напрямку. Згода взяти участь у цьому проекті виразили європейські ІТ-компанії.

Перші навчальні курси, проведені за підтримкою Microsoft, Ebay, AOL і Symantec, будуть відкриті в Університетському коледжі Дубліна в Ірландії й у Технологічному університеті Труа у Франції. У 2010 році програма заробить по всій Європі, фінансування буде здійснюватися з бюджету Європейської Комісії. Близько 100000 офіцерів поліції, по оцінках Microsoft, будуть проходити навчання щорічно.

По матеріалам http://itua.info.

Нещодавно, 10.03.2009, через деякий час після виходу PHP 5.2.9, вийшов PHP 5.2.9-1 (для Windows).

Даний реліз виправляє уразливість, що мала місце в бібліотеці cURL (CVE-2009-0037). Тільки Windows пакети PHP є вразливими.

По матеріалам http://www.php.net.

В минулому місяці, 26.02.2009, вийшов PHP 5.2.9, у якому виправлено більше 50 помилок, в тому числі й уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.9:

• Виправлена уразливість в imagerotate() при роботі з не truecolour зображеннями (CVE-2008-5498).
• Виправлений збій при розпакуванні з zip коли імена файлів чи директорій мали відносний шлях.
• Виправлена поведінка explode() з пустими рядками для врахування негативного ліміту.
• Виправлений збій при передачі спеціального рядку до json_decode().

По матеріалам http://www.php.net.