Websecurity - Веб безпека

Представники Mozilla Corp. оголосили про те, що пошуковий гігант Google відключив протокол SafeBrowsing v2.1, що пропонує список сайтів, викритих у фішингу. Саме з цим протоколом працює Firefox 2.0. “Якщо ви використовуєте другу версію Firefox, то навіть при включеній функції нові “чорні списки” приходити не будуть”, говорить директор Mozilla, Майк Белтзнер.

Минулого місяця представники Mozilla попереджали користувачів, що підтримка Firefox 2.0 незабаром буде припинена, а Google у свою чергу бажає позбутися від непотрібного протоколу SafeBrowsing v2.1 для застарілого браузера.

Google і Mozilla Corp. працювали разом над оновленням протоколу. Версія SafeBrowsing v2.1 вийшла наприкінці 2007, а в минулому році протокол оновився до версії 2.2. У Firefox 3.0, зрозуміло, підтримка SafeBrowsing v2.2 є, так що користувачам Firefox 2.0 у черговий раз варто задуматися про перехід на нову версію браузера.

По матеріалам http://www.3dnews.ru.

19.01.2009

Виявлені численні уразливості в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5, Tomcat 6.0.

Можливий витік інформації через JVM. Причому як в Apache Tomcat, так і в JVM інших виробників.

• Численні уразливості в Apache Tomcat (деталі)
• Java Runtime UTF-8 Decoder Smuggling Vector (деталі)
• Apache Tomcat information disclosure vulnerability - Update 2 (деталі)

28.01.2009

Додаткова інформація.

• Cohesion Tomcat Multiple Vulnerabilities (Updated - v1.1) (деталі)

В грудні, через деякий час після виходу Opera 9.62, 16.12.2008, вийшла Opera 9.63.

Нова версія Opera є оновленням, що покращує безпеку браузера (а також вносить деякі зміни в інтерфейс). І знову, як і раніше, в цій версії жодна зі знайдених мною дірок в Opera, про які я повідомив розробникам, виправлена не була.

Серед виправлень безпеки в Opera 9.63:

• Виправлена можливість виконання довільного коду через текстові поля
• Виправлена уразливість в HTML парсері, що призводила до виконання довільного коду
• Виправлена Code Execution уразливість через довгі імена хостів в file:
• Виправлена XSS уразливість у feed preview
• Виправлена XSS уразливість у вбудованих XSLT шаблонах
• Виправлена уразливість, що призводила до витоку випадкових даних
• SVG зображення включені через тег img більше не можуть виконати контент Java чи плагіна
• Opera зараз імпортує приватні сертифікати .p12

По матеріалам http://www.opera.com.

Ще в 2007 році були виявлені численні уразливості в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, Internet Explorer 6 і Internet Explorer 7 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Пошкодження пам’яті при розборі CSS, можливість виконання небезпечних команд в ActiveX Microsoft Visual Basic, пошкодження пам’яті в ActiveX Microsoft Visual Basic.

• TlbInf32 ActiveX Command Execution (деталі)
• Microsoft IE5 CSS Parsing Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS07-045 - Critical Cumulative Security Update for Internet Explorer (937143) (деталі)

Нещодавно була виявлена DoS уразливість в браузері SeaMonkey (що базується на движку Mozilla). Для якої був розроблений експлоіт. Причому, судячи з досліджень автора експлоіта, атака працює лише в версії браузера під Лінукс (Ubuntu і Slackware).

• SeaMonkey <= 1.1.14 (marquee) Denial of Service Exploit (деталі)

Уразливі версії SeaMonkey 1.1.14 та попередні версії.

Зазначу, що я вже писав торік про DoS уразливості в Mozilla Firefox та Google Chrome, де я використовував цю ж саму атаку з вкладеними тегами marquee. І в обох випадках, в Фаєрфоксі та Хромі, відбувалася лише CPU overload DoS, а не вибивання додатку як у випадку SeaMonkey (як заявляє автор експлоіта), причому тільки на Лінуксі. Це явно особливість SeaMonkey.

Ще в 2007 році були виявлені численні DoS-умови в PHP.

Уразливі версії: PHP 5.2.

Відмова в обслуговувані на великих рядках у функціях fnmatch(), iconv_substr(), glob() і setlocale() та на спеціально створених gif-файлах.

• PHP <= 5.2.4 multiple Iconv functions denial of service (деталі)
• PHP <=5.2.4 iconv_substr() denial of service (деталі)
• PHP < 5.2.3 fnmatch() denial of service (деталі)
• PHP < 5.2.4 setlocale() denial of service (деталі)
• PHP < 5.2.3 glob() denial of service (деталі)

Лише через декілька днів після виходу патча для Internet Explorer (у грудні), Microsoft сповістила користувачів про серйозну помилку в SQL Server. За даними компанії, уразливість може бути використана для віддаленого запуску на виконання довільного коду в Microsoft SQL Server 2000 і SQL Server 2005. Попередження стало наслідком публічного розкриття уразливості, її код вже опублікований у вільному доступі.

Поки Microsoft не помітила випадків використання експлоіта в онлайнових атаках, що є лише справою часу. Для кінцевої атаки бази даних необхідний вхід у систему і залучення місцевих веб-додатків, що містять SQL-ін’єкції.

В особливих випадках можуть бути атаковані Microsoft SQL Server 2000 Desktop Engine чи SQL Server 2005 Express. Помилка міститься в процедурі “sp_replwritetovarbin”, що використовується при транзакції в базі даних. Єдині, хто на 100% захищений від нападу - власники Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 і Microsoft SQL Server 2008. За останній час це третя серйозна уразливість, хоча фахівці безпеки не вважають, що вона одержить широке поширення.

По матеріалам http://news.techlabs.by.

В цьому місяці Microsoft випустила лише один патч. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень для Windows і його компонентів. Усього вийшов один патч з критичним рейтингом небезпеки. Дане виправлення стосується SMB в Microsoft Windows.

По матеріалам http://news.techlabs.by.

P.S.

Цього разу обійшлося без патчів для Internet Explorer (на відміну від попередніх місяців). Хоча в минулому році, в тому числі в грудні, я писав про численні уразливості в Internet Explorer. І хоча MS обіцяли мені розглянути ці уразливості, виправляти їх вони не стали (так само як це було в 2007 і 2008 роках).

Нещодавно я писав про підсумки розвитку веб безпеки в 2008 році, а зараз розповім вам про найбільші секюріті події минулого року.

На eweek.com Brian Prince оприлюднив список десяти найбільших подій 2008 року в ІТ безпеці - Top 10 Security Stories of 2008.

1. Microsoft вирішила закрити свій антивірус Windows Live OneCare.
2. Уразливість в DNS була виправлена багатьма вендорами.
3. Витік даних у Hannaford.
4. Взлом емайл акаунта Sarah Palin.
5. Відключення McColo.
6. Адмін мережі Сан Франциско залишив місто без доступу до мережі.
7. Хак метро Бостона.
8. Взлом стандарта WPA.
9. Security in the Cloud досягла успіхів.
10. Кібер-війна між Росією та Грузією.

На початку року секюріті компанії та експерти почали давати прогнози розвитку безпеки в 2009 році. Найближчим часом і я оприлюдню власні прогнози . А зараз ознайомлю вас з одним з прогнозів.

На cnet.com Jon Oltsik оприлюднив наступні тенденції, що варто очікувати в новому році - Looking ahead at security trends for 2009.

1. Поява визначення кінцевої безпеки (endpoint security).
2. Більший акцент на кібербезпеку.
3. Більш строге законодавство про приватність.
4. Безпека в хмарі.
5. Безпека віртуалізації.
6. Безпечна розробка програмного забезпечення.
7. Інформаційно-центрична безпека.
8. Всюдисуще шифрування.
9. Менеджмент назв.
10. Безпека бізнес процесів.