Websecurity - Веб безпека

З 11 учасників хакерського угруповання, що викрало в США дані з 40 млн. платіжних карт, троє виявилися українцями. Міністерство юстиції США пред’явило їм обвинувачення по факту злочину.

Як повідомлялося раніше, хакери підключалися до незахищених бездротових мереж великих магазинів і впроваджували в них програми-сніфери. За допомогою цих програм вони одержували дані про пластикові карти, якими розплачувалися клієнти. По такій же схемі викрадалися дані про банківські карти в ресторанах.

Викрадені дані зберігалися на серверах у США і Східній Європі. Частина з них була продана хакерами іншим шахраям, частина використовувалася для створення дублікатів пластикових карт із метою зняття готівки у банкоматах.

Серед обвинувачуваних троє американців, троє українців, два китайці, один білорус і один естонець. Одинадцятий учасник угруповання відомий тільки під мережевим псевдонімом Delpiero. Усі хакери були затримані в різний час у різних частинах світу.

По матеріалам http://ain.com.ua.

До кінця липня число листів, що містять віруси, шкідливі програми, а також лінки на них, виросло в порівнянні зі звичайним у кілька разів, говориться в блозі Google для корпоративних клієнтів, де опублікований аналіз поштового трафіка за минулий місяць.

Судячи з представленого пошуковцев графіку, протягом 2008 року щоденне число “шкідливих” листів, адресованих клієнтам Google, рідко перевищувало два мільйони. 24 липня цей показник виріс до майже 10 мільйонів листів. З цими листами поширювалась лінка на відстеження посилки, нібито відправленої через службу UPS. На підробленому сайті користувачам пропонувалося скачати ПЗ, що виявлялося шкідливою програмою.

Google відзначає, що багато розсилок тепер не прикладають шкідливу програму до листа, а лише дають на неї лінку, маскуючи її, наприклад, під новини про останні події. Проте, “традиційні” методи зараження також використовуються. Зокрема, 5 серпня було виявлене велике число повідомлень із зашифрованими RAR-аттачами.

Дані Google засновані на інформації серверів компанії Postini, що займається збереженням пошти користувачів на своїх серверах і забезпеченням безпеки корпоративної пошти. Google купив Postini в 2007 році.

По матеріалам http://itnews.com.ua.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6 та Internet Explorer 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Численні ушкодження пам’яті та міжсайтовий скриптінг через MHTML.

• Internet Explorer Zone Elevation Restrictions Bypass and Security Zone Restrictions Bypass (деталі)
• Microsoft Internet Explorer XHTML Rendering Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS08-048 - Important Security Update for Outlook Express and Windows Mail (951066) (деталі)
• Microsoft Security Bulletin MS08-045 - Critical Cumulative Security Update for Internet Explorer (953838) (деталі)

У “вівторок патчів”, 12 серпня, Microsoft випустила патчі та оновлення, кількість яких стала своєрідним рекордом за останні 2 роки. У цілому було запропоновано 11 бюлетенів безпеки для закриття 26 уразливостей у програмах.

Оновлення включають загальні патчі безпеки для Vista, Internet Explorer 7 і Microsoft Office 2007. Два виправлення запропоновані для уразливостей, що використовуються в кібер-атаках. Виправлені уразливості, що могли бути використані при перегляді заражених зображень чи відвідуванні сайтів зловмисників.

По матеріалам http://itnews.com.ua.

Adobe призвала користувачів ігнорувати лінки, що з’явилися в соціальних мережах, на інсталятор Flash Plaуer, що ведуть на сайти, не приналежні компанії.

Так, днями в Twitter стала поширюватися лінка на відео, при спробі перегляду якого користувачам пропонувалося скачати щось, що називає себе Flash Player’ом, і приводить до встановлення на клієнтській системі десятка шпигунських програм. Для перевірки легітимності інсталятора в windows-версії можна вибрати у властивостях файлу закладку “digital signatures” - в оригіналу там повинні бути слова про “Adobe Systems, Incorporated”.

По матеріалам http://bugtraq.ru.

P.S.

Ось так почали використовувати Flash Player, щоб через його підробку встановлювати шкідливе програмне забезпечення. Раніше для цього широко використовували підроблені кодеки, а тепер черга дішла і до Flash.

В минулому році була виявлена можливість підміни вмісту в Microsoft Internet Explorer (content spoofing).

Уразливі продукти: Microsoft Internet Explorer на Windows XP, Windows 2003 Server, Windows Vista.

Використовуючи document.open() можна імітувати перехід на інший сайт, залишившись у контексті попередньої сторінки.

• MSIE7 entrapment again (+ FF tidbit) (деталі)

Виявлений міжсайтовий скриптінг в Apache mod_proxy_ftp.

Уразливі версії: Apache 2.0, Apache 2.2.

Міжсайтовий скриптінг при відображені вмісту FTP-сервера.

• Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting (деталі)

Виявлені численні уразливості безпеки в Python.

Уразливі версії: Python 2.4, Python 2.5.

Цілочислені переповнення, переповнення буфера, криптографічні проблеми в різних функціях.

• Python: Multiple vulnerabilities (деталі)

У зв’язку з наближенням конференції Black Hat, що зараз проходить в Лас-Вегасі, в Інтернеті з’явилося чимало попередньої інформації про шкідливі винаходи, що будуть продемонстровані широкій публіці.

Один з анонсів розповідає про зображення, що здатне обходити системи захисту сайтів і захоплювати керування аккаунтами інших користувачів. Така атака можлива на порталах, що дозволяють завантажувати в профіль зображення. Авторство знайденого способу належить компанії NGS Software, вона назвала придуманий комбінований формат GIFAR, тому що він складається з картинки формату GIF і JAR аплета.

На конференції розробники покажуть, як можна створювати файли GIFAR і захищатися від них. Для користувачів файл буде виглядати як звичайне зображення GIF, зате в браузері він буде запущений з позиції Java Archive. Приблизна схема роботи нападників виглядає так: на сайті створюється профіль із зображенням, хакери різними шляхами заманюють відвідувачів і в результаті відкривається доступ, наприклад, до акаунту Facebook відвідувача. Через повсюдну підтримку Java атака стає універсальною.

По матеріалам http://www.securitylab.ru.

23.05.2008

В СУБД Oracle виявлені новий клас уразливостей - Lateral-атаки на впровадження SQL.

Можлива SQL-ін’єкція в неконтрольованих процедурах, використовуючи, наприклад, зміну формату виведення дати через ALTER SESSION.

• A New Class of Vulnerability in Oracle: Lateral SQL Injection (деталі)

01.08.2008

Додаткова інформація.

• Lateral SQL Injection Revisited - No Special Privs Required (деталі)