Websecurity - Веб безпека

За даними ЗМІ США, усе більше число користувачів скаржаться на проблеми в роботі Internet Explorer, що з’явилися разом з останнім оновленням. Проблеми стосуються ПК із встановленими Internet Explorer 6 і 7 під Windows XP і Vista.

Після встановлення оновлення, що усуває критичні уразливості в ПЗ, Internet Explorer, як стверджують деякі користувачі, припиняє роботу чи відразу при запуску, чи при спробі завантажити деякі веб-сторінки. Це відбувається при відвідуванні сайтів відомих компаній, наприклад, FedEx. Зараз Microsoft вивчає дане питання.

Проблеми, що згадуються в бюлетені безпеки MS07-069, не пояснюють дане явище. Microsoft припускає, що проблема викликана втратою даних реєстру, що повинні були прописуватися при встановленні оновлення. Адміністраторам не рекомендується видаляти оновлення, оскільки воно усуває серйозні уразливості, що можуть використовуватися для впровадження шкідливого коду за допомогою веб-сторінок. Як рішення проблеми пропонується переглядати сторінки, не відображувані IE, за допомогою альтернативного браузера, такого як Firefox, Opera і Safari, доти, поки Microsoft не вирішить це питання.

По матеріалам http://www.cnews.ru.

P.S.

У Майкрософт часто виникають подібні проблеми з патчами, котрі окрім виправлення багів, додають нові проблеми користувачам . Тому, щоб не стикатися з подібними проблемами, користувачам Internet Explorer варто повністю перейти на альтернативні та надійні браузери.

Виявлені криптографічні проблеми з перевіркою сертифікатів у бібліотеці Ruby Net::HTTPS.

Уразливі версії: Ruby 1.8.

Не перевіряється CN сертифіката, що дозволяє використовувати валідний сертифікат, виданий для іншого CN.

• Ruby Net::HTTPS library does not validate server certificate CN (деталі)

Вийшло чергове оновлення дев’ятої версії популярного веб-браузера Opera.

Версія 9.25 містить наступні оновлення безпеки:

• закрита уразливість у плагінах, що дозволяє проводити атаки за допомогою міжсайтового скриптінга;
• закрита уразливість у сертифікатах TLS, що дозволяє виконувати довільний код;
• виправлена уразливість у процесі редагування складного тексту;
• закрита уразливість при використанні бітових зображень (доступ до випадкових ділянок пам’яті).

По матеріалам http://www.cnews.ru.

Виявлена можливість підміни IDN в Internet Explorer. Уразливість дозволяє віддаленому користувачу зробити спуфінг-атаку.

Уразливі версії: Microsoft Internet Explorer 7.x.

Уразливість існує через помилку в реалізації IDN (International Domain Name) у діалоговому вікні HTTP Basic аутентифікації. Віддалений користувач може за допомогою спеціально сформованої веб сторінки підмінити доменне ім’я в аутентифікаційному діалозі.

• Подмена IDN в Microsoft Internet Explorer (деталі)

Фахівець в області безпеки Дідьє Стівенс з’ясував, що ні загроза комп’ютеру, ні підозрілий дизайн не зможуть перебороти людські рефлекси - багато хто автоматично готовий клікнути на лінку “жми сюди!!!”. Його контекстне оголошення в Google із фразою “Ваш комп’ютер ще чистий від вірусів? Тоді заразіть його тут!” привело на сайт 409 відвідувачів.

“За півроку моя реклама спливала 260000 разів, і по ній пройшли 409 разів - у 0,16% випадків. Уся “рекламна кампанія” обійшлася мені в 23 долара, тобто по 6 центів за клік чи, іншими словами, за один потенційно заражений комп’ютер”, - говорить Стівенс.

Він повідомляє, що спеціально створив максимально підозрілий дизайн свого оголошення, але навіть це не насторожило користувачів. Не відреагували на неї і модератори Google - реклама була схвалена і донедавна розміщувалася на сторінках пошуковця.

Є два варіанти логіки людей, що пройшли по лінці. Це або користувачі, що розкусили жарт, котрі вирішили поцікавитися, куди ж їх приведе така реклама, або ті, хто поплутав її з рекламою антивірусу.

У всякому разі, очевидно, що навіть саме безглузде оголошення знаходить свою аудиторію. Тому, скільки б рекламщики не вивчали психологію користувачів чи їхнього пересування по Мережі, до 14 переваг інтернет-реклами можна сміливо додати п’ятнадцяте: “Що б ви не рекламували, і як би не оформили баннер, знайдуться ті, хто на нього клікне”.

По матеріалам http://www.securitylab.ru.

P.S.

Це ще була “безпечна” реклама, бо лінка вела на безпечний сайт. Але часто трапляються випадки (і в цьому році подібні випадки були неодноразово зафіксовані), коли контекстна реклама в Гуглі веде на зловмисні сайти. Причому рекламують вони не віруси, а більш привабливі для користувачів речі.

Виявлена уразливість в Internet Explorer, котра дозволяють віддаленому користувачу зробити спуфінг-атаку чи викликати відмову в обслуговуванні.

Уразливі версії: Microsoft Internet Explorer 5.01, Internet Explorer 6.x, Internet Explorer 7.x.

Уразливість існує через помилку при обробці події “onunload”, що дозволяє віддаленому користувачу скасувати завантаження нової сторінки. Зловмисник може підмінити адресний рядок браузера, якщо користувач, після відвідування спеціально сформованої сторінки, вручну набере нову адресу в адресному рядку. Уразливість дозволяє також викликати розіменування нульового вказівника і викликати відмову в обслуговуванні браузера.

• Подмена адресной строки и разыменование нулевого указателя в Internet Explorer (деталі)

В цей вівторок корпорація Microsoft випустила 7 бюлетенів безпеки з описом 11 уразливостей в операційних системах Windows різних версій, поштовому клієнті Outlook Express, браузері Internet Explorer та інших програмних компонентах.

Як повідомляється, три з виявлених дір становлять критичну небезпеку. Це означає, що уразливості можуть використовуватися зловмисниками для одержання несанкціонованого доступу до віддаленого комп’ютера з подальншим виконанням на ньому довільних операцій. Критичні діри виявлені в програмних інтерфейсах DirectX із сьомої по десяту версію, Internet Explorer 6 і 7, а також кодеку Windows Media Format Runtime, що входить до складу плеера Windows Media Player.

По матеріалам http://www.secblog.info.

Консорціум WASC (Web Application Security Consortium) оголосив про доступність списку можливих способів виконання javascript коду без використання тега scrіpt, стосовно до браузерів MS Internet Explorer 7, Firefox 2 і Safari 3. Дані можна використовувати при написанні фільтрів, що запобігають Cross-Site Scripting атакам у веб-додатках, що приймають користувацькі дані з елементами HTML форматування.

Детальніше про проект: The Script Mapping Project.

По матеріалам http://www.opennet.ru.

Цього року на міжнародному змаганні хакерів Capture the Flag (CTF) перемогла команда Chocolate Makers з Міланського Університету. Команда Squareroots з університету Мангейма була другою, а HackerDom з Російського Уральського державного університету завоювала третє місце. Торішній переможець, We_0wn_Y0u з Відня зайняв тільки четверте місце.

В андеграунді залишилися команди Hexadecimators з Каліфорнійського університету в Санта-Барбарі (UCSB), DoS DevilZ з Амритської школи інженерів (Індія) та Graham Crackers з американського Пенсильванського державного університету. В цілому участь у конкурсі приймали 36 команд з усього світу, вісім з них - з Німеччини.

Організатори дали командам трохи менше семи годин для вирішення задач з використанням семи різних сервісів. Кожний з цих спеціально підготовлених сервісів містить уразливість, знайшовши яку, можна одержати очки. Також потрібно було створити патчи для них. Додаткові задачі - копіювання і шифрування даних.

Цей найбільший у світі конкурс проходить протягом декількох днів і організується щороку на конференції хакерів Defcon у Лас-Вегасі.

По матеріалам http://www.secblog.info.

Вийшли нові версії Mozilla Firefox і Seamonkey, котрі містять патчі до трьох уразливостей - підробки REFERER через змагання умов при установці window.location, ушкодженню пам’яті, небезпеки XSS через jar: URI.

Були виправлені наступні уразливості:

1. Mozilla Firefox до версії 2.0.0.10 (а також Seamonkey до 1.1.7) містить ряд уразливостей, що дозволяють викликати ушкодження пам’яті при відвідуванні спеціально сформованих веб-сторінок, що, у свою чергу, може привести до виконання довільного коду чи аварійному завершенню роботи браузера.

2. Mozilla Firefox до версії 2.0.0.10 (а також Seamonkey до 1.1.7) містить уразливість до підробки поля HTTP_REFERER у заголовку HTTP запиту. Уразливість викликана виникненням змагання умов при встановленні window.location.

Підробка HTTP_REFERER дозволяє здійснити атаку типу CSRF (міжсайтова підробка запиту) на сайти, що використовують поле HTTP_REFERER для захисту від такого виду атак.

3. Обробник URI типу “jar:” в Mozilla Firefox до 2.0.0.10 (а також Seamonkey до 1.1.7) представляє можливість проведення атак міжсайтового скриптінга на сторонніх сайтах. Можливість звертання через URI до довільного файлу в архіві .jar (що має формат zip), може привести до виконання html-файлів (і вбудованого в них JavaScript чи VBScript коду), що містяться в архіві, у контексті того сайта, на який вони були завантажені.

Небезпека виникає унаслідок відсутності перевірки MIME-типу архіву. У Firefox 2.0.0.10 встановлене обмеження на обробку протоколу jar - тільки для application/java-archive і application/x-jar. Можливість звертання до файлів усередині архіву jar була введена в браузер для підтримки веб-сторінок з цифровим підписом, що дозволяє сайтам завантажувати сторінки, упаковані в zip-архіви у форматі java-archive, що містять файли з цифровими підписами.

• Mozilla Firefox 2.0.0.10 и Seamonkey 1.1.7 - патчи для трех уязвимостей (деталі)

P.S.

Після виходу Firefox 2.0.0.10, дуже швидко (через три дні) вийшла Mozilla Firefox 2.0.0.11. В цій версії виправили баг (з Canvas), котрий був допущний в версії 2.0.0.10.