Websecurity - Веб безпека

У Західній Європі неухильно росте інтерес компаній до інформаційної безпеки. Збільшується і відповідна стаття витрат у їхніх бюджетах, і ринок програмних ІБ-решений як такий. У майбутні 12 місяців витрати на ІТ-безпеку у компаніях виростуть на 5%, а ринок до 2011 р. буде зростати на 11,4% щорічно.

Відповідно до дослідження IDC, ІТ-безпека усе вище піднімається по “сходам” корпоративних пріоритетів. 56% компаній у Західній Європі мають намір збільшити витрати на ІТ як такі, і 83% вважають, що за такий же термін виростуть витрати на ІТ-безпеку. У середньому на ІТ опитані компанії витрачають біля $31,5 млн., і якщо зараз на ІБ йде приблизно 6% бюджету, то протягом найближчих 12 місяців ця стаття виросте до 11%.

Що стосується ринку програмних ІБ-рішень, то він - за підсумками 2006 р. - виріс на 19,1% (у порівнянні з 2005 р.). З 2006 по 2011 р. експерти очікують зростання на 11,4% щорічно. Відзначимо: світова статистика показує, що, в цілому, сегмент програмних ІБ-рішень зростає повільніше інших.

“Зростання у цій сфері як і раніше важливе, оскільки потреба в безпеці росте, - сказав менеджер досліджень західноєвропейського ринку програмних продуктів безпеки IDC Ерік Домейдж. - Основними факторами, що стимулюють інвестиції, є необхідність відповідності вимогам регулювальних органів, складність, уразливість технологій і оперативність нападників”.

Цікаво, що при цьому на локальних ринках, незважаючи на збільшення відповідної статті бюджету, ІБ сприймають скоріше негативно. Так, британські CIO здебільшого (68%) не бачать ніякої цінності в ІТ-безпеці, 48% вважають, що загроза сильно перебільшена, а 53% - що це необхідне зло.

По матеріалам http://www.securitylab.ru.

Виявлені проблеми доступу до спеціальних пристроїв у Microsoft .Net (special DOS device).

Уразливі версії: Microsoft Windows 2003 Server.

Запит типу /AUX/.aspx приводить до звертання до спеціального пристрою і може привести до вичерпання ресурсів.

• Question Regarding IIS 6.0 / Is this a DoS??? (деталі)

Експлоіт:

• Lame Internet Information Server 6.0 Denial Of Service (nonpermanent) (деталі)

Фахівці компанії SPI Dynamics попереджають про те, що окремі функції мобільного телефону Apple iPhone можуть являти загрозу безпеки власників апарата.

Уразливість, пов’язана із системою набору номера за допомогою спеціального автоматичного рішення, вбудованого в броузер Safari. За певних умов, зловмисник може перенаправляти виклик власника iPhone на інший телефонний номер, зробити дзвінок без дозволу користувача, заборонити можливість здійснення викликів, а також ініціювати нескінченний цикл набору номерів, вийти з який можна буде тільки шляхом перезавантаження апарата.

Організувати напад, як повідомляється на сайті SPI Dynamics, теоретично можна декількома шляхами. Зловмисники, зокрема, можуть спробувати заманити потенційну жертву на шкідливий веб-сайт. Крім того, провести напад можна і через легальний онлайновий ресурс, вразливий до XSS-атак (Cross-Site Scripting).

“Тому що ця схема може бути використана на будь-якому сайті, а її жертвою може стати будь-який власник iPhone, то дана уразливість класифікована як серйозна”, - говорить Білл Хофман, аналітик з SPI.

Компанія SPI Dynamics підкреслює, що інформація про проблему була спрямована в компанію Apple 6 липня. Власникам мобільника рекомендується не використовувати функцію набору номерів через браузер доти, доки розробники не внесуть зміни в програмну частину iPhone.

По матеріалам http://www.securitylab.ru.

P.S.

Про подібні атаки через XSS я писав в статті Використання уразливостей на локальних машинах. Лише я писав стосовно атак на локальні сервери (через браузер користувача), а в даному випадку через браузер атакується смартфон користувача.

Спільне дослідження корпорації Oracle і Ponemon Institute показало, що більшість компаній зневажають захистом конфіденційної інформації. У той же час більшість ІТ-спеціалістів інформовані про загрози і мають намір змінити ситуацію. У результаті Ponemon прогнозує зростання попиту на продукти безпеки з найближчі рік-півтора.

Так, 42% організацій не використовують можливості по захисту конфіденційних даних належною мірою. На думку ІТ-робітників, поточні системи безпеки не відповідають цілком усім вимогам. У результаті ризик витоків значно підвищується.

У той же час, більшість компаній (55%) у випадку інцидентів зможуть ідентифікувати і сповістити людей, що постраждали від витоку. Це відноситься, насамперед, до персональних даних клієнтів і працівників.

ІТ-спеціалісти рішуче налаштовані зміцнити корпоративну безпеку. Як наслідок, у найближчі 12-18 місяців значно виросте попит на рішення для захисту інформації від витоків.

Відзначимо, що в рамках спільного дослідження Oracle і Ponemon Institute «The 2007 Survey: What Worries IT & Compliance Practitioners Most about Privacy and Data Security» було опитано більше 1000 ІТ-спеціалістів.

По матеріалам http://www.securitylab.ru.

В минулому місяці, 21.06.2007, вийшла нова версія WordPress 2.2.1 - оновлення для гілки WP 2.2.x. Раніше про це не було часу написати, зокрема тому, що в червні був зайнятий проведенням Місяця багів в Пошукових Системах.

WordPress 2.2.1 це багфікс випуск для 2.2 серії. В даній версії було виправлено чимало багів.

Головні виправлення:

• Виправлена валідація Atom стрічки.
• Виправлений XML-RPC.
• Покращена зворотня сумісність Widget.
• Виправлений макет Віджетів для IE7.
• Покращені Page та Text Widget.

Також в WP 2.2.1 виправлені наступні уразливості:

• Remote shell injection в PHPMailer.
• Remote SQL injection в XML-RPC.
• Unescaped attribute в стандартній темі движка.

Два дні тому, 13-го липня, пройшло три роки з дня випуску PHP5.

Команда розробників PHP оголосила, що вони будуть підтримувати стару версію, PHP4, тільки до кінця поточного року. З початку наступного, 2008 року, нових поліпшень для PHP 4.4 виходити більше не буде.

Однак, розробники повідомили про свій намір випускати виправлення безпеки PHP4 до 8-го серпня 2008 року і попросили всіх користувачів PHP4 підготуватися до переходу на PHP5.

Також, вони повідомили, що будуть надавати підтримку користувачам по переходу з PHP4 на PHP5 і викладати відповідну документацію на своєму сайті.

По матеріалам http://www.cnews.ru.

Інтернет-гігант Google оголосив про покупку компанії Postini, що розробляє рішення для роботи з електронною поштою. Сума угоди склала 625 млн. доларів. Варто відзначити, що рішення Postini на сьогодні досить популярні серед західних компаній.

Крім засобів для роботи з E-mail, Postini продає програмне забезпечення для шифрування повідомлень, створення архівів і роботи із сервісами миттєвих повідомлень.

У Google говорять, що рішення Postini будуть запропоновані бізнесам-користувачам системи Gmail і онлайнового офісного пакета Google Apps. За даними Google, на сьогодні нараховується більш 100 000 користувачів комерційної версії Gmail.

Аналітики агентства Bloomberg відзначають, що поглинання Postini стало третім по величині за історію Google. Два інших великих поглинання, це покупка DoubleClick за 3,1 млрд. доларів і YouTube за 1,65 млрд. доларів.

По матеріалам http://www.cybersecurity.ru.

Виявлена можливість підвищення привілеїв в MySQL (RENAME privilege escalation).

Уразливі версії: MySQL 4.0, MySQL 4.1, MySQL 5.0, MySQL 5.1.

При перейменуванні таблиці не перевіряється наявність у користувача повноважень DROP.

• MySQL does not require the DROP privilege for RENAME TABLE statements (деталі)

Новоград-Волинський міськрайонный суд Житомирської області визнав 37-літнього жителя міста Новоград-Волинський Сергія К. винним у здійсненні злочину, передбаченого частиною 2 статті 361 (”Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж”) Кримінального кодексу України, і призначив покарання у виді трьох років позбавлення волі з конфіскацією програмних і технічних засобів, за допомогою яких було вчинено несанкціоноване втручання.

Як повідомляє прес-група Управління Служби безпеки України в Житомирській області, чий слідчий відділ відкрив і розслідував щодо нього кримінальну справу, громадянин України Сергій К. обвинувачувався в несанкціонованому втручанні в роботу електронно-обчислювальної машини, що привело до витоку інформації у вигляді логіна і пароля газети “Звягель-інформ”, необхідних для виходу в мережу Інтернет, а також кількаразовому (точніше - 99-разовому) несанкціонованому втручанні в роботу комп’ютерної мережі житомирської філії “Уктрелекома” і глобальної комп’ютерний мережі Інтернет, що привело до блокування інформації газети “Звягель-інформ”.

З урахуванням пом’якшуючих обставин Сергій К. звільнений від відбування основного покарання з заміною його іспитовим терміном 1,5 року.

По матеріалам http://www.securitylab.ru.

Виявлена можливість виконання довільного коду в Microsoft IIS. Уразливість дозволяє віддаленому користувачу виконати довільний код на цільовій системі.

Уразливі продукти: Internet Information Services (IIS) 5.1 та Windows XP.

Уразливість існує через помилку при обробці URL запитів. Віддалений користувач може за допомогою спеціально сформованих URL запитів до веб сторінки, що знаходиться на уразливому сервері, виконати довільний код на цільовій системі.

• Выполнение произвольного кода в Microsoft IIS (деталі)