Виявлені проблеми з оновленнями в багатьох розширеннях Mozilla та Firefox (upgrade weakness).
Механізм оновлення багатьох розширень дозволяє оновлення по протоколу HTTP без використання SSL/TLS. Що дозволяє зловмиснику підмінити розширення для браузера в процесі його завантаження.
У першій половині цього року в Японії кількість злочинів пов’язаних з Інтернетом зросло до рекордної цифри.
Національне поліцейське управління Японії повідомляє, що 1808 пов’язаних з використанням Інтернету злочинів було скоєно з січня по червень. Це є найбільшим показником з того часу, як управління у 2003 році стало вести подібну статистику.
Хоча в цілому був ріст Інтернет злочинів, нелегальний доступ до комп’ютерних систем корпорацій та інших організацій знизився майже на половину до 156 випадків, а шахрайство на онлайн-аукціонах знизилося на 30% до 490 випадків.
З іншого боку, інциденти з жінками, які відвідували сайти знайомств і втягнені згодом у сексуальні злочини, збільшилося більше ніж на 40%, досягнувши 481 випадку. Порушення авторських прав, також, як і продаж через Інтернет піратських копій DVD, збільшились майже втричі, склавши 127 випадків. Поліцейске управління планує підсилити нагляд за веб-сайтами, які можуть бути пов’язані зі злочинами.
По матеріалам http://uaxxi.com.
В цей вівторок, 09.10.2007, компанія Microsoft випустила 6 бюлетенів безпеки, що усувають 9 уразливостей у програмному забезпеченні.
Компанія випустила 6 бюлетенів безпеки, що усунули 1 уразливість критичного рівня небезпеки, 3 уразливості високого рівня небезпеки, 1 уразливість середнього і 4 низького рівня небезпеки.
Серед них виділю веб орієнтовані уразливості (в IE та SharePoint).
Для Internet Explorer 5.01, Internet Explorer 6.x, Internet Explorer 7.x: Підміна адресного рядка і розіменування нульового вказівника в Internet Explorer, Підміна адресного рядка в Microsoft Internet Explorer, Пошкодження пам’яті в Microsoft Internet Explorer та Підміна вмісту адресного рядка в Microsoft Internet Explorer.
Для Microsoft Office SharePoint Server 2007, Microsoft Windows SharePoint Services: Міжсайтовий скриптінг в Microsoft Windows SharePoint Services і Office SharePoint Server.
По матеріалам http://www.secblog.info.
P.S.
А от знайдену мною Cross-Site Scripting уразливість в IE Microsoft так досі й не виправила.
PandaLabs знайшла DreamSystem - систему для керування декількома варіантами ботів із сімейства DreamSocks. Версія 1.3 цієї утиліти продається на декількох онлайнових форумах за $750. Вартість включає безкоштовні оновлення на нові версії.
Утиліта складається з двох додатків. Перший з них дозволяє перетворювати заражений комп’ютер у сервер, шляхом введення визначеного URL, до якого заражені ПК потім звертаються для одержання команд. Друга частина - це додаток, що дозволяє злочинцям пересилати такі команди, і цей додаток уже було виявлено на декількох веб-серверах. Це говорить про те, що на даний момент існують уже кілька бот-мереж, що знаходяться під адмініструванням утиліти DreamSystem.
Боти, що знаходяться під керуванням DreamSystem, дозволяють хакерам перетворювати заражені системи в зомбі і використовувати їх у якості серверів. Вони також дозволяють завантажувати і запускати усі види файлів, включаючи інші шкідливі коди. У форумах, на яких була виявлена ця утиліта, вона рекомендується для проведення атак відмови в обслуговуванні (DDoS) з використанням двох протоколів: HTTP і UDP.
Для поширення цих ботів використовуються різні технології. Від систем, що використовують для зараження користувачів такі експлоіти, як Mpack, до розсилання спама, що містить безпосередньо самого бота.
По матеріалам http://www.securitylab.ru.
P.S.
Про такі інструменти як MPack та Icepack я вже писав. Встановлення шкідливих програм за допомогою експлоітів на сайтах (зокрема похаканих сайтах) - це поширене явище в наш час.
Департамент внутрішньої безпеки США (DHS) випустив відеофільм про можливі наслідки хакерської атаки на інфраструктуру електромереж країни. Фільм показали вищому керівництву США для того, щоб вони змогли оцінити важливість комп’ютерної безпеки.
Фільм “Тест генератора Аврора”, позначений грифом “тільки для офіційного користування”, показує, як людина за клавіатурою, що вводить команди в систему керування електростанцією, розкручує турбіну до критичної швидкості, після чого вона починає димітися і, у кінцевому рахунку, розлітається на частини.
Зйомки проводилися в Національній лабораторії в Айдахо, де вивчаються можливі ризики, яким може піддатися електроніка, що працює на електростанціях, хімічних заводах і інших критично важливих підприємствах. Як повідомляє анонімне джерело з офіційних кіл США, фільм показали вищому керівництву країни, включаючи віце-президента Діка Чейни. За словами колишнього глави відділу кібербезпеки при адміністрації президента Джорджа Буша Аміта Йорана, наочність допоможе владі зрозуміти наслідки, до яких можуть привести хакерські атаки. “Одна справа - говорити про біти і байти, а інше - показати займання”, - говорить фахівець.
За заявою менеджера North American Electric Reliability Corp, організації, що спостерігає за безпекою електромереж, “відео насправді не відображає реальної схеми функціонування системи”. Для того щоб створити аналогічну ситуацію, необхідні спеціальні знання, якими не володіє середньостатистичний хакер. Зокрема, для створення екстремальної ситуації необхідно відключити попереджуючі системи.
Хакерська атака, що виводить з ладу стратегічну інфраструктуру США, може обійтися терористам усього в $5 млн. і 3-5 років підготовки, стверджує О. Семі Савдьярі, фахівець некомерційної організації “Професіонали за комп’ютерну оборону”.
По матеріалам http://www.cnews.ru.
Виявлене переповнення буфера в Internet Explorer і Pictures and Videos на Windows Mobile (buffer overflow).
Уразливі продукти: Microsoft Windows Mobile 2003, Microsoft Windows Mobile 5.0.
Переповнення буфера можливе при розборі файлів JPEG.
Вийшла перша версія платформи Silverlight від Microsoft, призначеної для створення інтерактивних веб-додатків. Silverlight позиціонується як альтернатива Flash та іншим розробкам Adobe і Sun, таким як AIR і Java.
Подібно Flash, Silverlight поширюється як плагін для перегляду графіки і відео. Відеовміст, створений за допомогою Silverlight, буде кодуватися за допомогою кодека VC-1, що також належить Microsoft. Перша версія програми не містить ніяких нових функцій, щодо випущеного раніше попереднього реліза, у ній лише виправлені помилки (що очікувалося).
Важливо, що разом з випуском Silverlight для Windows Microsoft повідомила про свій намір перенести технологію на Linux. Перенос буде здійснюватися в рамках співробітництва софтверного гіганта з Novell. Остання вже працює над версією для Linux, що буде називатися Moonlight. Її вихід відбудеться приблизно через півроку.
Також у планах Microsoft випуск версії 1.1, основним нововведенням якої стане повна підтримка .NET. Додатки Silverlight 1.0 можуть бути створені з використанням XAML і JavaScript, а підтримка .NET у наступній версії буде означати, що розробники зможуть також використовувати ASP.NET, Visual Basic, C#, Python і навіть Ruby.
По матеріалам http://www.3dnews.ru.
Більше 100000 нових фішингових сайтів було створено тільки за один тиждень, відповідно до звіту дослідницької компанії X-Force. Вона ідентифікувала, вивчила і класифікувала 114000 нових фішингових сайтів з 11 по 18 червня поточного року.
Відповідно до цієї інформації, 99,8% цих сайтів було створено за допомогою засобів автоматичного фішинга. І тільки 0,2% не були підлеглі загальній стратегії для атаки.
Гюнтер Ольманн, глава відділу безпеки IBM ISS, вважає, що за останній час спостерігається колосальний стрибок кількості фішингових сайтів, за створенням яких стоїть організована злочинність. “Ці групи повинні бути добре організовані, щоб мати можливість створювати таку кількість шахрайських сайтів і розсилати таку кількість спама”, - сказав він.
Патриція Мартін, віце-президент мережі банків Regions у США, сказала, що величезна кількість банків стали жертвами фішингових атак за останні кілька місяців.
По матеріалам http://www.securitylab.ru.
Фахівці прийшли до висновку, що текстові cookie-файли, що раніше вважалися найменш небезпечними в порівнянні з іншими мережевими технологіями, вже не настільки безпечні.
Так, компанія Google взяла на озброєння тактику відстеження користувацької активності в Інтернеті за допомогою виданих серверами файлів-cookie. Така техніка суперечить концепції конфіденційності користувачів і їхніх даних. Для того, щоб використовувати цю технологію, компанії повинні явно одержати дозвіл конкретного користувача на моніторинг. Багато хто з найбільших і популярних інтернет-сайтів відслідковують користувачів за допомогою такої техніки.
Незважаючи на те, що спочатку cookie задумувалися як засіб для розширення функціональності та ефективності клієнт-серверної взаємодії, вони також допомагають відстежити які сайти користувач відвідував і що саме він там робив. У підсумку збір такої інформації веде до несанкціонованого одержання персональних даних для того, щоб надалі їх використовувати.
На сьогодні браузери не поділяють cookie на “небезпечні” і “безпечні”, а лише пропонують або відмовитися від них взагалі, або приймати їх. І те й інше в сучасних умовах в однаковій мірі неприйнятно.
По матеріалам http://www.secblog.info.
Соціальні мережі та інші Web 2.0 проекти залучають до себе усе більш пильну увагу хакерів. Уразливості онлайн-сервісів можуть надати зловмисникам доступ до приватної інформації, закритої для звичайних користувачів, а також нові способи проникнення в чужі комп’ютери.
Приклади таких “дір” були продемонстровані на двох щорічних конференціях для хакерів, що пройшли в Лас Вегасі: Defcon і Black Hat. Обидві конференції присвячені навчанню і демонстрації свіжих уразливостей. Цього року на конференції Defcon стався міні-скандал: журналістка телеканала NBC спробувала зняти дійство прихованою камерою, однак її піймали і випровадили з презентації.
Серед іншого, на конференціях були продемонстровані уразливості самої популярної соціальної мережі MySpace.com і поштового сервісу Gmail.com - Роберт Грем, керівник компанії Errata Security, захопив поштову скриньку одного з глядачів через бездротове з’єднання прямо під час семінару.
По матеріалам http://news.internetua.com.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.