Websecurity - Веб безпека

Нещодавно корпорація опублікувала дев’ять бюлетенів безпеки. Я зупинюся лише на уразливостях в IE.

Корпорація Microsoft випустила чергову порцію патчів, що усувають небезпечні діри в операційних системах Windows різних версій, офісних додатках і браузері Internet Explorer.

Усього в поточному місяці Microsoft опублікувала дев’ять бюлетенів безпеки, шість з який містять інформацію про критичні діри. Одна з проблем пов’язана з помилками, що виникають при відображенні сторінок у форматі VML (Vector Markup Language). Зловмисник за допомогою спеціально сформованого веб-сайта може виконати довільний шкідливий код на віддаленому комп’ютері. Дірка присутня в браузерах Internet Explorer версій 6 і 7, що входять до складу операційних систем Windows ХР і Windows Vista.

Критично небезпечні уразливості також виявлені в реалізації протоколу OLE Automation (Object Linking and Embedding) і комплексі Microsoft XML Core Services (MSXML). В обох випадках для проведення атаки нападнику необхідно заманити користувача на сформовану спеціальним чином веб-сторінку.

По матеріалам http://www.secblog.info.

P.S.

В наступному вівторку патчів Майкрософту варто також випустити виправлення для знайденної мною уразливості в Internet Explorer.

Виявлено декілька уразливостей в Adobe Flash Player. Знайдені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних і скомпрометувати цільову систему.

Уразливі версії: Adobe Flash Player 9.x, Macromedia Flash Player 7.x, Macromedia Flash Player 8.x.

1. Уразливість існує через помилку при обробці вхідних даних. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі. Уразливості піддаються версія 9.0.45.0 і більш ранні.

2. Уразливість існує через помилку у взаємодії Flash Player з деякими браузерами. Віддалений користувач може за допомогою спеціально сформованої веб сторінки перехопити натискання клавіш і переслати їх Flash Player апплету. Уразливості піддаються версія 7.0.69.0 і більш ранні на платформах Linux і Solaris.

3. Уразливість існує через недостатню обробку HTTP Referer. Віддалений користувач може виконати CSRF атаку. Уразливість існує в 8.0.34.0 і більш ранніх версіях.

Всім користувачам рекомендується встановити останню версію Flash Player 9.0.47.0.

• Несколько уязвимостей в Adobe Flash Player (деталі)

Взлом найбільшого у світі рекрутінгового сайта Monster.com, зафіксований наприкінці минулого тижня, був здійснений з комп’ютера, розташованого на території України. До такого висновку прийшли фахівці компанії Symantec, що відповідає за безпеку Monster.com.

Зловмисники викрали близько 1,6 мільйона записів з бази даних Monster. Хоча не кожна з них містила персональну інформацію про користувачів сайта, у руках хакерів виявилися докладні відомості про сотні тисяч чоловік. Адміністрація Monster пообіцяла “ужити заходів”, однак у чому вони будуть полягати, поки не уточнюється.

Доступ до баз даних сайта, на якому розміщено більш 70 мільйонів резюме, був здійснений за допомогою троянської програми Infostealer.Monstres. Користувачі залишали наступну інформацію про себе: адреси, телефони й електронну пошту; ніяких відомостей про номери кредитних карт і банківських рахунків на Monster не містилося. Зловмисники почали розсилання листів нібито від імені Monster із пропозицією встановити деякий додатковий модуль для роботи із сайтом. Під виглядом модуля хакери намагаються змусити користувачів установити на свої машини шпигунські програми.

По матеріалам http://lenta.ru.

Польський дослідник Michal Zalewski, що регулярно виявляє уразливості в популярних броузерах, відзвітувався ще про чотири, по дві у кожному.

Сама небезпечна дісталася IE - у короткий момент переходу від однієї сторінки до іншої нападник може виконати скрипт зі старої сторінки в контексті нової. Що відкриває ряд цікавих можливостей, включаючи крадіжку кук, впровадження коду тощо. Друга уразливість IE відноситься до шостої версії і дає можливість атакуючій сторінці прикинутися іншим сайтом.

Перша уразливість FF пов’язана з обробкою вбудованих фреймів і дозволяє стороннім сайтам підмінювати їхній вміст. Друга пов’язана з затримками, використовуваними при виведенні деяких діалогів з підтвердженням. За допомогою ланцюжка операцій втрати й встановлення фокуса нападник може примусити жертву завантажити і виконати довільний код.

По матеріалам http://bugtraq.ru.

P.S.

Нещодавно я писав, про знайдену мною нову уразливість в Internet Explorer.

Новий метод поширення шкідливого коду через веб-сторінки знайшли фахівці Finjan. Механізм відображення інфікованих сторінок зберігає IP-адреси відвідувачів і спрацьовує для кожної адреси тільки один раз.

При наступному відвідуванні користувач бачить чисту веб-сторінку, говориться в “Доповіді тенденцій веб-безпеки” за II квартал. Компанія назвала цей метод “ухильною атакою”.

Однократне відображення шкідливого коду сильно ускладнює можливість відстеження джерела зараження, а також визначення й ідентифікації інфікованого сайта антивірусними компаніями, що блокують сторінки по сигнатурах - унікальних ділянкам коду, стверджують фахівці Finjan. Вони радять користувачам не відвідувати сумнівні сайти і відключати в браузері виконання активних сценаріїв.

По матеріалам http://www.securitylab.ru.

З 8 по 12 серпня в Німеччині пройшла хакерська конференція на відкритому повітрі Chaos Communication Camp 2007.

Захід Chaos Communication Camp проводиться один раз у чотири роки при фінансовій підтримці організації Chaos Computer Club. У нинішньому році зліт хакерів проходив у Фіновфурті (недалеко від Берліна). На площі в 100 тисяч квадратних метрів були розбиті десятки наметів, споруджені спеціальні лекційні комплекси і розважальні павільйони. У постояльців табору було все необхідне - електрика, їжа і напої і, звичайно, доступ у Всесвітню мережу.

У рамках заходу Chaos Communication Camp 2007 проводилися семінари, лекції і практичні заняття. Учасники конференції ділилися досвідом, демонстрували нові способи взлому криптографічних систем, мереж Wi-Fi тощо. Крім того, обговорювалися питання, пов’язані з захистом відкритих і пропрієтарних програмних платформ, розповсюджених додатків і апаратних рішень. Учасники конференції також демонстрували свої оригінальні проекти і висловлювали свіжі ідеї. На конференцію Chaos Communication Camp зібралися хакери практично з усіх куточків світу.

Варто додати, що нещодавно в Лас-Вегасі (США) пройшли чергова хакерська конференція Black Hat, а також конференція Defcon, присвячена питанням безпеки. У ході цих заходів серед іншого була оприлюднена інформація про нові діри в комп’ютерних системах і програмних продуктах, зокрема, медіаплеєрах і одній з розповсюджених систем диспетчерського керування і збору даних (Supervisory Control and Data Acquisition, SCADA).

По матеріалам http://www.securitylab.ru.

Виявлена можливість підміни адресного рядка в IE. Уразливість дозволяє віддаленому користувачу виконати спуфінг атаку.

Уразливі версії: Microsoft Internet Explorer 7, можливо більш ранні версії.

Уразливість існує через помилку при обробці методу “document.open()”. Віддалений користувач може за допомогою спеціально сформованої веб сторінки підмінити вміст сайта, якщо користувач набере URL вручну в адресному рядку.

• Подмена адресной строки в Microsoft Internet Explorer (деталі)

Співробітники Служби безпеки України Донецької області розслідують три злочини, пов’язані з вторгненнями в комп’ютерні мережі місцевих підприємств, повідомляє прес-служба СБУ.

У першому випадку хакер проникнув у мережу одного з відділень Торгово-промислової палати і спробував перевести 75 тис. гривень ($15 тис.) на рахунок приватної особи.

В другому, відбувся взлом мережі одного з металургійних підприємств. Хакер збільшив кількість металу, призначеного для переплавляння, на 72 тонни, що могло нанести підприємству збиток на суму в 300 тис. гривень ($60 тис.)

Третій випадок відноситься до телефонії - зловмисник виготовив пристрій, за допомогою якого здійснював безкоштовні телефонні розмови. Пристрій був зібраний зі стаціонарного телефону, комп’ютера і спеціального телекомунікаційного устаткування.

Порушено кримінальні справи по статті 361 КК України про несанкціоноване вторгнення в комп’ютерні системи. Стаття передбачає максимальний термін тюремного ув’язнення до 5 років.

По матеріалам http://safe.cnews.ru.

У свій час між виходом Firefox 2.0.0.5 і 2.0.0.6 пройшло менше півмісяця через виявлення нової критичної уразливості. Цього разу після появи оновлення 2.0.0.5 наступній версії браузера, схоже, також не прийдеться довго чекати. Нещодавно була привселюдно розкрита нова уразливість, що дозволяє запускати на комп’ютері жертви будь-які програми.

Друга уразливість також дозволяє віддалено запускати на комп’ютері користувача будь-яке ПЗ. Однак фахівці не виявляють особливого занепокоєння з приводу виявлених уразливостей і вважають, що вони не представляють критичної небезпеки. Керівник відділу безпеки Mozilla Уіндоу Снайдер повідомила про проведення перевірки уразливостей і початку робіт з їхнього усунення.

Обробка URL уже не перший раз стає головним болем для Mozilla. Раніше цей компонент став причиною суперечок між Mozilla та Microsoft. Нагадаю, нещодавно була виявлена “парна” уразливість, що працювала тільки при наявності IE 7 і Firefox 2. Через IE відбувалося завантаження шкідливого коду, спрямованого на запуск і використання в Firefox. Microsoft дотепер відмовляється визнавати яку-небудь провину свого браузера і випускати для нього патч.

По матеріалам http://www.secblog.info.

Виявлена можливість проведення DoS атаки проти Microsoft Internet Information Server.

Уразливі продукти: Internet Information Server 5.0, Windows XP, Internet Information Server 5.1, Internet Information Server 6.0.

Запит типу http://www.example.сom/_vti_bin/.dll/*\~0 для каталогів, у яких дозволене виконання CGI, приводить до відмови сервера і потенційно дозволяє виконання коду.

• Microsoft Security Bulletin MS07-041 - Important Vulnerability in Microsoft Internet Information Services Could Allow Remote Code Execution (деталі)
• Microsoft IIS Remote DoS .DLL Url exploit (деталі)
• Microsoft IIS Remote Denial of Service (DoS) .DLL Url exploit (деталі)