Websecurity - Веб безпека

У ПЗ Adobe, що використовується різними онлайновими відеосервісами, виявили дірку в системі безпеки, що дозволяє безкоштовно записувати потокове відео.

Уразливість наявна у відеосерверах Adobe Flash, які транслюють відео для Flash плеєрів, що існують як стаціонарні додатки та у вигляді плагінів до браузерів.

Програмне забезпечення не кодує онлайн-контент, воно шифрує лише команди, що посилаються відеоплеєру, наприклад, start і stop. Щоб підвищити швидкість скачувания, розробники Adobe зневажили однією обов’язковою функцією в системі безпеки, що захищає з’єднання між серверним ПЗ Adobe і його плеєрами.

Представник Amazon.com заявив, що контент сервісу “Відео по запиту”, що пропонує 40000 фільмів і телепрограм, не може стати об’єктом для піратства. Однак, під час тестів, що проводила Reuters, виявилося, що щонайменше одна прогрaма, призначена для запису потокового відео, Replay Media Catcher, може записувати фільми з Amazon та інших сайтів, що використовують відеоплеєр і технологію кодування Adobe.

Серед можливих варіантів захисту онлайн-видео - DRM-технологія (Digital Rights Management), що дозволяє контролювати поширення контента і захищає авторські права на цифрові твори.

По матеріалам http://itnews.com.ua.

P.S.

Борцям за захист онлайн-відео не варто забувати про універсальний метод запису відео, що дозволяє обійти будь-які технології захисту від копіювання - це захоплення кадрів екрану .

Компанія Invision Power Services випустила оновлення для форумів Invision Power Board версій 2.3.x, що поліпшуює систему запобігання реєстрацій ботів. Тому що в Captcha, яка використовувалася в ІP.Board 2.3.x була виявлена уразливість, що дозволяла спам-ботам обходити її.

Зазначу, що сам стикнувся в останні дні з численими реєстраціями спамерів на своєму форумі. На початку жовтня в Інтернеті розпочалися активні спам-атаки на форуми на IPB.

Патч виправляє Insufficient Anti-automation уразливість в xmlout.php (в капчі).

Уразливі версії Invision Power Board v2.3.5 та попередні версії.

• Обновление системы защиты от спама (деталі)

В грудні минулого року були виявленні численні уразливості в Adobe Flash Player. Що дозволяють віддаленому користувачу обійти деякі обмеження безпеки, зробити XSS напад, одержати доступ до важливих даних, викликати відмову в обслуговуванні та скомпрометувати цільову систему.

Уразливі продукти: Adobe Flash CS3, Adobe Flash Player 9.x, Adobe Flex 2.x, Macromedia Flash 8.x, Macromedia Flash Player 7.x, Macromedia Flash Player 8.x.

1. Уразливість існує через помилку при обробці регулярних виразів.

2. Уразливість існує через невідому помилку при обробці SWF файлів.

3. Уразливість існує через помилку в процесі перетворення імені хоста в IP адресу.

4. Уразливість існує через помилку при застосуванні файлів міждоменної політики.

5. Уразливість існує через недостатню обробку деяких параметрів у протоколі “asfunction:”.

6. Уразливість існує через недостатню обробку вхідних даних при виклику функції “navigateToURL”.

7. Уразливість існує через невідому помилку, що дозволяє змінити HTTP заголовки і зробити HTTP Request Splitting атаку.

8. Уразливість існує через помилки в реалізації Socket і XMLSocket ActionScript класів.

9. Уразливість існує через помилку при установці привілеїв на доступ до пам’яті в Adobe Flash Player для Linux.

10. Уразливість існує через невідому помилку в Adobe Flash Player і Opera для Mac OS X.

• Множественные уязвимости в Adobe Flash Player (деталі)

На початку вересня розробники Invision Power Board випустили оновлення для безпеки Invision Power Board (IP.Board) лінійки версій 2.2 та 2.3.

Виправлення критичне. Даний патч виправляє SQL Injection уразливість в xmlout.php. Про дану SQL Injection в IPB я вже писав.

Уразливі версії Invision Power Board v2.3.5 (версія до 02.09.2008) та попередні версії.

• Обновление безопасности Invision Power Board 2.2.x-2.3.x (деталі)

Нещодавно була виявлена DoS уразливість в браузері Microsoft Internet Explorer 7 (що також наявна в IE6). Для даної уразливості був розроблений експлоіт.

• MS Internet Explorer 7 Denial Of Service Exploit (деталі)

Дана атака призводить до DoS в IE через споживання усієї оперативної пам’яті комп’ютера.

Уразливі версії Microsoft Internet Explorer 7, Internet Explorer 6 та попередні версії.

Наприкінці весерсня, 25.09.2008, вийшла нова версія браузеру Mozilla Firefox 3.0.2. В даній версії виправлені численні уразливості, що були знайдені в Firefox 3.0.x, та виправлені деякі баги.

Зокрема в Firefox 3.0.2 були виправлені наступні уразливості:

• resource: traversal vulnerabilities
• BOM characters stripped from JavaScript before execution
• Crashes with evidence of memory corruption (rv:1.9.0.2/1.8.1.17)
• Privilege escalation via XPCnativeWrapper pollution
• Forced mouse drag

Перші дві з п’яти уразливостей відмічені як середнього ризику, наступні дві як критичні, а остання як низького ризику.

На наступний день, 26.09.2008, вийшла нова версія браузеру Mozilla Firefox 3.0.3. Дана версія виправляє баг, що був виявлений в Firefox 3.0.2, коли користувачі не могли отримати раніше збережені паролі й не могли зберегти нові паролі.

По матеріалам http://www.mozilla.org.

Позавчора, 28.09.2008, була виявлена DoS уразливість в браузері Mozilla Firefox. Причому дірка працює в останній версії Firefox 3.0.3, що вийшла нещодавно. Для даної уразливості був розроблений експлоіт.

• Mozilla Firefox 3.0.3 User Interface Null Pointer Dereference Crash (деталі)

Дана атака призводить до DoS в Firefox через деспетчер користувацького інтерфейсу.

Уразливі версії Mozilla Firefox 3.0.3 та попередні версії.

По інформації www.securitylab.ru, в цьому місяці Microsoft випустила чотири патчі. Що значно менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft представила чотири заплатки. Всі чотири патчі мають критичний рейтинг. Два бюлетені призначені для Windows, один для Office, останній патч усуває уразливості в Microsoft Windows, Internet Explorer, .NET Framework, Office, SQL Server і Visual Studio.

Вчора, 28.09.2008, була виявлена нова DoS уразливість в браузері Google Chrome. Для даної уразливості був розроблений експлоіт.

• Google Chrome 0.2.149.30 Window Object Suppressing DoS Exploit (деталі)

Дана атака призводить до DoS в Хромі через автоматичне закриття браузера з JavaScript.

Уразливі версії Google Chrome 0.2.149.30 та попередні версії.

В липні були виявлені численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey. Після яких у вересні я виявив нові дірки в Firefox (3.0.x і попередніх версіях, а також вони стосуються і Seamonkey), що зокрема оприлюднив в Дні багів в браузерах.

Уразливі продукти: Mozilla Firefox 2.0, Thunderbird 2.0, Seamonkey 1.1, Firefox 3.0.

Переповнення індексу масиву при розборі CSS, відмова при розборі GIF під Mac OS X, виконання коду при запуску через обробник URI.

• Mozilla Firefox CSSValue Array Memory Corruption Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2008-34 (деталі)
• Mozilla Foundation Security Advisory 2008-35 (деталі)
• Mozilla Foundation Security Advisory 2008-36 (деталі)