Websecurity - Веб безпека

На днях, 30.08.2007, вийшов PHP 5.2.4, у якому виправлено більш 120 помилок, усунуто 12 проблем пов’язаних з безпекою (точніше 14, з урахуванням двох виправлень попередніх виправлень):

• Помилка виконання операції з плаваючою крапкою у функції wordwrap();
• Цілочислене переповнення в GD розширенні;
• Помилка обчислення розміру у функції chunk_split();
• Цілочислене переповнення у функціях str[c]spn();
• Помилка обробки операторів %i та %n у функції money_format();
• Проблеми з встановленням обмежень memory_limit у zend_alter_ini_entry();
• Проблеми з роботою опцій INFILE LOCAL у випадку використання розширення MySQL і включених обмежень open_basedir чи safe_mode.
• Помилка перевірки параметрів у session.save_path і error_log на предмет подпадания під ліміти open_basedir і safe_mode;
• Проблеми читання даних у функції glob() на win32 платформі;
• Переповнення буфера в php_openssl_make_REQ;
• Обхід обмежень open_basedir усередині функції glob();
• Обхід обмежень open_basedir у розширенні організуючому роботу користувацьких сесій, у випадку коли файл сесії є сімлінком.
• А також покращений фікс для MOPB-03-2007.
• Та виправлений фікс для CVE-2007-2872.

Крім того, інтегрована бібліотека PCRE обновлена до версії 7.2, у модуль pdo_pgsql додані засоби для спостереження за станом постійного (persistent) з’єднання до СУБД.

Всім користувачам рекомендується встановити останню версію PHP.

По матеріалам http://www.php.net та http://www.opennet.ru.

Виявлена уразливість перетаскування файлів в Internet Explorer (drag-n-drop vulnerability).

Уразливі версії: Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 6.0.

Використовуючи javascript у сполученні з shell:startup можливо помістити будь-який файл у папку автозапуску при перетаскуванні об’єкта чи прокрутці сторінки.

• Two Unpublished IE Cases (деталі)
• What A Drag (деталі)
• What A Drag II XP SP2 (деталі)
• What A Drag! -revisited- (деталі)

Як повідомив в серпні RSnake в своєму записі Mozilla Says “Ten Fucking Days”, під час Блекхету він та Джеремія спілкувалися з представниками Мозіли. І коли розмова зайшла щодо патчів (в тому числі і для критичних дірок) і строків їх створення, то представник Мозіли заявив, що вони зможуть випускати патчі для будь-яких уразливостей за 10 днів. Навіть написав це на своїй візитівці, котру вручив RSnak’у . Котру він розмістив в себе на сайті.

Джеремія також висловився з цього приводу в своєму записі Mozilla says critical patches in “Ten #$%*ing Days”. І після публікації Роберта, в коментарях до його поста Майк Шейвер надав роз’яснення своїй заяві, а також Уіндоу Снайдер зробила офіційну заяву в блозі Мозіли.

За повідомленням securitylab.ru, Mozilla заявила, що вони не готові усувати будь-які уразливості в 10-денний термін.

Mozilla не готова усувати будь-які уразливості максимум за 10 днів, заявила Уіндоу Снайдер, глава з питань безпеки продуктів компанії. Про 10 днів для будь-якого патча на конференції Black Hat 2007 сказав директор по розвитку екосистеми Майк Шейвер у розмові з Робертом Хенсеном на прізвисько RSnake.

“Оскільки ми є одним із самих відповідальних постачальників софта, дослідникам безпеки не має сенсу цілком розкривати дані про уразливості, для того щоб змусити нас випускати патчі швидше, - пише Уіндоу в блозі безпеки Mozilla. - Ми не вважаємо, що безпека - це гра, і ми не кидаємо виклики і не висуваємо ультиматуми”.

У північному іспанському місті Естрелья поліція затримала громадянина України, підозрюваного в Інтернет-шахрайстві, повідомив у вівторок представник Головного управління Національної поліції Іспанії.

“Українець затриманий за те, що незаконно зняв з банківського рахунка жителя мадридського пригорода Парла біля €3 тис. і перевів цю суму на свій власний рахунок в одному з банків Іспанії”, - сказав співробітник поліції, що відмовився назвати ім’я і прізвище затриманого, пославшись на таємницю слідства.

За словами поліцейського, “шахрай копіював web-сторінки відомих банків і розсилав їх безлічі потенційних жертв, пропонуючи їм робити фінансові операції по Інтернету, заповнюючи відповідні електронні формуляри з вказанням банківських реквізитів і кодів”.

“Житель Парли вирішив, що новий вид послуги запропонований його банком і дав по підробленій веб-сторінці розпорядження зняти зі свого рахунка гроші для оплати комунальних послуг, указавши свої банківські коди”, - відзначив представник поліції. Він пояснив, що “одержавши потрібні коди, шахрай зняв з рахунка всі гроші, що там були, у розмірі €3 тис. і перевів їх на свій рахунок”.

“Поліція швидко знайшла і затримала шахрая: зараз вона з’ясовує, чи є житель мадридського пригорода єдиною жертвою українця, чи ж від нього постраждали ще якісь особи”, - сказав поліцейський.

По матеріалам http://ain.com.ua.

P.S.

Ось так затримали фішера. Причому доволі швидко (аж підозріло) - бо на сьогодні фішерів рідко коли ловили (лише вони своїх жертв ловлять). Не варто займатися інтернет-шахрайством.

Виявлена можливість виконання довільних команд в Mozilla Firefox. Уразливість дозволяє віддаленому користувачу виконати довільні команди на цільовому комп’ютері.

Уразливі версії: Mozilla Firefox 2.0.0.5, можливо більш ранні версії.

Уразливість існує через недостатню перевірку вхідних даних у різних URI оброблювачах. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільні команди на цільовій системі.

В якості виправлення для даної уразливості рекомендується вимкнути непотрібні оброблювачі URI (або оновити браузер до версії 2.0.0.6). В налаштуваннях FF, в about:config, потрібно встановити значення false для наступних параметрів: network.protocol-handler.external.news, network.protocol-handler.external.snews, network.protocol-handler.external.mailto, network.protocol-handler.external.nntp.

До речі, як я писав, в новій версії Firefox 2.0.0.6 вже також були знайдені уразливості.

• Выполнение произвольных команд в Mozilla Firefox (деталі)

У період між груднем 2005 р. і листопадом 2006 р. кількість загроз зрослася на 163%, повідомляє Trend Micro за результатами дослідження, спрямованого на вивчення досвіду реакції корпоративних користувачів на загрози безпеки, а також сприйняття ними цих загроз. У 5,4 рази збільшилося число Інтернет-загроз - за період із січня 2005 р. по січень 2007 р.

Через прихований характер зараження багато користувачів недостатньо серйозно відносяться до власної ІБ. Ступінь сприйняття загроз у різних країнах відрізняється. Респонденти з Великобританії сприймають загрози безпеки в 2007 р. менш серйозно, чим у 2005 р. На відміну від них, респонденти з Німеччини вважають, що в 2007 р. загрози стали більш серйозними в порівнянні з 2005 р.

40% респондентів зі США упевнені, що їхній робочий комп’ютер краще захищений від спама, шпигунських програм і фішинга в порівнянні з домашнім комп’ютером. У результаті ці користувачі з більшою імовірністю заходять по підозрілих лінках, коли знаходяться на робочому місці (17% респондентів).

Дослідження Trend Micro і результати опитування свідчать про збільшення обсягу спама в період між 2005 і 2007 р. Незважаючи на те, що 4 з 10 респондентів із усіх чотирьох країн (США, Великобританії, Німеччині і Японії) повідомили про те, що за останні 3 місяці стало більше спама, опитування американських користувачів свідчить про загальне зменшення частки спама (84% у 2005 р. у порівнянні з 72% у 2007 г).

Відсоток респондентів, що зіштовхнулися зі шпигунським ПО, зменшився в США (41% у 2005 р. у порівнянні з 35% у 2007 р.) і Німеччини (23% у 2005 р. у порівнянні з 19% у 2007 р.). Найбільш помітне зменшення відбулося у Великобританії (42% у 2005 р. у порівнянні з 26% у 2007 р.).

Дослідження також показало, що кінцеві користувачі з Японії в основному покладаються на свої ІТ-відділи. Протягом трьох місяців перед проведенням опитування близько 44% респондентів зверталися до ІТ-спеціалістів своїх компаній. Корпоративні ж користувачі зі США менше звертаються у свої ІТ-відділи за порадою і підтримкою - тільки 24% респондентів зверталися туди протягом цього тримісячного періоду.

Однак респонденти зі США також з більшою імовірністю всерйоз розглядають більшість загроз безпеки - особливо в порівнянні з респондентами з Великобританії. Як приклад: 60% американських респондентів відзначили, що вони вважають шпигунське ПО серйозною загрозою, у порівнянні з 48% респондентів з Великобританії. Подібним же чином 48% респондентів зі США вважають спам небезпечним, тоді як аналогічної думки дотримують тільки 27% респондентів з Великобританії. 48% усіх респондентів, що стали жертвами шпигунських програм чи фішинга, вважають, що їхній ІТ-підрозділ міг би запобігти цьому інциденту.

По матеріалам http://www.securitylab.ru.

Нещодавно корпорація опублікувала дев’ять бюлетенів безпеки. Я зупинюся лише на уразливостях в IE.

Корпорація Microsoft випустила чергову порцію патчів, що усувають небезпечні діри в операційних системах Windows різних версій, офісних додатках і браузері Internet Explorer.

Усього в поточному місяці Microsoft опублікувала дев’ять бюлетенів безпеки, шість з який містять інформацію про критичні діри. Одна з проблем пов’язана з помилками, що виникають при відображенні сторінок у форматі VML (Vector Markup Language). Зловмисник за допомогою спеціально сформованого веб-сайта може виконати довільний шкідливий код на віддаленому комп’ютері. Дірка присутня в браузерах Internet Explorer версій 6 і 7, що входять до складу операційних систем Windows ХР і Windows Vista.

Критично небезпечні уразливості також виявлені в реалізації протоколу OLE Automation (Object Linking and Embedding) і комплексі Microsoft XML Core Services (MSXML). В обох випадках для проведення атаки нападнику необхідно заманити користувача на сформовану спеціальним чином веб-сторінку.

По матеріалам http://www.secblog.info.

P.S.

В наступному вівторку патчів Майкрософту варто також випустити виправлення для знайденної мною уразливості в Internet Explorer.

Виявлено декілька уразливостей в Adobe Flash Player. Знайдені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних і скомпрометувати цільову систему.

Уразливі версії: Adobe Flash Player 9.x, Macromedia Flash Player 7.x, Macromedia Flash Player 8.x.

1. Уразливість існує через помилку при обробці вхідних даних. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі. Уразливості піддаються версія 9.0.45.0 і більш ранні.

2. Уразливість існує через помилку у взаємодії Flash Player з деякими браузерами. Віддалений користувач може за допомогою спеціально сформованої веб сторінки перехопити натискання клавіш і переслати їх Flash Player апплету. Уразливості піддаються версія 7.0.69.0 і більш ранні на платформах Linux і Solaris.

3. Уразливість існує через недостатню обробку HTTP Referer. Віддалений користувач може виконати CSRF атаку. Уразливість існує в 8.0.34.0 і більш ранніх версіях.

Всім користувачам рекомендується встановити останню версію Flash Player 9.0.47.0.

• Несколько уязвимостей в Adobe Flash Player (деталі)

Взлом найбільшого у світі рекрутінгового сайта Monster.com, зафіксований наприкінці минулого тижня, був здійснений з комп’ютера, розташованого на території України. До такого висновку прийшли фахівці компанії Symantec, що відповідає за безпеку Monster.com.

Зловмисники викрали близько 1,6 мільйона записів з бази даних Monster. Хоча не кожна з них містила персональну інформацію про користувачів сайта, у руках хакерів виявилися докладні відомості про сотні тисяч чоловік. Адміністрація Monster пообіцяла “ужити заходів”, однак у чому вони будуть полягати, поки не уточнюється.

Доступ до баз даних сайта, на якому розміщено більш 70 мільйонів резюме, був здійснений за допомогою троянської програми Infostealer.Monstres. Користувачі залишали наступну інформацію про себе: адреси, телефони й електронну пошту; ніяких відомостей про номери кредитних карт і банківських рахунків на Monster не містилося. Зловмисники почали розсилання листів нібито від імені Monster із пропозицією встановити деякий додатковий модуль для роботи із сайтом. Під виглядом модуля хакери намагаються змусити користувачів установити на свої машини шпигунські програми.

По матеріалам http://lenta.ru.

Польський дослідник Michal Zalewski, що регулярно виявляє уразливості в популярних броузерах, відзвітувався ще про чотири, по дві у кожному.

Сама небезпечна дісталася IE - у короткий момент переходу від однієї сторінки до іншої нападник може виконати скрипт зі старої сторінки в контексті нової. Що відкриває ряд цікавих можливостей, включаючи крадіжку кук, впровадження коду тощо. Друга уразливість IE відноситься до шостої версії і дає можливість атакуючій сторінці прикинутися іншим сайтом.

Перша уразливість FF пов’язана з обробкою вбудованих фреймів і дозволяє стороннім сайтам підмінювати їхній вміст. Друга пов’язана з затримками, використовуваними при виведенні деяких діалогів з підтвердженням. За допомогою ланцюжка операцій втрати й встановлення фокуса нападник може примусити жертву завантажити і виконати довільний код.

По матеріалам http://bugtraq.ru.

P.S.

Нещодавно я писав, про знайдену мною нову уразливість в Internet Explorer.