Websecurity - Веб безпека

Дослідницька лабораторія TrendLabs компанії Trend Micro повідомила про серйозну епідемію, що торкнулася тисячі популярних італійських сайтів. Шкідливий код, що знаходиться на заражених сайтах, встановлює на комп’ютер користувача програму, здатну викрадати паролі і перетворювати комп’ютер у сервер, призначений для здійснення зловмисних атак. За даними TrendLabs, від зараження постраждали десятки тисяч користувачів по всьому світі.

Переважна більшість потерпілих сайтів спочатку знаходилося в Італії, однак дуже швидко атака поширилася по всьому світі. На заражених сайтах розміщений код, що направляє відвідувачів на сервер, де знаходиться набір хакерських інструментів Mpack. За допомогою цих експлоітів фіксується інформація про комп’ютери, що атакуються, включаючи IP-адреси, а також уразливості, які можна використовувати для взлому. Примітно, що Mpack можна придбати на ряді російських сайтів приблизно за $700.

Сайти, що стали небезпечними для відвідування, охоплюють широкий спектр інтересів - від туризму, автомобілів, фільмів і музики, податків і послуг по працевлаштуванню до сайтів деяких італійських міських рад і готелів. У їхнє число потрапили навіть ресурси, пов’язані з Джоном Бон Джові і Матір’ю Терезою.

Протягом 48 годин після початку епідемії було взломано більш 2000 італійських сайтів, Trend Micro реєструвала подвоєння числа жертв кожні 6-8 годин.

По матеріалам http://www.3dnews.ru.

Виявлений витік інформації в Firefox (information leak). Уразливі версії: Mozilla Firefox 2.0.

Використовуючи зворотний шлях в URL resource:// можна перевірити існування файлу.

• Firefox 0day local file reading (деталі)

Співробітники організації SANS Internet Storm Center знайшли на одному із сайтів в Інтернеті GIF-файл із впровадженим всередину нього шкідливим кодом.

Як повідомляється, потенційно небезпечний файл був розміщений у базі даних великого онлайнового сервісу по збереженню цифрових зображень. Експерти підкреслюють, що на початку цього файлу закодоване зображення одного пікселя, тоді як інша частина файлу являє собою шкідливий код на мові РНР. Теоретично шкідливі GIF-зображення можуть використовуватися з метою одержання несанкціонованого доступу до комп’ютера жертви. Для організації нападу зловмисникам досить заманити користувача на веб-сторінку з розміщеним на ній GIF-файлом. При відкритті такої сторінки шкідливий РНР-код, впроваджений всередину зображення, буде виконаний автоматично.

Фахівці SANS Internet Storm Center не уточнюють, які саме дії виконує на машині жертви виявлений ними GIF-файл. Невідомо також і те, чи були зафіксовані практичні випадки проведення атак із застосуванням нової методики.

По матеріалам http://www.securitylab.ru.

18.07.2007

Виявлено декілька уразливостей в Microsoft .NET Framework.

Уразливі версії: .NET Framework 1.0, .NET Framework 2.0.

Виявлені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних і виконати довільний код на цільовій системі.

1. Уразливість існує через помилку перевірки границь даних у PE Loader. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі. Уразливість не є експлуатованою на Windows Vista.

2. Уразливість існує через помилку в ASP.NET при обробці URL, що містять NULL байти. Віддалений користувач може за допомогою спеціально сформованого запиту одержати неавторизований доступ до деяких частин веб сайта.

3. Уразливість існує через помилку перевірки границь даних у Just In Time Compiler (JIT). Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі. Уразливість існує тільки в .NET Framework 2.0 і не є експлуатованою на Windows Vista.

• Несколько уязвимостей в .NET Framework (деталі)

22.07.2007

Численні уразливості в платформі Microsoft .Net.

Переповнення буфера при розборі форматa PE .Net, переповнення буфера в компіляторі JIT, витік інформації через ASP.NET з використанням уразливості poisoned NULL byte.

• Multiple .NET Null Byte Injection Vulnerabilities (деталі)
• Microsoft Security Bulletin MS07-040 - Critical Vulnerabilities in .NET Framework Could Allow Remote Code Execution (931212) (деталі)

У Західній Європі неухильно росте інтерес компаній до інформаційної безпеки. Збільшується і відповідна стаття витрат у їхніх бюджетах, і ринок програмних ІБ-решений як такий. У майбутні 12 місяців витрати на ІТ-безпеку у компаніях виростуть на 5%, а ринок до 2011 р. буде зростати на 11,4% щорічно.

Відповідно до дослідження IDC, ІТ-безпека усе вище піднімається по “сходам” корпоративних пріоритетів. 56% компаній у Західній Європі мають намір збільшити витрати на ІТ як такі, і 83% вважають, що за такий же термін виростуть витрати на ІТ-безпеку. У середньому на ІТ опитані компанії витрачають біля $31,5 млн., і якщо зараз на ІБ йде приблизно 6% бюджету, то протягом найближчих 12 місяців ця стаття виросте до 11%.

Що стосується ринку програмних ІБ-рішень, то він - за підсумками 2006 р. - виріс на 19,1% (у порівнянні з 2005 р.). З 2006 по 2011 р. експерти очікують зростання на 11,4% щорічно. Відзначимо: світова статистика показує, що, в цілому, сегмент програмних ІБ-рішень зростає повільніше інших.

“Зростання у цій сфері як і раніше важливе, оскільки потреба в безпеці росте, - сказав менеджер досліджень західноєвропейського ринку програмних продуктів безпеки IDC Ерік Домейдж. - Основними факторами, що стимулюють інвестиції, є необхідність відповідності вимогам регулювальних органів, складність, уразливість технологій і оперативність нападників”.

Цікаво, що при цьому на локальних ринках, незважаючи на збільшення відповідної статті бюджету, ІБ сприймають скоріше негативно. Так, британські CIO здебільшого (68%) не бачать ніякої цінності в ІТ-безпеці, 48% вважають, що загроза сильно перебільшена, а 53% - що це необхідне зло.

По матеріалам http://www.securitylab.ru.

Виявлені проблеми доступу до спеціальних пристроїв у Microsoft .Net (special DOS device).

Уразливі версії: Microsoft Windows 2003 Server.

Запит типу /AUX/.aspx приводить до звертання до спеціального пристрою і може привести до вичерпання ресурсів.

• Question Regarding IIS 6.0 / Is this a DoS??? (деталі)

Експлоіт:

• Lame Internet Information Server 6.0 Denial Of Service (nonpermanent) (деталі)

Фахівці компанії SPI Dynamics попереджають про те, що окремі функції мобільного телефону Apple iPhone можуть являти загрозу безпеки власників апарата.

Уразливість, пов’язана із системою набору номера за допомогою спеціального автоматичного рішення, вбудованого в броузер Safari. За певних умов, зловмисник може перенаправляти виклик власника iPhone на інший телефонний номер, зробити дзвінок без дозволу користувача, заборонити можливість здійснення викликів, а також ініціювати нескінченний цикл набору номерів, вийти з який можна буде тільки шляхом перезавантаження апарата.

Організувати напад, як повідомляється на сайті SPI Dynamics, теоретично можна декількома шляхами. Зловмисники, зокрема, можуть спробувати заманити потенційну жертву на шкідливий веб-сайт. Крім того, провести напад можна і через легальний онлайновий ресурс, вразливий до XSS-атак (Cross-Site Scripting).

“Тому що ця схема може бути використана на будь-якому сайті, а її жертвою може стати будь-який власник iPhone, то дана уразливість класифікована як серйозна”, - говорить Білл Хофман, аналітик з SPI.

Компанія SPI Dynamics підкреслює, що інформація про проблему була спрямована в компанію Apple 6 липня. Власникам мобільника рекомендується не використовувати функцію набору номерів через браузер доти, доки розробники не внесуть зміни в програмну частину iPhone.

По матеріалам http://www.securitylab.ru.

P.S.

Про подібні атаки через XSS я писав в статті Використання уразливостей на локальних машинах. Лише я писав стосовно атак на локальні сервери (через браузер користувача), а в даному випадку через браузер атакується смартфон користувача.

Спільне дослідження корпорації Oracle і Ponemon Institute показало, що більшість компаній зневажають захистом конфіденційної інформації. У той же час більшість ІТ-спеціалістів інформовані про загрози і мають намір змінити ситуацію. У результаті Ponemon прогнозує зростання попиту на продукти безпеки з найближчі рік-півтора.

Так, 42% організацій не використовують можливості по захисту конфіденційних даних належною мірою. На думку ІТ-робітників, поточні системи безпеки не відповідають цілком усім вимогам. У результаті ризик витоків значно підвищується.

У той же час, більшість компаній (55%) у випадку інцидентів зможуть ідентифікувати і сповістити людей, що постраждали від витоку. Це відноситься, насамперед, до персональних даних клієнтів і працівників.

ІТ-спеціалісти рішуче налаштовані зміцнити корпоративну безпеку. Як наслідок, у найближчі 12-18 місяців значно виросте попит на рішення для захисту інформації від витоків.

Відзначимо, що в рамках спільного дослідження Oracle і Ponemon Institute «The 2007 Survey: What Worries IT & Compliance Practitioners Most about Privacy and Data Security» було опитано більше 1000 ІТ-спеціалістів.

По матеріалам http://www.securitylab.ru.

В минулому місяці, 21.06.2007, вийшла нова версія WordPress 2.2.1 - оновлення для гілки WP 2.2.x. Раніше про це не було часу написати, зокрема тому, що в червні був зайнятий проведенням Місяця багів в Пошукових Системах.

WordPress 2.2.1 це багфікс випуск для 2.2 серії. В даній версії було виправлено чимало багів.

Головні виправлення:

• Виправлена валідація Atom стрічки.
• Виправлений XML-RPC.
• Покращена зворотня сумісність Widget.
• Виправлений макет Віджетів для IE7.
• Покращені Page та Text Widget.

Також в WP 2.2.1 виправлені наступні уразливості:

• Remote shell injection в PHPMailer.
• Remote SQL injection в XML-RPC.
• Unescaped attribute в стандартній темі движка.

Два дні тому, 13-го липня, пройшло три роки з дня випуску PHP5.

Команда розробників PHP оголосила, що вони будуть підтримувати стару версію, PHP4, тільки до кінця поточного року. З початку наступного, 2008 року, нових поліпшень для PHP 4.4 виходити більше не буде.

Однак, розробники повідомили про свій намір випускати виправлення безпеки PHP4 до 8-го серпня 2008 року і попросили всіх користувачів PHP4 підготуватися до переходу на PHP5.

Також, вони повідомили, що будуть надавати підтримку користувачам по переходу з PHP4 на PHP5 і викладати відповідну документацію на своєму сайті.

По матеріалам http://www.cnews.ru.