Websecurity - Веб безпека

Співробітники лабораторії McAfee Avert Labs зафіксували другу в поточному місяці масштабну хакерську атаку.

На минулому тижні стало відомо, що невідомим зловмисникам удалося впровадити шкідливий JavaScript-код відразу в 10 тисяч веб-сторінок. Відвідувачі таких ресурсів автоматично перенаправлялися на розташований у Китаї сервер, з якого виконувалася спроба взлому машини жертви через діри в операційних системах Windows, плеєрі RealPlayer і ряді інших додатків.

Цього разу експерти McAfee Avert Labs повідомляють про те, що кіберзлочинці змогли впровадити JavaScript-код у 200 тисяч веб-сторінок. Більшість уражених ресурсів - це форуми, що працюють на базі системи phpBB.

Як і у випадку з першою атакою, відвідувач сторінки зі шкідливим кодом перенаправляється на інший сервер. Однак потім використовується трохи інша тактика захоплення контролю над віддаленим комп’ютером. Замість того, щоб експлуатувати діри в ПЗ, зловмисники застосовують методи соціального інжиніринга. Користувачу пропонується завантажити й встановити деякий відеокодек для перегляду “контента для дорослих”. Однак при спробі інсталяції цього лжекодека на екран виводиться повідомлення про помилку, а в систему непомітно довантажуються трояни та інші шкідливі компоненти.

По матеріалам http://www.secblog.info.

Виявлена можливість витоку інформації в Apache при використанні Smbfs.

Уразливі продукти: Apache.

Можливе одержання вихідного коду скрипта.

• smbfs and apache+php source code disclosure (деталі)

Виявлені уразливості в Apache, що дозволяють віддаленому користувачу виконати XSS напад і викликати відмову в обслуговуванні додатка.

Уразливі версії: Apache 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2 и 2.2.0.

1. Уразливість існує через недостатню обробку вхідних даних у модулі mod_imagemap. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_imagemap повинний бути включений і mapfile повинний бути публічно доступний.

2. Уразливість існує через недостатню обробку вхідних даних у параметрі “refresh” у модулі mod_status. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_status повинний бути включений і сторінка статистики повинна бути публічно доступна.

3. Уразливість існує через недостатню обробку вхідних даних у рядках “worker route” і “worker redirect” у модулі mod_proxy_balancer. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_proxy_balancer повинний бути включений.

4. Уразливість існує через помилку у функціоналі менеджера балансування навантаження в модулі mod_proxy_balancer. Зловмисник може вказати невірне ім’я балансувальника і викликати відмову в обслуговуванні.

5. Уразливість у модулі mod_proxy_ftp при сконфігурованому перенаправляючому проксі. Віддалений користувач може виконати XSS атаку.

• Множественные уязвимости в Apache (деталі)

Фахівці лабораторії McAfee Avert Labs виявили масштабний взлом сайтів, у ході якого невідомим зловмисникам удалося впровадити шкідливий код відразу в 10 тисяч веб-строрінок.

Перші ознаки масованої атаки були відзначені 12 березня. Кіберзлочинці, використовуючи спеціалізований програмний інструмент, упроваджували до складу недостатньо добре захищених веб-ресурсів JavaScript код. Користувач, що потрапив на такий сайт, автоматично перенаправлявся на сервер, територіально розташований у Китаї. І вже з цього сервера на комп’ютер жертви зловмисники намагалися впровадити шкідливе ПЗ, експлуатуючи діри в операційних системах Windows, плеєрі RealPlayer і ряді інших додатків. У випадку вдалого взлому машини на неї впроваджувався компонент, що відкриває чорний вхід у систему.

Атака торкнулася сайтів різної тематики. Серед взломаних ресурсів присутні урядові і туристичні сайти, а також сайти, присвячені різним хоббі. Співробітники McAfee Avert Labs підкреслюють, що дана атака стала однією із самих великих у своєму роді. На даний момент, утім, багато веб-сторінок вже очищені від шкідливого коду.

Експерт McAfee Крейг Шмугар відзначає, що компанії, що спеціалізуються на питаннях комп’ютерної безпеки, постійно радять користувачам для уникнення неприємностей не відвідувати підозрілі ресурси. Однак нинішня атака наочно демонструє, що небезпеку можуть представляти навіть цілком легальні і добре відомі сайти.

По матеріалам http://www.secblog.info.

В минулому році були виявлені DoS та Information Leakage уразливості в MySQL.

Уразливі версії: MySQL 5.0.

Відмова сервера в процесі аутентифікації, підвищення привілеїв через CREATE TABLE LIKE.

• MySQL: Denial of Service and information leakage (деталі)

Виявлені численні уразливості в MySQL.

Уразливі версії: MySQL 4.1, MySQL 5.0.

Відмова в обслуговуванні, підвищення привілеїв.

• Ubuntu Security Notice USN-528-1 - mysql-dfsg-5.0 vulnerabilities (деталі)

Виявлена можливість DoS атаки в MySQL.

Уразливі версії: MySQL 5.0, MySQL 5.1, MySQL 6.0.

В federated движку MySQL можливий Denial of Service через запит SHOW TABLE STATUS.

• Denial of Service in federated engine in MySQL 5.0.x, 5.1.x and 6.0.x (деталі)

Виявлені численні уразливості безпеки в бібліотеці YaSSL та MySQL.

Уразливі продукти: MySQL 6.0, yaSSL 1.7.

Переповнення буфера в ProcessOldClientHello, переповнення буфера в операторі >>, вичерпання пам’яті в HASHwithTransform::Update.

• Pre-auth buffer-overflow in mySQL through yaSSL (деталі)
• Multiple vulnerabilities in yaSSL 1.7.5 (деталі)
• Exploits mySQL <= 6.0.3 (yaSSL <= 1.7.5) pre-auth buffer-overflow (деталі)
• Exploits yaSSL <= 1.7.5 multiple vulnerabilities (деталі)

Росія вийшла в лідери по поширенню комп’ютерних вірусів, шкідливого і шпигунського програмного забезпечення.

27,89% шкідливих програм приходиться на частку Росії, повідомляє PC Tools, виробник засобів захисту від небажаного ПЗ. Росія обігнала старих лідерів - Китай і США. Китай відповідальний за 26,52% шкідливого ПЗ, а США - за 9,98%.

Аналітики з PC Tools вважають, що закриття мережі Russian Business Network (RBN), що відома в США як мережа кіберзлочинності, не вплинуло на обсяги розповсюджуваного російського шкідливого ПЗ. “Вакуум, що залишився після знищення мережі RBN, заповнився іншими розповсюджувачами шкідливого ПЗ”, - відзначив Сергій Шевченко, експерт із PC Tools.

Відповідно до повідомлень PC Tools, лідерами по поширенню шкідливого ПЗ є Бразилія (6,77%), Україна (5,45%), Великобританія (5,34%), Франція (3,81%), Німеччина (2,14%), Швеція (1,6%) та Іспанія (1,37%).

По матеріалам http://www.cnews.ru.

Виявлені численні уразливості безпеки в браузері Opera.

Уразливі версії: Opera 9.25.

Витік інформації при завантаженні файлу, виконання скриптів через коментарі зображень, обхід фільтрації DOM.

• Opera: Multiple vulnerabilities (деталі)