Websecurity - Веб безпека

У журналі PC Magazine був опублікований список з десяти самих популярних паролів, що найбільш часто використовуються користувачами в Мережі. Якщо якимось чином ви використовуєте один з цих паролів, рекомендуємо їх негайно змінити.

Список самих популярних паролів на думку PC Magazine:

1. password;
2. 123456;
3. qwerty;
4. abc123;
5. letmein;
6. monkey;
7. myspace1
8. password1;
9. blink182;
10. (имя пользователя).

По матеріалам http://www.3dnews.ru.

Виявлений витік інформації в Python (information leak).

Уразливі версії: Python 2.4, Python 2.5.

Функція strxfrm дозволяє читати вміст пам’яті.

• Off-by-one error in the PyLocale_strxfrm function in Python 2.4 and 2.5 (деталі)

На триваючій у Лас-Вегасі (США) конференції Microsoft Mix07 представники софтверного гіганта розповіли про те, що буде представляти із себе майбутня версія броузера Internet Explorer 8.

Кріс Уілсон, програмний архітектор підрозділу IE відзначив, що якщо про майбутнє IE8 говорити двома словами, то це буде удосконалена версія IE7. Також він сказав, що 8 версія з’явиться восени 2008 року. “Основні пріоритети при розробці IE8 - це ще більша безпека, простота використання, а також утілення всіх новітніх технологій” - сказав Уілсон.

Окремо він відзначив, що Microsoft інвестує додаткові кошти в створення нових розширень системи каскадних таблиць стилів CSS 2.1. Крім того, IE8 буде підтримувати тісну інтеграцію з альтернативними броузерами.

На додаток до цього Уілсон примітив, що веб-разробки Ajax потребують поліпшеної підтримки з боку броузерів і клієнтських додатків у цілому. Взагалі, за його словами, IE8 буде максимально старанний до стандартів по обробці коду і рендерінга сторінок.

“Сьогодні ми працюємо над проблемою стандартизації в W3C технологій HTML 5 і XHTML 1.5″ - резюмував він.

По матеріалам http://www.secblog.info.

Виявлені можливості DoS атак проти Microsoft Internet Explorer через різні параметри ActiveX.

Уразливі продукти: Internet Explorer 6 та 7 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista та DivX Player 6.4.

Помилки виникають при звертанні по нульовому вказівнику.

• Vulnerability in ActiveX control in the Common Controls Replacement Project CCRP BrowseDialog Server (ccrpbds6.dll) (деталі)
• Vulnerability in multiple ActiveX controls (Internet Explorer crash) (деталі)
• Vulnerability in DivXBrowserPlugin (aka DivX Web Player) npdivx32.dll (деталі)
• Vulnerability in ActiveX control in the Common Controls Replacement Project CCRP BrowseDialog Server (ccrpbds6.dll) (деталі)
• Vulnerability in Common Controls Replacement Project (CCRP) FolderTreeview (FTV) ActiveX control (ccrpftv6.ocx) (деталі)

За даними вірусних аналітиків, кількість сайтів, що містять шкідливий код за останній рік більш ніж подвоїлася, причому чимало з цих сайтів використовуються для подальшого поширення коду.

Так, у першому кварталі 2007 року компанія Sophos знайшла 23864 сайта, що містять віруси, трояни чи шпигунське ПО, що вище аналогічного показника за минулий рік (9450 сайтів). У той же час, за даними компанії в першому кварталі в день у середньому з’являлося по 5000 сторінок, що містять різне шкідливе ПО.

Примітно, що близько 70% сайтів, що містять шкідливе ПО, були легітимними сайтами, котрі були просто взломані хакерами і туди був впроваджений зловмисний код.

Разом з тим, фахівці попереджають, що користувачі здатні захиститися від даних загроз просто встановивши антивірус, різні інформери про вірусну активність і браузерні плагіни, що сканують сайти на приналежність до фішерських. Також Sophos відзначає, що на сьогодні як і раніше велика частина вірусів і троянів пишеться під Windows, платформи Linux і MacOS X не настільки приваблюють хакерів.

У першому кварталі 2007 року близько 40% сайтів, що містять шкідливі коди працювали з території Китаю, на другому місці США - близько 30%.

По матеріалам http://itua.info.

Уже втретє за цей рік компанія Apple змушена випускати оновлення для системи безпеки плеєра QuickTime. Новий апдейт закриває уразливість, через яку можна запустити шкідливий код на віддаленому комп’ютері. Помилку знайшли в рамках змагання “Hack a Mac”, що проводилося на конференції CanSecWest у квітні.

Відповідно до інформації від Apple, помилка пов’язана з Java. Якщо розмістити на сайті шкідливий Java-апплет, то це може привести до аварійного збою всієї системи.

Обновлену версію QuickTime 7.1.6 для Windows і Mac OS можна скачати з сайта компанії.

• Apple снова закрыла уязвимость в QuickTime (деталі)

Виявлено декілька уразливостей в Microsoft Internet Explorer. Уразливі версії: Internet Explorer 5.01, Internet Explorer 6.x, Internet Explorer 7.x.

Знайдені уразливості дозволяють віддаленому користувачу виконати довільний код на цільовій системі.

1. Уразливість існує через помилку при ініціалізації COM об’єктів Imjpcksid.dll та Imjpskdic.dll, не призначених для ініціалізації в Internet Explorer. Віддаленний користувач може викликати ушкодження пам’яті і виконати довільний код на цільовій системі.

2. Уразливість існує через помилку при ініціалізації COM об’єктів Msb1fren.dll, Htmlmm.ocx і Blnmgrps.dll, не призначених для ініціалізації в Internet Explorer. Віддалений користувач може викликати ушкодження пам’яті і виконати довільний код на цільовій системі.

3. Уразливість існує через помилку при обробці відповідей FTP сервера. Віддалений користувач, що контролює FTP сервер, може за допомогою спеціально сформованої відповіді викликати ушкодження пам’яті і виконати довільний код на цільовій системі.

• Несколько уязвимостей в Microsoft Internet Explorer (деталі)

Організована злочинність постійно атакує Інтернет, котрий став неймовірно ворожим місцем.

Організована злочинність проникає у ваш комп’ютер, щоб використовувати його для організації великомасштабних злочинних діянь - наприклад, фішинга; а програми, що використовуються хакерами, пишуться в Росії. Таку думку висловив Філ Циммерман, творець програми PGP, в інтерв’ю з блогером Діном Такахаши.

Злочинці заробляють за допомогою Інтернету багато грошей. Коли сегмент VoIP виросте настільки, що залучить їхню увагу, вони займуться і телефонією, почнуть прослухувати конфіденційні розмови, заволодіють інсайдерською інформацією. При цьому люди, що займаються подібними речами, не повинні бути фахівцями. Не виключено, що в Росії є люди, що створюють програмне забезпечення і згодом продають його злочинцям. Це також означає, що зловмисникам стануть доступні телефонні розмови прокурорів і суддів, інформація про інформаторів та свідків. Це може вплинути на роботу системи правосуддя, стверджує розробник PGP.

На думку джерела, настільки грізний прогноз зробить непогану рекламу для циммермановської розробки. Побоювання Циммермана підтверджують і слова Брюса Шнайера, автора “Прикладної криптографії”, котрий упевнений, що VoIP має потребу в сильній криптографії.

З зауваженням Діна Такахаши про те, що уряду може не сподобатися шифрування VoIP-размов, Філ Циммерман погодився. Однак замітив, що уряд довго пишався своїми можливостями по вторгненню в особисте життя громадян шляхом прослуховування телефонних дзвінків, однак найближчим часом ситуація зміниться завдяки широкому поширенню інтернет-телефонії.

По матеріалам http://itnews.com.ua.

Вийшов черговий пакет оновлень до Oracle (critical patch update).

Уразливі продукти: Oracle 9i, Oracle 10g, Oracle Secure Enterprise Search 10g, Oracle Application Server 10g, Oracle10g Collaboration Suite, Oracle E-Business Suite Release 11i, Oracle E-Business Suite Release 12, Oracle Enterprise Manager 9i, PeopleTools 8.48, PeopleTools 8.47, PeopleTools 8.22, Human Capital Management 8.9, JD Edwards EnterpriseOne Tools 8.96.

Пакет виправлень усуває 36 уразливостей в продуктах Oracle, включаючи 13 уразливостей сервера баз даних.

• Oracle Database Buffer overflow vulnerabilities in package DBMS_SNAP_INTERNAL (деталі)
• ZDI-07-016: Oracle E-Business Suite Arbitrary Node Deletion Vulnerability (деталі)
• ZDI-07-017: Oracle E-Business Suite Arbitrary Document Download Vulnerability (деталі)
• Bypass Oracle Logon Trigger (деталі)
• SQL Injection in package SYS.DBMS_AQADM_SYS (деталі)
• SQL Injection in package SYS.DBMS_UPGRADE_INTERNAL (деталі)
• Cross-Site-Scripting Vulnerability in Oracle Secure Enterprise Search (SES) (деталі)
• Shutdown unprotected Oracle TNS Listener via Oracle Discoverer Servlet [AS01] (деталі)
• Oracle Critical Patch Update - April 2007 (деталі)

У В’єтнамі в 2006 році зареєстровано більш 16 млн. атак комп’ютерних вірусів, у тому числі близько 900 “нових” вірусів.

Згідно даним Центра мережевої безпеки BKIS, тільки з початку року вже з’явилося більш 300 нових шкідливих програм, що в чотири рази перевищує дані 2005 року. За останній місяць майже півмільйону місцевих комп’ютерів було заражено вірусами.

Разом з тим, аналітики прогнозують ріст у поточному році точечних атак хакерів на місцеві веб-сайти. Торік було зареєстровано 350 підібних атак.

По матеріалам http://news.liga.net.

P.S.

Хоча й число атак на сайти в минулому році не велике (350 атак), але в порівнянні з хакерською активністю в Уанеті, то В’єтнам нас серйозно випереджає по цьому показнику. Причому випереджає в 70 разів (в Уанеті мною виявлено лише 5 випадків атак в 2006 році).