Websecurity - Веб безпека

В цьому місяці Microsoft випустила три патчі. Що менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшли три патчі, що виправляють у сумі вісім уразливостей. Один з яких має критичний рейтинг, а два інших мають рейтинг важливих.

Перший і єдиний критичний патч перешкоджає віддаленому запуску на виконання довільного коду при перегляді шкідливих графічних файлів EMF і WMF. Друге виправлення закриває помилку в пакеті Secure Channel (SChannel), що відкриває доступ до сертифіката, необхідного для ідентифікації користувача в системі. Третє виправлення закриває дірку в безпеці в серверах Windows DNS і Windows WINS, що приводить до перенаправлення трафіка.

По матеріалам http://news.techlabs.by.

В минулому місяці була виявлена Denial of Service уразливість в ModSecurity - популярному WAF. Для якої вчора був оприлюднений експлоіт.

Так що окрім різноманітних методів обходу ModSecurity, зокрема для проведення XSS атак, які я розробив за останні роки, в ньому ще знайшли і DoS уразливість.

• ModSecurity < 2.5.9 Remote Denial of Service Vulnerability (деталі)

Уразливі версії ModSecurity 2.5.8 та попередні версії.

Виявлена проблема з завантаженням динамічних функцій в MySQL.

Уразливі версії: MySQL 5.0.

Можна завантажити функції по будь-якому розташуванню. Після вивантаження функції залишаються доступними. Дана атака можлива лише на Windows системах, бо вона використовує зворотні слеші. Вона подібна до Directory Traversal атак з використанням back slash, що я виявив у веб додатках (ще в 2007 році).

• reporting CVE (деталі)

По оцінках ІТ-компаній збиток бізнесу в усьому світі через дії кіберзлочинців у 2008 році досяг 1 трильйона доларів. При цьому багато офіцерів поліції не мають достатньої кваліфікації для боротьби з подібними злочинами.

Через ці обставини, великим ІТ-компаніям (таким як Microsoft, Ebay, AOL) приходиться створювати свої команди для розслідування кіберзлочинів. Крім того, ця проблема вимагає тісного міжнародного співробітництва - у силу своєї інтернаціональності.

У зв’язку з цими обставинами на конференції з питань боротьби з кіберзлочинами, проведеною Радою Європи в Страсбурзі, було прийняте рішення про створення в Європі мережі університетів відповідного напрямку. Згода взяти участь у цьому проекті виразили європейські ІТ-компанії.

Перші навчальні курси, проведені за підтримкою Microsoft, Ebay, AOL і Symantec, будуть відкриті в Університетському коледжі Дубліна в Ірландії й у Технологічному університеті Труа у Франції. У 2010 році програма заробить по всій Європі, фінансування буде здійснюватися з бюджету Європейської Комісії. Близько 100000 офіцерів поліції, по оцінках Microsoft, будуть проходити навчання щорічно.

По матеріалам http://itua.info.

Нещодавно, 10.03.2009, через деякий час після виходу PHP 5.2.9, вийшов PHP 5.2.9-1 (для Windows).

Даний реліз виправляє уразливість, що мала місце в бібліотеці cURL (CVE-2009-0037). Тільки Windows пакети PHP є вразливими.

По матеріалам http://www.php.net.

В минулому місяці, 26.02.2009, вийшов PHP 5.2.9, у якому виправлено більше 50 помилок, в тому числі й уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.9:

• Виправлена уразливість в imagerotate() при роботі з не truecolour зображеннями (CVE-2008-5498).
• Виправлений збій при розпакуванні з zip коли імена файлів чи директорій мали відносний шлях.
• Виправлена поведінка explode() з пустими рядками для врахування негативного ліміту.
• Виправлений збій при передачі спеціального рядку до json_decode().

По матеріалам http://www.php.net.

Кіберзлочинці використовують пошуковці для поширення шкідливого ПЗ, зокрема, підроблених антивірусних продуктів: для інфікування користувачів злочинцям необхідно залучити їхню увагу до шкідливих сайтів, роз’яснює PandaLabs. Раніше користувачів затягали на шкідливі сайти за допомогою мосової розсилки спама. У цьому випадку потенційна жертва читає електронний лист, заходить по представленим у листі лінкам, після чого перенаправляється на шкідливі веб-сторінки.

У наші дні користувачі стали більш обережними при читанні спама чи листів, отриманих від незнайомих відправників, а тому ефективність традиційного способу стала знижуватися. У результаті цього злочинці стали використовувати нові, більш ефективні способи. Вони використовують інструмент Google Trends, що містить список самих популярних пошукових запитів протягом дня.

Після того, як злочинці довідаються про самі популярні пошукові запити, вони створюють блог, зміст якого наповнений словами і словосполученнями з популярних пошукових запитів. У результаті цього, використовуючи технології оптимізації сайта під пошукові запити (SEO), злочинці значно збільшують шанси блога виявитися в числі перших у результатах пошуку за даними популярним запитам.

По матеріалам http://www.klerk.ru.

P.S.

Окрім використання SEO методів, зловмисники також використовують контексну рекламу в пошуковцях, про що я писав, для заманювання на шкідливі сайти.

У Німеччині знову розгорівся скандал, викликаний викраденням особистих даних користувачів. На чорному ринку можна купити банківські реквізити 21 мільйона чоловік, що проживають у Німеччині. Велику БД з інформацією про банківські рахунки німецьких інтернетчиків було запропоновано придбати виданню Wirtschafts Woche за 12 мільйонів євро. Як приклад журнал одержав дані про 1,2 мільйони жителів.

За наявною інформацією, крім персональних даних, ця база містить довідки про банківські рахунки і персональні ідентифікаційні коди. Журнал надав отриману інформацію в прокуратуру. Перші сліди ведуть до маленьких call-центрів. Їхніми послугами часто користаються солідні компанії.

Від них секретна інформація про клієнтів і попадає в call-центри. Тому що платять працівникам call-центрів відносно мало, вони заробляють тим, що переписують дані на CD чи флешку, а потім продають перекупникам на чорному ринку. За матеріалами розслідування таких скандалів, більшість матеріалів були отримані з call-центрів. Тому, як правило, дуже непросто простежити, де саме відбулася крадіжка даних.

По матеріалам http://itua.info.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.0, Thunderbird 2.0, Seamonkey 1.1.

Міжсайтовий доступ через XML, численні ушкодження пам’яті.

• Mozilla Foundation Security Advisory 2009-11 (деталі)
• Mozilla Foundation Security Advisory 2009-10 (деталі)
• Mozilla Foundation Security Advisory 2009-09 (деталі)
• Mozilla Foundation Security Advisory 2009-08 (деталі)
• Mozilla Foundation Security Advisory 2009-07 (деталі)

Нещодавно, 03.03.2009, через декілька місяців після виходу Opera 9.63, вийшла Opera 9.64.

Нова версія Opera є оновленням, що покращує безпеку браузера (а також вносить деякі зміни в інтерфейс).

Серед виправлень безпеки в Opera 9.64:

• Fixed an issue where specially crafted JPEG images could be used to execute arbitrary code
• Fixed an issue where plug-ins could be used to allow cross domain scripting
• Fixed a moderately severe issue
• Added support for the following platform-specific features:
  • DEP (Data Execution Prevention) in Microsoft Windows XP with Service Pack 2 and higher and Microsoft Windows Server 2003 with Service Pack 1
  • ASLR (Address Space Layout Randomization) in Microsoft Windows Vista
• Added Untrusted Rootstore Capability:
  • Opera downloads only the detailed information about untrusted (blacklisted) certificates when they are encountered
  • If download fails for certificate information in the list, Opera considers any certificate matching the ID as untrusted
• Added version conditional fetching of certificate dependencies from an online repository
• Fixed a problem downloading the CRL (Certificate Revocation List)
• Fixed a problem that could cause SSL to deadlock in one state, hanging the connection
• Fixed a problem that could cause the incorrect calculation of Certificate IDs
• Implemented Extended Validation (EV) for cross-signed EV Root Certificates not shipped by default
• Implemented preshipping of the Entrust 2048 CA (Certificate Authority)
• Implemented Root Certificate fetching from an online repository when an intermediate matches a certificate in the repository
• Improved support for weak encryption when importing .p12 private certificates
• Prevented security information documents from being written to disk

По матеріалам http://www.opera.com.