Websecurity - Веб безпека

Лише через декілька днів після виходу патча для Internet Explorer (у грудні), Microsoft сповістила користувачів про серйозну помилку в SQL Server. За даними компанії, уразливість може бути використана для віддаленого запуску на виконання довільного коду в Microsoft SQL Server 2000 і SQL Server 2005. Попередження стало наслідком публічного розкриття уразливості, її код вже опублікований у вільному доступі.

Поки Microsoft не помітила випадків використання експлоіта в онлайнових атаках, що є лише справою часу. Для кінцевої атаки бази даних необхідний вхід у систему і залучення місцевих веб-додатків, що містять SQL-ін’єкції.

В особливих випадках можуть бути атаковані Microsoft SQL Server 2000 Desktop Engine чи SQL Server 2005 Express. Помилка міститься в процедурі “sp_replwritetovarbin”, що використовується при транзакції в базі даних. Єдині, хто на 100% захищений від нападу - власники Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 і Microsoft SQL Server 2008. За останній час це третя серйозна уразливість, хоча фахівці безпеки не вважають, що вона одержить широке поширення.

По матеріалам http://news.techlabs.by.

В цьому місяці Microsoft випустила лише один патч. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень для Windows і його компонентів. Усього вийшов один патч з критичним рейтингом небезпеки. Дане виправлення стосується SMB в Microsoft Windows.

По матеріалам http://news.techlabs.by.

P.S.

Цього разу обійшлося без патчів для Internet Explorer (на відміну від попередніх місяців). Хоча в минулому році, в тому числі в грудні, я писав про численні уразливості в Internet Explorer. І хоча MS обіцяли мені розглянути ці уразливості, виправляти їх вони не стали (так само як це було в 2007 і 2008 роках).

Нещодавно я писав про підсумки розвитку веб безпеки в 2008 році, а зараз розповім вам про найбільші секюріті події минулого року.

На eweek.com Brian Prince оприлюднив список десяти найбільших подій 2008 року в ІТ безпеці - Top 10 Security Stories of 2008.

1. Microsoft вирішила закрити свій антивірус Windows Live OneCare.
2. Уразливість в DNS була виправлена багатьма вендорами.
3. Витік даних у Hannaford.
4. Взлом емайл акаунта Sarah Palin.
5. Відключення McColo.
6. Адмін мережі Сан Франциско залишив місто без доступу до мережі.
7. Хак метро Бостона.
8. Взлом стандарта WPA.
9. Security in the Cloud досягла успіхів.
10. Кібер-війна між Росією та Грузією.

На початку року секюріті компанії та експерти почали давати прогнози розвитку безпеки в 2009 році. Найближчим часом і я оприлюдню власні прогнози . А зараз ознайомлю вас з одним з прогнозів.

На cnet.com Jon Oltsik оприлюднив наступні тенденції, що варто очікувати в новому році - Looking ahead at security trends for 2009.

1. Поява визначення кінцевої безпеки (endpoint security).
2. Більший акцент на кібербезпеку.
3. Більш строге законодавство про приватність.
4. Безпека в хмарі.
5. Безпека віртуалізації.
6. Безпечна розробка програмного забезпечення.
7. Інформаційно-центрична безпека.
8. Всюдисуще шифрування.
9. Менеджмент назв.
10. Безпека бізнес процесів.

Районний суд Львова визнав винним 27-літнього місцевого жителя в незаконному продажі конфіденційної інформації, йому призначене покарання у вигляді 2 років позбавлення волі. У рамках заходів щодо захисту державних інформаційних ресурсів співробітники СБ України у Львівській області встановили особу, яка незаконно продавала конфіденційну інформацію, що є власністю держави.

Зловмисник був затриманий СБУ під час реалізації інформації з обмеженим доступом. Правопорушником виявився 27-літній львів’янин, що за допомогою мережі Інтернет знаходив покупців і надалі збував бази органів державної влади України, у яких містилася інформація про суб’єктів зовнішньоекономічної діяльності.

Після затримки зловмисника слідчим відділом управління СБУ у Львівській області була порушена кримінальна справа за несанкціонований збут чи поширення інформації з обмеженим доступом, що зберігається в електронно-обчислювальних машинах, автоматизованих системах, комп’ютерних мережах чи на носіях такої інформації.

По матеріалам http://ain.com.ua.

P.S.

БД суб’єктів зовнішньоекономічної діяльності та інші бази вже багато років як пропонуються через Інтернет. Чимало отримав спаму з подібними пропозиціями. Вірогідно СБУ також отримала подібний спам , тому й вирішила піймати дану особу. Це один з перших випадків в Україні, коли спіймали продавця конфіденційних баз даних.

Виявлене переповнення буфера у функції popen() PHP.

Уразливі версії: PHP 5.2

Переповнення буфера на довгому аргументі mode.

• PHP Buffer Overflow(popen) (деталі)

Ще в 2007 році Stefan Esser виявив цікаву уразливість в багатьох браузерах. Що призводить до міжсайтовового скриптінгу з використанням успадкованої кодової сторінки.

Уразливі продукти: Mozilla Firefox 1.5, Firefox 2.0, Microsoft Internet Explorer 7, Opera 9.

При відображенні сторінки у фреймі використовується кодова сторінка батьківської сторінки, що дозволяє організувати атаку міжсайтового скриптінгу за рахунок вибору, наприклад, UTF-7.

• Multiple Browsers Cross Domain Charset Inheritance Vulnerability (деталі)

Виявлена DoS уразливість в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6 (і можливо 7) на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Відмова браузера при рекурсивному створенні скрипта через createElement().

• IE Denial of Service Exploit (mshtml.dll) (деталі)

Зазначу, що в мене в IE6 даний експлоіт не спрацював (на Windows XP SP2). Вірогідно він вимагає іншу версію ОС або сервіс паку, чого не уточнив автор експлоіту.

Через три дні після виходу PHP 5.2.7, дана версія PHP була прибрана з сайту та її поширення було припинено. Це відбулося в зв’язку з уразливістю допущеною в PHP 5.2.7. Вона полагала в тому, що налаштування magic_quotes_gpc працювало некоректно - навіть якщо вони були включені, вони залишалися виключеними, (тобто magic quotes не працювали в даній версії PHP).

На наступний день, 08.12.2008, вийшов PHP 5.2.8. В якому була виправлена дана уразливість з непрацюючими magic quotes. Яка виникла в зв’язку з некоректним виправленням розширення filter.

По матеріалам http://www.php.net.

В 2007 році була виявлена можливість обходу захисту disable_functions через псевдоніми в PHP.

Уразливі версії: PHP 4.4, PHP 5.2.

При забороні функції через disable_functions вона може бути викликана по своєму псевдоніму.

• PHP-alias vulnerable: disable_functions bypass (деталі)