Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Oracle.

Уразливі продукти: Oracle WebLogic Server 6.1, WebLogic Server 7.0, Oracle 9i, Oracle 10g, WebLogic Server 8.1, Oracle 11g, PeopleSoft Enterprise PeopleTools 8.48, PeopleSoft Enterprise PeopleTools 8.49, WebLogic Server 10.0, WebLogic Server 9.0, WebLogic Server 9.1, WebLogic Server 9.2, PeopleSoft Enterprise CRM 8.9, PeopleSoft Enterprise CRM 9.0.

Чергове квартальне оновлення закриває майже 50 уразливостей в усіх продуктах Oracle.

• SQL Injection in Oracle Database (DBMS_DEFER_SYS.DELETE_TRAN) (деталі)
• Cross-site scripting in Oracle Enterprise Manager (REFRESHCHOICE Parameter) (деталі)
• SQL Injection in Oracle Application Server (WWEXP_API_ENGINE) (деталі)
• Oracle Database Local Untrusted Library Path Vulnerability (деталі)
• Oracle Portal XSS fixed by CPU July 2008 (деталі)
• Oracle Application Server PLSQL injection flaw (деталі)
• Oracle Database Local Untrusted Library Path Vulnerability (деталі)
• Oracle Database DBMS_AQELM Package Buffer Overflow Vulnerability (деталі)
• Oracle Internet Directory Pre-Authentication LDAP DoS Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - July 2008 (деталі)

Виявлений витік пам’яті в Ruby (memory leak). Що пов’язаний з роботою сокетів.

Уразливі версії: Ruby 1.9 та попередні версії.

Для даної уразливості був розроблений експлоіт (для веб сервера Webrick, що постачається разом з Ruby).

• Ruby <= 1.9 (regex engine) Remote Socket Memory Leak Exploit (деталі)

На початку місяця, 07.08.2008, вийшов PHP 4.4.9, у якому виправлений ряд помилок і уразливостей. Даний реліз направлений на покращення безпеки гілки 4.4.x і є останнім релізом для PHP 4.4.

Серед секюріті покращень та виправлень в PHP 4.4.9:

• Обновлений PCRE до версії 7.7.
• Виправлене переповнення в memnstr().
• Виправлений збій в imageloadfont при використанні некоректних шрифтів.
• Виправлена проблема з обробкою open_basedir в розширенні curl.
• Виправлена проблема, коли mbstring.func_overload встановлений в .htaccess ставав глобальним.

По матеріалам http://www.php.net.

В липні минулого року була виявлена уразливість в Microsoft Internet Explorer. Про цю уразливість в IE, що може використовуватися для атаки на Firefox, я писав раніше.

Уразливі продукти: Microsoft Internet Explorer 6 та Internet Explorer 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Нефільтруються шел-символи при виклику додатків (зокрема Firefox), що відповідають за підтримку різних протоколів.

• CVE-2007-3670 (деталі)
• Multiple Vendor Multiple Product URI Handler Input Validation Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2007-23 (деталі)
• Internet Explorer 0day exploit (деталі)

Виявлене переповнення буфера в PCRE. Що могло призвести до виконання довільного коду, або до відмови в обслуговуванні в додатках, які використовують бібліотеку PCRE.

Переповнення буфера відбувалось при компіляції регулярних виразів.

• Updated pcre packages fix vulnerability (деталі)

На конференції Black Hat USA 2008, що пройшла у Лас Вегасі (США), компанія Microsoft оголосила про намір змінити схему співробітництва з партнерами, що розробляють ПЗ для забезпечення безпеки.

Регулярний вихід оновлень уплинув на розвиток зовнішніх загроз - часом програми атаки нових “проломів” у захисті з’являються вже протягом декількох годин після релізу патча. Наперегони з хакерами виявленням уразливостей займаються і розробники захисного ПЗ. Щоб спростити їхню діяльність і підвищити ефективність захисту користувачів у жовтні нинішнього року почне роботу програма Active Protections Program (MAPP), у рамках якої Microsoft буде інформувати партнерів про виправлення, внесених у систему безпеки новими оновленнями, можливих уразливостях, методах їхнього виявлення й умовах, необхідних для їхнього використання.

Ще одне нововведення дасть можливість користувачам оцінювати ризики при установці оновлень - з жовтня в щомісячному бюлетені безпеки Microsoft буде публікувати Exploitability Index, таблиці, що містять докладні дані про кожну уразливість й імовірність її використання.

По матеріалам http://ko-online.com.ua.

З 11 учасників хакерського угруповання, що викрало в США дані з 40 млн. платіжних карт, троє виявилися українцями. Міністерство юстиції США пред’явило їм обвинувачення по факту злочину.

Як повідомлялося раніше, хакери підключалися до незахищених бездротових мереж великих магазинів і впроваджували в них програми-сніфери. За допомогою цих програм вони одержували дані про пластикові карти, якими розплачувалися клієнти. По такій же схемі викрадалися дані про банківські карти в ресторанах.

Викрадені дані зберігалися на серверах у США і Східній Європі. Частина з них була продана хакерами іншим шахраям, частина використовувалася для створення дублікатів пластикових карт із метою зняття готівки у банкоматах.

Серед обвинувачуваних троє американців, троє українців, два китайці, один білорус і один естонець. Одинадцятий учасник угруповання відомий тільки під мережевим псевдонімом Delpiero. Усі хакери були затримані в різний час у різних частинах світу.

По матеріалам http://ain.com.ua.

До кінця липня число листів, що містять віруси, шкідливі програми, а також лінки на них, виросло в порівнянні зі звичайним у кілька разів, говориться в блозі Google для корпоративних клієнтів, де опублікований аналіз поштового трафіка за минулий місяць.

Судячи з представленого пошуковцев графіку, протягом 2008 року щоденне число “шкідливих” листів, адресованих клієнтам Google, рідко перевищувало два мільйони. 24 липня цей показник виріс до майже 10 мільйонів листів. З цими листами поширювалась лінка на відстеження посилки, нібито відправленої через службу UPS. На підробленому сайті користувачам пропонувалося скачати ПЗ, що виявлялося шкідливою програмою.

Google відзначає, що багато розсилок тепер не прикладають шкідливу програму до листа, а лише дають на неї лінку, маскуючи її, наприклад, під новини про останні події. Проте, “традиційні” методи зараження також використовуються. Зокрема, 5 серпня було виявлене велике число повідомлень із зашифрованими RAR-аттачами.

Дані Google засновані на інформації серверів компанії Postini, що займається збереженням пошти користувачів на своїх серверах і забезпеченням безпеки корпоративної пошти. Google купив Postini в 2007 році.

По матеріалам http://itnews.com.ua.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6 та Internet Explorer 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Численні ушкодження пам’яті та міжсайтовий скриптінг через MHTML.

• Internet Explorer Zone Elevation Restrictions Bypass and Security Zone Restrictions Bypass (деталі)
• Microsoft Internet Explorer XHTML Rendering Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS08-048 - Important Security Update for Outlook Express and Windows Mail (951066) (деталі)
• Microsoft Security Bulletin MS08-045 - Critical Cumulative Security Update for Internet Explorer (953838) (деталі)

У “вівторок патчів”, 12 серпня, Microsoft випустила патчі та оновлення, кількість яких стала своєрідним рекордом за останні 2 роки. У цілому було запропоновано 11 бюлетенів безпеки для закриття 26 уразливостей у програмах.

Оновлення включають загальні патчі безпеки для Vista, Internet Explorer 7 і Microsoft Office 2007. Два виправлення запропоновані для уразливостей, що використовуються в кібер-атаках. Виправлені уразливості, що могли бути використані при перегляді заражених зображень чи відвідуванні сайтів зловмисників.

По матеріалам http://itnews.com.ua.