Websecurity - Веб безпека

Компанія Гугл має наміри запропонувати корпоративним клієнтам SaaS-рішення в галузі безпеки.

Ресурсом і основою для них стануть розробки, отримані компанією в результаті поглинання в 2007 році фірм GreenBorder Technologies і Postini. Травнева покупка дала Google технології захисту ПК за допомогою переміщення веб-браузерів Microsoft Internet Explorer і Mozilla Firefox і поштового клієнта Outlook у спеціальне, ізольоване середовище. А завдяки липневому придбанню в розпорядження до пошукового гіганта потрапили інструменти захисту систем обміну повідомленнями. Останні недавно були інтегровані в рішення Google Apps Premier Edition. Очевидно, не варто недооцінювати і факт одержання Google інженерів компаній, що будуть не тільки поєднувати сервіси забезпечення безпеки з прикладними рішеннями, але і працювати над новими захисними засобами.

Варто відмітити, що цілі даної ініціативи Google відмінні від цілей постачальників SaaS-рішень забезпечення безпеки. Якщо останні (наприклад, Symantec), як правило, пропонуючи нову категорію продуктів, прагнуть захопити частину ринку захисних онлайн-засобів, що швидко розвивається, то для першої головне - за допомогою таких рішень вселити в людей упевненість у цілості їх даних. Адже однією з головних перешкод до застосування сервісного ПЗ є побоювання за надійність збереженої на іншому кінці земної кулі інформації і відсутність належного рівня контролю над часом надзвичайно важливими даними.

По матеріалам http://www.ko.itc.ua.

Браузер Firefox від Mozilla є набагато більш небезпечним, ніж Internet Explorer, заявила Microsoft у доповіді “Аналіз уязвимостей Internet Explorer і Firefox”.

Автор доповіді, Джеф Джонс, директор по стратегії безпеки групи Microsoft Trustworthy Computing, порівнює кількість і ступінь небезпеки уразливостей в обох браузерах з моменту виходу Firefox у листопаді 2004 р. За три роки в різних версіях IE було усунуто 87 уразливостей, а в Firefox - 199. Якщо порівнювати уразливості по степені небезпеки (”висока”, “низька”, “середня”), то Firefox лідирує по кількості у всіх категоріях.

Доповідь викликала негативну реакцію серед прихильників Mozilla. Головний ідеолог Mozilla Майк Шейвер назвав дослідження Microsoft неспроможним, ледачим і навіть “злочинним”.

“Якщо в Америці лікують зуби частіше, ніж в Африці, то це не значить, що наші зуби гірше”, - сказав Шейвер. Microsoft, на його думку, зробила висновок з точністю до навпаки: якщо уразливостей усунуто більше, те браузер, відповідно, безпечніше, стверджує він. Більш того, Microsoft не врахувала свої недокументовані патчі і патчі, включені в Service Pack. І, нарешті, один бюлетень безпеки Microsoft може містити декілька патчів, а в доповіді не зазначено, чи була врахована ця деталь. “Для того щоб виглядати краще Microsoft, - написав Шейвер у своєму блозі, - необхідно перестати виправляти й обнародувати уразливості, знайдені самими розробниками”.

По матеріалам http://www.securitylab.ru.

P.S.

Іншого від Microsoft і не почуєш: тільки заяви, що продукти конкурентів (будь то браузери, ОС чи інші додатки) менш безпечні ніж іхні, хоча хакають щодня в основному саме користувачів продуктів Майкрософт. Правду сказати вони не можуть . Зато діри в Internet Explorer, баги в патчах та дослідження незалежних компаній, говорять про наявність серйозних проблем безпеки в IE.

Виявлена можливість доступу до захищених файлів у Microsoft IIS (unauthorized access).

Уразливі версії: Microsoft IIS 5 на Windows 2000 Server.

Через шаблон null.htw можливий доступ до файлів сервера, що вимагають аутентифікацію.

• Microsoft IIS5 NTLM and Basic authentication bypass (деталі)

Виявлено переполнение буфера в бібліотеці t1lib та в PHP, що використовує дану бібліотеку.

Уразливі версії: PHP 4.4, PHP 5.2, t1lib 5.1.

Переповнення буфера в функції intT1_Env_GetCompletePath().

• T1Lib Buffer Overflow Vulnerability (деталі)
• t1lib vulnerability (деталі)

Виявлені численні уразливості в PCRE, що дозволяють віддаленому користувачу одержати доступ до важливих даних, викликати відмову в обслуговуванні та скомпрометувати цільову систему.

Уразливі версії: PCRE версії до 7.3.

1. Уразливість існує через помилку при обробці “\Q\E” послідовностей з відділеними (orphan) “\E” кодами. Зловмисник може розсинхронизувати скомпільоване регулярне вираження і виконати ушкоджені байт-коди.

2. Уразливість існує через помилку при обробці різних класів символів. Зловмисник може змусити додаток звернутися до неіснуючої ячейки пам’яті і викликати відмову в обслуговуванні.

3. Уразливість існує через помилку при обробці різних “\X?\d” і “\P{L}?\d” шаблонів у відмінному від UTF-8 режимі. Зловмисник може викликати відмову в обслуговуванні процесу чи одержати доступ до деяких даних.

4. Уразливість існує через помилку при пошуку лапок чи круглих дужок. Зловмисник може за допомогою спеціально сформованого рядка аварійно завершити роботу додатка.

5. Цілочислені переповнення буфера виявлені при обробці escape-символів. Віддалений користувач може викликати ушкодження динамічної пам’яті й аварійно завершити роботу додатка чи виконати довільний код на цільовій системі.

6. Уразливість існує через помилку при обробці “\P” і “\P{x}” послідовностей. Зловмисник може викликати зациклення додатка чи переповнення динамічної пам’яті і скомпрометувати цільову систему.

7. Уразливість існує через помилку в оптимізації класу символів, що містить одиночну Unicode послідовність. Зловмисник може викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

• Множественные уязвимости в PCRE (деталі)

В минулому році компанія Cenzic представила десятку основних уразливостей веб-додатків в I кварталі в “Доповіді про тенденції безпеки додатків”. Документ визначає 1561 уразливість у відомих комерційних і відкритих додатках. Ситуація ж з доморощеними розробками обстоїть набагато гірше, оскільки в них уразливостей більше, ніж у масових продуктах.

Найбільш розповсюдженими уразливостями виявилися вкладення файлів, SQL-ін’єкції, міжсайтові сценарії (XSS) і обхід директорій - 63%. Більшість уразливостей знайдено у веб-серверах, веб-додатках і веб-браузерах.

На першому місці десятки уразливостей стоїть Adobe Acrobat Reader - у ньому можливі атаки міжсайтових сценаріїв і віддалене виконання довільного коду.

Друге місце займає Google Desktop: ряд уразливостей дозволяє здійснити XSS і одержати доступ до даних на комп’ютері користувача.

IBM Websphere, на третім місці, уразливий до атак “розбивки HTTP відповідей”, що приводять до впровадження стороннього коду в кеші, підстановці контента чи XSS.

Lotus Domino Web Access стоїть на четвертому місці: функція Active Content Filter не справляється з відфільтровуванням коду сценаріїв, переданих користувачем усередині електронного листа. Ці сценарії виконуються в поштовому клієнті одержувача.

П’яте місце - за PHP: відмова в обслуговуванні вкладених масивів. Помилка при рекурсивному обході масивів дозволяє здійснити DoS-атаку на пакет PHP, що приводить до аварії на сервері.

Шосте також дісталося PHP: ряд уразливостей типу переповнення буфера, що дозволяють виконати віддалено код і приводять до DoS-атак.

Наступним, сьомим у списку, йде IBM Rational ClearQuest Web 7.0.0.0: XSS-уразливість у продукті дозволяє вбудувати довільний сценарій через вкладення з метою внесення дефектів у записі журналу подій.

На восьмому місці розташувався Sun Java Access Manager: ряд уразливостей XSS, можливість підвищення привілеїв за рахунок викрадення cookies з даними про сесії і різні способи підстановки чужорідного веб-контента.

Apache Tomcat зайняв дев’яте місце: переповнення буфера в Apache Tomcat JK Web Server Connector дозволяє виконати довільний код на сервері.

Замикає десятку BEA WebLogic: переповнення буфера, віддалене виконання коду, відмова в обслуговуванні (DoS) і доступ до закритої інформації.

Фахівці Cenzic, використовуючи дані софтверного сервісу перевірки уразливостей Cenzic ClickToSecure і досліджень, проведених у власній лабораторії, з’ясували, що більш 70% проаналізованих веб-додатків потенційно уразливі до крадіжки інформації.

Помилки в архітектурі, при написанні коду і ненадійні настроювання як і раніше є основними причинами атак. XSS - найпоширеніший вид атаки: він можливий у 70% додатків. Майже 20% додатків допускають SQL-ін’єкції. Майже половина не вміє обробляти комплексні виняткові ситуації.

По матеріалам http://www.secblog.info.

Корпорація Mіcrosoft повідомила про те, що перша бета-версія Internet Explorer 8 буде випущена в I половині 2008 р. За словами розробників, нова версія популярного веб-браузера буде успішно проходити Acid2 Browser Test, розроблений Web Standards Project. Цей тест дозволяє довідатися, чи правильно програма обробляє останні специфікації HTML і CSS і чи здатна коректно відображати веб-сторінки.

В даний час Acid2 Browser Test проходять лише OmniWeb і Safari (обоє на Mac OS X), а також крос-платформний браузер Opera і бета-версії Firefox 3.0. Internet Explorer дебютував ще до появи таких стандартів, як CSS (Cascading Style Sheets) і RSS (Really Simple Syndication). В зв’язку з тим, що протягом багатьох років IE був навряд чи не єдиним браузером, саме він задавав стандарти серфінгу, що змушувало розробників сайтів оптимізувати сторінки саме під нього, а не під нові технології. Протягом усього часу IE не був здатний успішно проходити Acid2 Browser Test, що породжувало багато критики на його адресу.

“Відповідно до наших цілей, IE 8 зобов’язаний підтримувати необхідний набір стандартів і не повинний руйнувати веб”, - ділиться у своєму блозі головний менеджер продукту Дін Хакамович.

По матеріалам http://www.cnews.ru.

P.S.

Internet Explorer 8 повинний не тільки не руйнувати веб, він також повинен бути більш безпечними ніж попередні версії IE .

Виявлений обхід захисту безпечного режиму в PHP (safemode bypass).

Уразливі версії: PHP 5.2.

Використовуючи конструкції LOAD_FILE, INTO DUMPFILE, INTO OUTFILE можна звертатися до файлів за межами дозволеного каталогу.

• PHP <=5.2.4 open_basedir bypass & code exec & denial of service (деталі)
• PHP 5.2.4 <= various mysql functions safemode & open_basedir bypass (деталі)

Виявлені численні уразливості в Adobe Flash Player. Стосовно останніх уразливостей у флеші я згадував в новинах про те, що 500000 flash файлів на популярних сайтах уразливі до XSS.

Уразливі версії: Adobe Flash Player 7.0, Flash Player 8.0, Flash Player 9.0.

Зокрема виявлено переповнення буфера динамічної пам’яті при обробці JPEG, універсальний міжсайтовий скриптінг, DNS rebinding та витік інформації.

• XSS Vulnerabilities in Common Shockwave Flash Files (деталі)
• Socket Connection Timing Can Reveal Information About Network Configuration (Exploit) (деталі)
• Adobe Updates for Multiple Vulnerabilities (деталі)
• Adobe Flash Player ActiveX Control Universal Cross-Site Scripting Vulnerability (деталі)
• Adobe Flash Player JPG Processing Heap Overflow Vulnerability (деталі)

В листопаді минулого року вийшов Invision Power Board v2.3.3, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Русская версия IP.Board 2.3.3 (деталі)

Компанія IBResource офіційно повідомляє про випуск російської версії форуму IР.Воard v2.3.3 (Invision Power Board).

Вихід цієї версії пов’язаний винятково з виправленням декількох десятків помилок, знайдених у версіях 2.3.1 і 2.3.2. Були незначно змінені HTML шаблони в стилях. Але кардинальних змін не було, тому ваші власні стилі від IPB 2.3.1 будуть цілком сумісні з 2.3.3.