Websecurity - Веб безпека

Наприкінці квітня вийшов Invision Power Board v2.3.5, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Форум Invision Power Board (IP.Board) v2.3.5 (деталі)

Опубліковано нову версію форуму Invision Power Board v2.3.5. У цьому випуску покращена продуктивність IP.Board, покращений профіль користувача і виправлено більше 60 різних помилок.

Як повідомив bugtraq.ru наприкінці минулого року, практично відразу після виходу щомісячної порції виправлень Microsoft повідомила про те, що досліджує чергову уразливість в Internet Explorer, пов’язану з некоректною обробкою URL, отриманих від зовнішніх додатків. Раніше вже були подібні уразливості в IE.

Даній уразливості піддаються системи Windows XP і Windows Server 2003 із встановленим IE 7, Vista і системи з IE 6 невразливі. В даному випадку уразливим виявився IE 7, що наполегливо здоганяє по цьому показнику Internet Explorer 6. Причому, в зв’язку з зростанням популярності, більше уразливостей знаходять саме в IE 7.

05.05.2008

Виявлені численні уразливості в Adobe Flash Player.

Уразливі версії: Flash Player 8.0, Flash Player 9.0.

Можливе виконання коду, міжсайтовий скриптінг та підміна запитів.

• Adobe Flash Player “Declare Function (V7)” Heap Overflow (деталі)
• Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability (деталі)
• Adobe Flash Updates for Multiple Vulnerabilities (деталі)

10.05.2008

Додаткова інформація.

Виявлені числені уразливості в Adobe Flash Player.

Виявлені уразливості дозволяють віддаленому користувачу обійти деякі обмеження безпеки, виконати XSS напад і скомпрометувати цільову систему.

• Множественные уязвимости в Adobe Flash Player (деталі)

Пропоную вашій увазі декілька старих уразливостей в Microsoft Internet Explorer.

Ще в 2006 році в Microsoft Internet Explorer були знайдені Denial of Service уразливості.

Уразливі версії: Internet Explorer 6.0, Internet Explorer 6.0 SP1.

DoS через src атрибут тега frame.

• CVE-2006-6310 (деталі)

Уразливі версії: Internet Explorer 6.0.2900.2180.

DoS через style атрибут тега table.

• CVE-2006-6311 (деталі)

Виявлені численні уразливості в PHP.

Уразливі версії: PHP 4.4, PHP 5.2.

Слабкий генератор випадкових чисел у GENERATE_SEED(), обхід захисту від шелл-символів.

• Advisory SE-2008-03: PHP Multibyte Shell Command Escaping Bypass Vulnerability (деталі)
• Advisory SE-2008-02: PHP GENERATE_SEED() Weak Random Number Seed Vulnerability (деталі)

В минулому році були виявлені численні уразливості в Microsoft Internet Explorer і Mozilla Firefox.

Уразливі продукти: Internet Explorer 6, Internet Explorer 7, Firefox 2.0.

Короткочасні умови в Internet Explorer дозволяють міжсайтовий доступ. Міжсайтова підміна iframe у Mozilla Firefox. Обхід затримки в діалогах підтвердження завантаження файлів Mozilla Firefox. Підміна адресного рядка в Internet Explorer.

• Assorted browser vulnerabilities (деталі)
• MSIE page update race condition (CRITICAL) (деталі)
• Firefox Cross-site IFRAME hijacking (MAJOR) (деталі)
• Firefox file prompt delay bypass (MEDIUM) (деталі)
• MSIE6 URL bar spoofing (MEDIUM) (деталі)

Виявленні численні уразливості в продуктах Oracle.

Уразливі продукти: Oracle Database 10g, Oracle Application Server 10g, Oracle E-Business Suite 11i, Oracle Enterprise Manager 10.x, Oracle PeopleSoft Enterprise Tools 8.x, Oracle9i Database Enterprise Edition, Oracle9i Database Standard Edition, Oracle Developer Suite 10g, Oracle9i Developer Suite, Oracle9i Application Server.

Дані уразливості дозволяють віддаленому користувачу виконати XSS напад, викликати відмову в обслуговуванні, одержати доступ до важливих даних через SQL Injection і скомпрометувати цільову систему.

• Множественные уязвимости в продуктах Oracle (деталі)

Управління Служби безпеки України у Вінницькій області затримало 20-літнього студента, що за допомогою Інтернету крав гроші з кредитних карток приватних осіб. Про це повідомила прес-група УСБУ у Вінницькій області.

Відповідно до повідомлення, 20-літній студент одного з місцевих вищих навчальних закладів створив механізм викрадення особистих коштів громадян з їхніх карткових рахунків у банківських установах. Для цього восени минулого року він розмістив у мережі Інтернет фіктивне оголошення щодо працевлаштування за рубежем у неіснуючій компанії США. Бажаючі повинні були послати резюме у вигляді заповненої анкети, у якій серед іншого вказати реквізити платіжної картки. Одержавши необхідний дані, студент зайшов на сайт магазина мобільного зв’язку і після декількох невдалих спроб, несанкціоновано, без відома банківської установи і власника картки, втрутився в роботу автоматизованих систем, що мають відношення до обслуговування карткових рахунків. Студент кілька разів зняв з картки кошти.

По даному факту СБУ порушила кримінальну справу по ознаках злочинів, передбачених ч.2 ст.361 (несанкціоноване втручання в роботу комп’ютерних мереж, що привело до втрати і підробки інформації) і ч.1 ст.185 (крадіжка) Кримінального кодексу України.

По матеріалам http://ain.com.ua.

В даному випадку студент займався фішингом (для отримання реквізитів платіжних карток). Як я вже казав, сьогодні фішинг є дуже актуальною темою. До речі, 185 стаття тут недоречна, бо це не крадіжка, а шахрайство (стаття 190). Але в будь-якому разі фішера впіймали, тому не варто займатися подібною справою.

Цікаву заяву нещодавно зробила Paypal. В контексті боротьби з загрозою фішинга, про яку я розповідав в своєму виступі в телепередачі на 1+1 і особливо в виступі на Інтері.

Представники Paypal говорять, що дозволяти своїм клієнтам робити фінансові операції через небезпечні браузери “те ж саме, що продавати автомобілі без ременів безпеки”. Ця система інтернет-платежів збирається заборонити користувачам робити платежі через браузери, не оснащені захистом від фішинга.

За словами начальника служби інформаційної безпеки Paypal, Майкла Баррета, це буде зроблено, щоб не допустити крадіжку особистих даних користувачів і запобігти спробам шахрайства.

Варто відзначити, що хоча Баррет не називав браузер Apple Safari, відомо, що в ньому немає ні захисту від фішинга, ні підтримки сертифікатів EV SSL. Розробники Firefox і Opera оголосили, що в нові версії їхніх браузерів буде вбудована підтримка EV SSL.

По матеріалам http://www.secblog.info.

P.S.

Стимулювання користувачів бути більш обережними в Мережі й протидіяти фішерським атакам, це звичайно добре. Але Paypal забула про те, що окрім вбудованих в браузери існують ще й інші антифішинг додатки (як у вигляді плагінів чи тулбарів, так і окремі додатки). Наявність котрих їм виявити буде дуже не просто, тому користувачі даних додатків виявляться обділеними, бо не зможуть повноцінно користуватися системою. А також варто пам’ятати, що антифішинг захист в браузері може бути відключеним (що також буде проблематично виявити).

15.02.2008

Виявлене переповнення буфера в PCRE. Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні і скомпрометувати цільову систему.

Уразливі версії: PCRE версії до 7.6.

Уразливість існує через помилку перевірки границь даних при обробці класів символів. Зловмисник може за допомогою занадто довгого класу символів, з кодом більш 255, викликати переповнення буфера і виконати довільний код на цільовій системі.

Бібліотека Perl Compatible Regular Expressions (PCRE) широко використовується в різних програмних продуктах, тому дана уразливість може торкнутися багатьох продуктів. Всім користувачам даної бібліотеки потрібно оновити її на останню версію.

• Переполнение буфера в PCRE (деталі)

01.05.2008

Додаткова інформація.

• Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability (деталі)
• Python: PCRE Integer overflow (деталі)
• New pcre3 packages fix arbitrary code execution (деталі)