Websecurity - Веб безпека

Вийшла перша версія платформи Silverlight від Microsoft, призначеної для створення інтерактивних веб-додатків. Silverlight позиціонується як альтернатива Flash та іншим розробкам Adobe і Sun, таким як AIR і Java.

Подібно Flash, Silverlight поширюється як плагін для перегляду графіки і відео. Відеовміст, створений за допомогою Silverlight, буде кодуватися за допомогою кодека VC-1, що також належить Microsoft. Перша версія програми не містить ніяких нових функцій, щодо випущеного раніше попереднього реліза, у ній лише виправлені помилки (що очікувалося).

Важливо, що разом з випуском Silverlight для Windows Microsoft повідомила про свій намір перенести технологію на Linux. Перенос буде здійснюватися в рамках співробітництва софтверного гіганта з Novell. Остання вже працює над версією для Linux, що буде називатися Moonlight. Її вихід відбудеться приблизно через півроку.

Також у планах Microsoft випуск версії 1.1, основним нововведенням якої стане повна підтримка .NET. Додатки Silverlight 1.0 можуть бути створені з використанням XAML і JavaScript, а підтримка .NET у наступній версії буде означати, що розробники зможуть також використовувати ASP.NET, Visual Basic, C#, Python і навіть Ruby.

По матеріалам http://www.3dnews.ru.

Більше 100000 нових фішингових сайтів було створено тільки за один тиждень, відповідно до звіту дослідницької компанії X-Force. Вона ідентифікувала, вивчила і класифікувала 114000 нових фішингових сайтів з 11 по 18 червня поточного року.

Відповідно до цієї інформації, 99,8% цих сайтів було створено за допомогою засобів автоматичного фішинга. І тільки 0,2% не були підлеглі загальній стратегії для атаки.

Гюнтер Ольманн, глава відділу безпеки IBM ISS, вважає, що за останній час спостерігається колосальний стрибок кількості фішингових сайтів, за створенням яких стоїть організована злочинність. “Ці групи повинні бути добре організовані, щоб мати можливість створювати таку кількість шахрайських сайтів і розсилати таку кількість спама”, - сказав він.

Патриція Мартін, віце-президент мережі банків Regions у США, сказала, що величезна кількість банків стали жертвами фішингових атак за останні кілька місяців.

По матеріалам http://www.securitylab.ru.

Фахівці прийшли до висновку, що текстові cookie-файли, що раніше вважалися найменш небезпечними в порівнянні з іншими мережевими технологіями, вже не настільки безпечні.

Так, компанія Google взяла на озброєння тактику відстеження користувацької активності в Інтернеті за допомогою виданих серверами файлів-cookie. Така техніка суперечить концепції конфіденційності користувачів і їхніх даних. Для того, щоб використовувати цю технологію, компанії повинні явно одержати дозвіл конкретного користувача на моніторинг. Багато хто з найбільших і популярних інтернет-сайтів відслідковують користувачів за допомогою такої техніки.

Незважаючи на те, що спочатку cookie задумувалися як засіб для розширення функціональності та ефективності клієнт-серверної взаємодії, вони також допомагають відстежити які сайти користувач відвідував і що саме він там робив. У підсумку збір такої інформації веде до несанкціонованого одержання персональних даних для того, щоб надалі їх використовувати.

На сьогодні браузери не поділяють cookie на “небезпечні” і “безпечні”, а лише пропонують або відмовитися від них взагалі, або приймати їх. І те й інше в сучасних умовах в однаковій мірі неприйнятно.

По матеріалам http://www.secblog.info.

Соціальні мережі та інші Web 2.0 проекти залучають до себе усе більш пильну увагу хакерів. Уразливості онлайн-сервісів можуть надати зловмисникам доступ до приватної інформації, закритої для звичайних користувачів, а також нові способи проникнення в чужі комп’ютери.

Приклади таких “дір” були продемонстровані на двох щорічних конференціях для хакерів, що пройшли в Лас Вегасі: Defcon і Black Hat. Обидві конференції присвячені навчанню і демонстрації свіжих уразливостей. Цього року на конференції Defcon стався міні-скандал: журналістка телеканала NBC спробувала зняти дійство прихованою камерою, однак її піймали і випровадили з презентації.

Серед іншого, на конференціях були продемонстровані уразливості самої популярної соціальної мережі MySpace.com і поштового сервісу Gmail.com - Роберт Грем, керівник компанії Errata Security, захопив поштову скриньку одного з глядачів через бездротове з’єднання прямо під час семінару.

По матеріалам http://news.internetua.com.

Виявлений міжсайтовий скриптінг в Apache (Cross-Site Scripting).

Уразливі версії: Apache 2.2.

Можливий міжсайтовий скриптінг із використанням UTF-7 при генерації діагностичних повідомлень.

• Apache2 Undefined Charset UTF-7 XSS Vulnerability (деталі)

Нещодавно вийшла нова версія браузера Firefox 2.0.0.7. Компанія Mozilla була змушена випустити оновлення безпеки, що усуває можливість експлуатації уразливості річної давнини в Apple QuickTime. Уразливості піддаються користувачі, у яких встановлений програвач Apple QuickTime і Firefox є браузером по замовчуванню.

Для захисту користувачів від подібних уразливостей, останнє виправлення відключає можливість виконання довільних сценаріїв з командного рядка за допомогою опції -chrome.

Компанія Apple у 2006 році повідомила, що у версії 7.1.5 ця уразливість усунута, що виявилося не зовсім правдою. Таким чином, користувачі Firefox і QuickTime перебували під загрозою цілий рік.

По матеріалам http://www.securitylab.ru.

P.S.

Про дану уразливість в QuickTime, котру виявив і оприлюднив pdp, я ще розповім детально.

Корпорація Mozilla продовжує тестування третьої версії браузера Firefox. Остання, восьма, альфа-версія браузера, випущена наприкінці минулого тижня, цікава наявністю декількох нових функцій, що стосуються безпеки.

Зокрема, у Gran Paradiso істотно поліпшений модуль блокування шкідливих модулів. Він визначає небезпеку сайтів по наявності шкідливих лінок, що на них містяться. Ця функція працює в парі з антифішинговим модулем, представленим у другій версії браузера. Обидві функції позначають небезпечні сайти, видають користувачам попередження, якщо вони намагаються на них зайти, і автоматично блокують до них доступ.

Ще одна новинка, що стосується безпеки - перевірка сайта перед завантаженням плагінів для браузера. Як відомо, для Firefox написано досить багато плагинів, і в браузері є функція їхнього автоматичного оновлення, тому користувач часто не контролює процес завантаження. Firefox перевіряє сайт, на який перенаправляється браузер при спробі завантажити доповнення, і якщо ресурс небезпечний, завантаження не відбувається.

По матеріалам http://www.3dnews.ru.

Виявлена уразливість в Python в модулі imageop. Уразливі версії: Python 2.5.

В модулі виявлене цілочислене переповнення в функції imageop.tovideo (integer overflow).

• python <= 2.5.1 standart librairy multiples int overflow, heap overflow in imageop module (деталі)

Представники Інтерполу повідомили, що найближчим часом ця організація повинна обзавестися глобальними і декількома регіональними антикримінальними центрами, основна задача яких буде полягати у відстеженні протизаконної діяльності в Інтернеті й швидкій реакції на неї.

За словами генерального секретаря Інтерполу Рональда Нобла, Інтернету не слід бути місцем, де зловмисники будуть діяти безкарно.

Нещодавно представники 37 країн, що входять в Інтерпол, обговорили в індійській столиці Нью Делі методи боротьби з банківським шахрайством у Мережі, терористичною активністю і різними аспектами насильницької пропаганди. Нагадаємо, що на сьогодні штаб-квартира Інтерполу розташована у Франції, а всього в цю організацію входять 186 країн.

На думку експертів, подібні центри не тільки зможуть допомогти в пійманні інтернет-злочинців, але і стануть свого роду юридичними центрами і центрами по обміну інформацією про злочинців.

По матеріалам http://www.secblog.info.

Деякий час тому аналітичні організації Comscore і Nielsen Netratings представили громадськості дані звітів паралельних досліджень ринку пошукових запитів і часткою впливу найвідоміших пошукових сервісів і систем на сегмент у цілому. Співробітники Nielsen Netratings відзначили, що в грудні 2006 року компанія Google обробляла 50,8% усіх пошукових запитів користувачів США, тобто контролювала половину ринку. Потрібно сказати, що дані Comscore відносно Google завжди були нижче показників Nielsen Netratings, однак у травні 2007 результати чергового дослідження в черговий раз довели значимість Google - 50,7% усіх запитів.

Експерти Nielsen стверджують, що в травні на території США зафіксовано більш 7,16 млрд. пошукових запитів, з яких 56,3% були оброблені Google, а це більш 4,03 млрд. операцій, що практично в 2 рази перевищує показники минулого року - 2,8 млрд. Аналітики вважають, що сталий ріст популярності сервісів компанії дозволив домогтися видатних результатів і навіть рекордів уже сьогодні.

У той же час результати споконвічного конкурента, компанії Yahoo, абсолютно протилежні успіхам Google. У травні 2006 Yahoo контролювала 22,9% ринку, а через рік цей показник упав до оцінки 21,5%. Інший учасник “пошукової баталії”, сервіс Microsoft MSN, за даними Nielsen, утратив ще більшу частину ринку (8,4%).

По матеріалам http://www.3dnews.ru.

P.S.

Популярним пошуковцям слід також приділяти увагу безпеці власних систем, про що я писав в Місяці багів в Пошукових Системах. І про що нагадав їм нещодавно, знайшовши уразливості в Google Search Appliance та уразливість на search.yahoo.com.