Websecurity - Веб безпека

Виявлені слабкі дозволи по-замовчуванню в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

Компонент JULI logging дозволяє перезапис файлів.

• Apache Tomcat’s default security policy is too open (деталі)

Як нещодавно повідомив RSnake, в своєму записі Orkut XSS Worm - соціальний сервіс Гугла, Orkut, був заражений XSS хробаком. Котрий заразив велику кількість аккаунтів користувачів сервіса (більше 543355 аккаунтів).

Причому заразив таку кількість аккаунтів дуже швидко - за лічені години. Це дуже високі темпи поширення хробака. До речі, RSnake розмістив в себе на форумі код даного хробака.

Як повідомив www.secblog.info, соціальну мережу Orkut, що належить компанії Google, нещодавно вразив комп’ютерний хробак.

Служба Orkut запрацювала в січні 2004 року. Творцем сервісу є Оркут Бойюккоктен, один з розробників інтерфейсу пошукової системи Google. Соціальна мережа Orkut призначена, насамперед, для онлайнового спілкування між друзями і пошуку нових знайомств.

Днями багато користувацьких аккаунтів Orkut виявилися уражені незвичайною шкідливою програмою. Передплатники Orkut почали одержувати електронні листи, у яких їм повідомлялося, що в системі Orkut Scrapbook (застосовується для розміщення послань) з’явився новий запис. При наступній спробі перегляду профілю відбувалося автоматичне зараження аккаунта, а його власник приєднувався до групи під назвою Infectados pelo Vi’rus do Orkut (на португальському означає “заражений Orkut-вірусом”).

По деяким даним, буквально за лічені години шкідлива програма вразила порядку 650000 користувацьких аккаунтів. Утім, яких-небудь деструктивних функцій у коді хробака, схоже, закладено не було. Відповідно до попереднього аналізу, шкідлива програма написана з застосуванням JavaScript і Flash і при поширенні використовувала діру в програмній платформі Orkut.

Cenzic, постачальник рішень ІБ, що займається також оцінкою ризиків, нещодавно оголосив про уразливості в Google Gmail і Microsoft Internet Explorer, що можуть поставити під загрозу конфіденційні дані користувачів.

Дослідники Cenzic знайшли можливість підробки запитів CSS, що в сполученні з некоректним використанням директив кешування може привести до витоку конфіденційної інформації. Хакер може використати цю уразливість для доступу до особистих даних, повідомляється на сайті Cenzic. Ці уразливості можуть також застосовуватися для атак систем, де використовується Internet Explorer і загальний обліковий запис для всіх користувачів, що, наприклад, практикується в інтернет-кафе і бібліотеках.

“Ці уразливості продемонстрували серйозні проблеми популярних служб, до яких користувачі відносяться як до безпечних”, - сказав Мендіп Хера, віце-президент Cenzic по маркетингу. Очевидно, що уразливості напевно вже виправлені.

По матеріалам http://www.cnews.ru.

Виявлений обхід захисту безпечного режиму через htaccess в PHP (protection bypass).

Уразливі версії: PHP 4.4, PHP 5.2.

Можлива маніпуляція роботою різних функцій, таких як session_save_path() та ini_set() через змінні htaccess.

• PHP 5.2.4 mail.force_extra_parameters unsecure (деталі)
• PHP 5.2.3 PHP 4.4.7, htaccess safemode and open_basedir Bypass Vulnerability (деталі)

Правоохоронні органи України оприлюднили статистику злочинів, зроблених у сфері комп’ютерних технологій за поточний рік. Як повідомляє Департамент зв’язків із громадськістю МВС України, у 2007 році розкриті 678 злочинів, що на 16% більше, ніж за весь минулий рік.

Відзначається також, що кримінальні справи по 381 злочину в сфері комп’ютерних технологій закінчені розслідуванням і спрямовані в суд з обвинувальним висновком. Серед розкритих злочинів майже чверть (168) приходяться на сферу електронних платежів, 23% зроблені в сфері комп’ютерних і інтернет-технологій, 12% - у сфері телекомунікацій.

У МВС України також повідомляють, що на даний момент створені інформаційні бази даних щодо осіб, причетних до здійснення “карткових” злочинів, а також осіб, причетних до шахрайства з грошовими переказами в українському сегменті мережі Інтернет. Усього на сьогодні задокументовано 235 таких осіб.

По матеріалам http://ain.com.ua.

Одна з європейських антивірусних компаній, BitDefender, повідомила про проникнення шкідливого вірусу в текстові рекламні оголошення від Google. Це шкідливе програмне забезпечення перенаправляло рекламний трафик, що призначався пошуковцю на сервери третьої сторони.

За повідомленням Google, рахунки користувачів, котрі показували рекламні оголошення, що містили “троян”, були заблоковані. На думку BitDefender, що і виявила атаку на сайтах румунських користувачів, вірус відноситься до шкідливих програм “середнього” ступеня небезпеки.

По матеріалам http://www.searchengines.ru.

За даними ЗМІ США, усе більше число користувачів скаржаться на проблеми в роботі Internet Explorer, що з’явилися разом з останнім оновленням. Проблеми стосуються ПК із встановленими Internet Explorer 6 і 7 під Windows XP і Vista.

Після встановлення оновлення, що усуває критичні уразливості в ПЗ, Internet Explorer, як стверджують деякі користувачі, припиняє роботу чи відразу при запуску, чи при спробі завантажити деякі веб-сторінки. Це відбувається при відвідуванні сайтів відомих компаній, наприклад, FedEx. Зараз Microsoft вивчає дане питання.

Проблеми, що згадуються в бюлетені безпеки MS07-069, не пояснюють дане явище. Microsoft припускає, що проблема викликана втратою даних реєстру, що повинні були прописуватися при встановленні оновлення. Адміністраторам не рекомендується видаляти оновлення, оскільки воно усуває серйозні уразливості, що можуть використовуватися для впровадження шкідливого коду за допомогою веб-сторінок. Як рішення проблеми пропонується переглядати сторінки, не відображувані IE, за допомогою альтернативного браузера, такого як Firefox, Opera і Safari, доти, поки Microsoft не вирішить це питання.

По матеріалам http://www.cnews.ru.

P.S.

У Майкрософт часто виникають подібні проблеми з патчами, котрі окрім виправлення багів, додають нові проблеми користувачам . Тому, щоб не стикатися з подібними проблемами, користувачам Internet Explorer варто повністю перейти на альтернативні та надійні браузери.

Виявлені криптографічні проблеми з перевіркою сертифікатів у бібліотеці Ruby Net::HTTPS.

Уразливі версії: Ruby 1.8.

Не перевіряється CN сертифіката, що дозволяє використовувати валідний сертифікат, виданий для іншого CN.

• Ruby Net::HTTPS library does not validate server certificate CN (деталі)

Вийшло чергове оновлення дев’ятої версії популярного веб-браузера Opera.

Версія 9.25 містить наступні оновлення безпеки:

• закрита уразливість у плагінах, що дозволяє проводити атаки за допомогою міжсайтового скриптінга;
• закрита уразливість у сертифікатах TLS, що дозволяє виконувати довільний код;
• виправлена уразливість у процесі редагування складного тексту;
• закрита уразливість при використанні бітових зображень (доступ до випадкових ділянок пам’яті).

По матеріалам http://www.cnews.ru.

Виявлена можливість підміни IDN в Internet Explorer. Уразливість дозволяє віддаленому користувачу зробити спуфінг-атаку.

Уразливі версії: Microsoft Internet Explorer 7.x.

Уразливість існує через помилку в реалізації IDN (International Domain Name) у діалоговому вікні HTTP Basic аутентифікації. Віддалений користувач може за допомогою спеціально сформованої веб сторінки підмінити доменне ім’я в аутентифікаційному діалозі.

• Подмена IDN в Microsoft Internet Explorer (деталі)