Websecurity - Веб безпека

Більш півмільйона веб-сторінок у Мережі беруть участь у троянській атаці, поширюючи шкідливу програму Zlob, повідомляється в блозі компанії Trend Micro. Погано налаштовані дошки оголошень і форуми на PHP дають можливість розміщати на їхніх сторінках ява-скрипти, що дозволяють троянській програмі завантажуватися на комп’ютери.

Заражаючи машину, Zlob змінює налаштування браузера і DNS, залишаючи її відкритою для атак. Поширення троянської програми йде через сервери, розташовані в Росії і США, а назва і стиль поширення нагадує ті, котрі використовувала російсько-українська команда хакерів, що створила “відео-троян”, що поширювався через Video ActiveX Object.

По матеріалам http://www.securitylab.ru.

Виявлені численні уразливості в браузері Opera.

Уразливі версії: Opera 9.26.

Численні ушкодження пам’яті, проблеми з введенням паролів.

• Opera: Multiple vulnerabilities (деталі)

На початку місяця, 01.05.2008, вийшов PHP 5.2.6, у якому виправлено більше 120 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.6:

• Виправлене можливе переповнення буфера в FastCGI SAPI.
• Виправлене цілочислене переповнення в printf().
• Виправлена уразливість, що описана в CVE-2008-0599.
• Виправлений обхід safe_mode в cURL.
• Краще виправлена уразливість з неповними багатобайтними символами в escapeshellcmd().
• Обновлений PCRE до версії 7.6.

По матеріалам http://www.php.net.

У ході конференції ShmooCon, що пройшла в лютому у Вашингтоні (США), експерти по комп’ютерній безпеці Чарльз Міллер і Діно Даі Зові підняли питання про недостатню поінформованість більшості користувачів онлайнових ігор про небезпеки, що грозять їх персональним даним.

Міллер і Зові зуміли залучити до себе увагу преси після виявлення в грудні минулого року серйозної уразливості в одному із самих популярних у світі онлайнових всесвітів Second Life. Мова йшла про переповнення буфера в модулі QuickTime, завдяки чому зловмисник міг захопити повний контроль над ігровим персонажем користувачів онлайнового світу. До усунення уразливості для захоплення аккаунта зловмиснику досить було провести свого віртуального персонажа в безпосередній близькості від аватара жертви. У ході ShmooCon Міллер і Зові продемонстрували ще один спосіб взлому з використанням усе тієї ж методики, заснованої на можливості “вбудовувати” у віртуальні предмети різноманітні медіадані.

Експерти Symantec уже висловили припущення, що число атак на віртуальні всесвіти в поточному році істотно збільшиться.

По матеріалам http://www.secblog.info.

Наприкінці квітня вийшов Invision Power Board v2.3.5, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Форум Invision Power Board (IP.Board) v2.3.5 (деталі)

Опубліковано нову версію форуму Invision Power Board v2.3.5. У цьому випуску покращена продуктивність IP.Board, покращений профіль користувача і виправлено більше 60 різних помилок.

Як повідомив bugtraq.ru наприкінці минулого року, практично відразу після виходу щомісячної порції виправлень Microsoft повідомила про те, що досліджує чергову уразливість в Internet Explorer, пов’язану з некоректною обробкою URL, отриманих від зовнішніх додатків. Раніше вже були подібні уразливості в IE.

Даній уразливості піддаються системи Windows XP і Windows Server 2003 із встановленим IE 7, Vista і системи з IE 6 невразливі. В даному випадку уразливим виявився IE 7, що наполегливо здоганяє по цьому показнику Internet Explorer 6. Причому, в зв’язку з зростанням популярності, більше уразливостей знаходять саме в IE 7.

05.05.2008

Виявлені численні уразливості в Adobe Flash Player.

Уразливі версії: Flash Player 8.0, Flash Player 9.0.

Можливе виконання коду, міжсайтовий скриптінг та підміна запитів.

• Adobe Flash Player “Declare Function (V7)” Heap Overflow (деталі)
• Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability (деталі)
• Adobe Flash Updates for Multiple Vulnerabilities (деталі)

10.05.2008

Додаткова інформація.

Виявлені числені уразливості в Adobe Flash Player.

Виявлені уразливості дозволяють віддаленому користувачу обійти деякі обмеження безпеки, виконати XSS напад і скомпрометувати цільову систему.

• Множественные уязвимости в Adobe Flash Player (деталі)

Пропоную вашій увазі декілька старих уразливостей в Microsoft Internet Explorer.

Ще в 2006 році в Microsoft Internet Explorer були знайдені Denial of Service уразливості.

Уразливі версії: Internet Explorer 6.0, Internet Explorer 6.0 SP1.

DoS через src атрибут тега frame.

• CVE-2006-6310 (деталі)

Уразливі версії: Internet Explorer 6.0.2900.2180.

DoS через style атрибут тега table.

• CVE-2006-6311 (деталі)

Виявлені численні уразливості в PHP.

Уразливі версії: PHP 4.4, PHP 5.2.

Слабкий генератор випадкових чисел у GENERATE_SEED(), обхід захисту від шелл-символів.

• Advisory SE-2008-03: PHP Multibyte Shell Command Escaping Bypass Vulnerability (деталі)
• Advisory SE-2008-02: PHP GENERATE_SEED() Weak Random Number Seed Vulnerability (деталі)

В минулому році були виявлені численні уразливості в Microsoft Internet Explorer і Mozilla Firefox.

Уразливі продукти: Internet Explorer 6, Internet Explorer 7, Firefox 2.0.

Короткочасні умови в Internet Explorer дозволяють міжсайтовий доступ. Міжсайтова підміна iframe у Mozilla Firefox. Обхід затримки в діалогах підтвердження завантаження файлів Mozilla Firefox. Підміна адресного рядка в Internet Explorer.

• Assorted browser vulnerabilities (деталі)
• MSIE page update race condition (CRITICAL) (деталі)
• Firefox Cross-site IFRAME hijacking (MAJOR) (деталі)
• Firefox file prompt delay bypass (MEDIUM) (деталі)
• MSIE6 URL bar spoofing (MEDIUM) (деталі)