Websecurity - Веб безпека

Виявлене цілочислене переповнення в Mozilla Firefox (integer overflow). Уразливі версії: Firefox 2.0.

Переповнення відбувається при великих розмірах зображення GIF.

• Re: [Full-disclosure] firefox 2.0.0.2 crash (деталі)
• [Full-disclosure] firefox 2.0.0.2 crash (деталі)

Не секрет, що 2006 рік запам’ятався не тільки новими програмами, технологіями і голосними анонсами. Безпека - люди, що намагаються її забезпечити і ті, хто намагаються її зламати, безумовно стали одними з головних діючих осіб ІТ-індустрії в минулому році. Представляємо вашій увазі п’ятірку особистостей за версією порталу eWeek, чия діяльність весь рік не давала спокою дослідникам безпеки, щораз розвіюючи надію про появу абсолютно захищеного коду.

H.D. Moore - свого роду культовий персонаж у хакерському середовищі. Як дослідник і автор шкідливих модулів написав відомий хакерський open-source додаток Metasploit Framework. У 2006 році обновив програму, наділив її новими можливостями, зокрема автоматизував використання для атак скриптів.

Результати досліджень H.D. Moore були включені у відомий публічний проект “Month of Browser Bugs”, у ході якого розкрилися серйозні уразливості ядра в багатьох популярних програмах, включаючи драйвери Wi-Fi, браузери і пошукову систему Google. Хакери захоплюються його принципами роботи, зате продавці ПО засуджують за публічне розкриття виявлених помилок.

На конференції Black Hat у Лас-Вегасі хакер Джон “Джоні Кеш” Елч (Jon “Johnny Cache” Ellch) об’єднався з дослідником SecureWorks Девідом Мейнором (David Maynor), щоб попередити користувачів відносно уразливостей при використанні бездротових пристроїв. У результаті були розкриті численні помилки в продуктах Mac, що Apple дотепер не “розгребла”. Дослідники безпеки по достоїнству оцінили пророблену роботу. Одна з помилок, розкрита Елчем і Мейнором, стала відправною крапкою проекту “Month of Kernel Bugs”. При співробітництві двох хакерів також були розкриті програмні помилки в продуктах компаній Broadcom, D-Link і Toshiba.

Використання Sony BMG технології із серії DRM для захисту музичних дисків привело до практично легального поширення шкідливих програм класу “rootkit”. Виявлення цього прикрого факту належить Маркові Расиновичу (Mark Russinovich), за допомогою якого відбулося розкриття випадкової (чи навмисної) помилки Sony. Завдяки діяльності Расиновича в 2006 році вдалося привернути увагу виробників антивірусного ПО до поширення rootkits.

Замикає п’ятірку фахівців польський дослідник Джоана Ратковська (Rutkowska), що у 2006 році використовувала Black Hat для демонстрації rootkits і malware. Нею був представлений механізм “Blue Pill” - rookit, що “на 100% неможливо знайти” навіть засобами захисту Windows Vista x64.

Також у 2006 році Рутковська визначила “слабкості”, властиві антивірусам, попередила про неготовність операційних систем до технології “залізної” віртуалізації та підтвердила побоювання про malware як про найбільшу загрозу безпеки систем.

По матеріалам http://www.securitylab.ru.

P.S.

В даному рейтингу представлені фахівці з інформаційної безпеки в цілому. І окрім H.D. Moore до галузі веб безпеки діяльність наведених спеціалістів відношення не має. Тому варто було б зробити окремий рейтинг фахівців з веб безпеки (як за 2006 рік, так і продовжити цей рейтинг в майбутньому).

Деякий час тому вийшов Invision Power Board v2.2.2, тому всім хто користується движком IPB, раджу звернути увагу на нову версію. Мій форум вже був переведений в березні на нову версію.

• Русская версия Invision Power Board v2.2.2 (деталі)

Компанія IBResource офіційно повідомляє про випуск нової російської версії форуму Invision Power Board v2.2.2. Нова версія несе в собі максимальну надійність, безпеку і локалізацію, при цьому не ідучи далеко від англомовного оригіналу.

Це наступна офіційна локалізована версія Invision Power Board, після IPB 2.1.7, випущена IBResource. В якій багато уваги було приділено безпеці.

У новій версії 2.2.2 разом з партнерами компанії IPS, Inc. були досліджені нові методи безпеки і зроблені необхідні зміни в програмном коді для переведення безпеки на більш високий рівень. При запуску форуму на новітньому PHP 5.2.x система може використовувати захищені cookies, що практично зводять до нуля можливість застосування XSS атак.

Компанія Symantec сьогодні випустила комплексний звіт про безпеку, що складається аналітиками компанії кожні півроку. Головний висновок, що міститься в документі, полягає в тому, що в США як і раніше створюється більше всього шкідливих програм, крім того, саме на території США нараховується більше всього хакерських угруповань, що роблять атак більше, ніж будь-яка інша країна у світі.

Також у Symantec відзначають, що між хакерськими угрупованнями існує досить тверда конкуренція на підпільному ринку взломів і торгівлі краденою інформацією. Саме завдяки даній конкуренції, за словами експертів, купити сьогодні чиїсь крадені дані можна дешевше і простіше, ніж ще півроку тому.

У звіті Internet Security Threat Report Symantec приводить ряд прикладів. Наприклад на початку поточного року фахівці компанії змогли придбати крадені номери пластикових банківських карт за ціною 1 долар за кожен номер, також на чорному ринку в США присутні і різні банківські бази даних. Однак на відміну від Росії, де така інформація коштує від 70 до 1000 доларів за CD, у США середня вартість диска з краденими банківськими даними коштує всего 14 доларів, стверджують у Symantec.

Відзначається, що близько 30% від загальної кількості комп’ютерних атак у другій половині 2006 року відбувалося саме за рахунок американських зловмисників. По кількості генеруємого зловмисного коду США також попереду планети всієї - так за звітний період у США була створена кожна третя шпигунська програма і написаний кожен третій вірус чи троян. На другому місці йде Китай з 10%, третє місце за Німеччиною - 7%.

Окрім цього, лідирують США і по кількості бот-мереж, що складаються з інфікованих комп’ютерів за допомогою яких хакери розсилають спам і роблять атаки. У переважній більшості випадків власники комп’ютера не підозрюють про те, що машина інфікована і витрачає процесорний час і трафік в інтересах хакерів.

Примітно, що кількість персональних комп’ютерів, втягнених у хакерські бот-мережі, у другій половині 2006 року збільшилося на 29% до 6 млн штук, а от кількість серверів, що керують даним ПК знизилося на 25% - до 4700 штук, що говорить про консолідацію бот-мереж у руках меншої кількості зловмисників. Більше всього бот-мереж розташовано на території Китаю - 26%.

Symantec також відзначає і ріст спама в другій половині 2006 року на 59%, що, як говорять фахівці, досить багато, якщо врахувати ріст спама на 5% в першому півріччі 2006 року. Більше всього спама було пов’язано з грою на біржі та різними фінансовими махінаціями.

Також США лідирують і по кількості інсайдерів. У компанії відзначають, що як мінімум половина американських компаній так чи інакше мали справу з інсайдерами. У Symantec говорять, що в середньому кожен другий ПК у компанії використовується співробітниками частково не по призначенню.

Вперше в Symantec вивчили й активність мережевих шахраїв (фішерів), котрі створюють сайти, що імітують сайти великих магазинів чи банків з метою крадіжок персональних даних відвідувачів. За словами Альфреда Хьюгера, віце-президента підрозділу Symantec Security Response, фішинг став найвищою мірою організованим, високорозвиненим і без яких-небудь моральних бар’єрів. Ріст кількості сайтів-підробок склав 65% у порівнянні з першим півріччям 2006 року. Що стосується інтернет-браузерів, те самим “привабливим” для хакерів залишається Internet Exploer - 77% атак і уразливостей так чи інакше пов’язані з ним.

По матеріалам http://itua.info.

Виявлений обхід захисту Safe Mode в PHP (protection bypass). Уразливі версії: PHP 5.2.

Можливо обійти захист на обмеження каталогу за допомогою Writing mode (префікса srpath://../ у fopen()).

• PHP 5.2.0 safe_mode bypass (by Writing Mode) (деталі)

Виявлені численні уразливості в програмах Mozilla Firefox, Thunderbird та Seamonkey.

Можливий обхід фільтрації HTML-вмісту, міжсайтовий скриптінг, слабка хешуюча функція, ушкодження пам’яті, переповнення буфера та інше.

Уразливі продукти: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.

• Mozilla Foundation Security Advisory 2007-09 (деталі)
• Mozilla Foundation Security Advisory 2007-10 (деталі)
• Mozilla Foundation Security Advisory 2007-05 (деталі)
• Mozilla Foundation Security Advisory 2007-04 (деталі)
• Mozilla Foundation Security Advisory 2007-03 (деталі)
• Mozilla Foundation Security Advisory 2007-02 (деталі)
• Mozilla Foundation Security Advisory 2007-01 (деталі)

За даними відомої аналітичної компанії Netcraft, у минулому 2006 році в Інтернеті було виявлено близько 609000 шахрайських сайтів, створених фішерами для різного роду злочинних дій, наприклад шантажу користувачів, підробки під відомі торгові марки, банки й інтернет-магазини.

Усе це робилося з однією метою - роздобути, під тим чи іншим приводом, гроші, або персональні дані користувачів.

Фахівці відзначають, що 2006 рік можна сміливо назвати роком інтернет-шахраїв, так за рік кількість випадків шахрайства зросла в 14 разів. Особливо бурхливу активність інтернет-шахраї виявили в останньому кварталі 2006 року, коли вони почали використовувати автоматичні засоби для генерації сайтів-підробок у великій кількості.

Також допомогу фішерам, самі того не знаючи, робили і безтурботні користувачі, що як і раніше відкривали електронні листи, що прийшли від незрозумілого відправника, а також не перебираючи скачували і запускали усі файли, що потім виявлялися троянами для розсилання спама, шпигунськими чи рекламними модулями.

Примітний також і ріст кількості заблокованих шахрайських сайтів, якщо раніш щомісяця блокувалося від 1000 до 20000 сайтів-підробок, то в жовтні 2006 року кількість таких сайтів зросла до 45000, у листопаді - до 135000, а в грудні - до 277000 сайтів!

Фахівці говорять, що за даними цифрами приховуються не зростаючі армії мережевих шахраїв, а засоби, застосовувані ними. Так, наприклад, торік у Netcraft на протязі кожного місяця фіксували появу нових програм, що швидко розвертали цілі мережі фішингових сайтів на взломаних серверах. Крім цього, у минулому році фішери розвертали сайти навіть на домашніх і робочих комп’ютерах, що були інфіковані та стали учасниками бот-мереж.

За даними Netcraft, у 2006 році фішери найчастіше підробляли сайти 942 різних установ, включаючи банки, кредитні і керуючі компанії, онлайнові платіжні шлюзи, інтернет-магазини, сайти соціальних мереж, провайдери, сервиси онлайн-ігор та різні урядові агентства.

Разом з тим, аналітики звертають увагу на те, що природа фішинга по істині інтернаціональна, але найчастіше фішингові сайти знаходилися на території США, Південної Кореї, Китаю і Румунії.

По матеріалам http://itua.info.

У браузері Microsoft Internet Explorer сьомої версії виявлена уразливість, що теоретично може використовуватися зловмисниками при проведенні фішингових атак.

Про діру повідомив ізраїльський фахівець з питань комп’ютерної безпеки Авів Рафф. Проблема пов’язана з особливостями виведення браузером Microsoft сторінки з повідомленням про помилку navcancl.htm. Дана сторінка зберігається на локальному жорсткому диску і відображається на екрані в тому випадку, якщо користувач зненацька перериває процес завантаження веб-сайта.

На сторінці navcancl.htm, в тому числі, міститься посилання, натиснувши на який можна ініціювати процес повторного завантаження сайта. Однак якщо користувач клацне по посиланню, зловмисник за певних умов може змусити браузер відобразити в адресному рядку фальшиву інформацію. Іншими словами, на екран може бути виведена підставна сторінка з адресою й інтерфейсом, наприклад, онлайновой платіжної системи. Таким чином, нападник може викрасти конфіденційні дані про жертву, такі як номер банківського рахунка, кредитної картки, тощо.

Діра присутня в Internet Explorer 7 при використанні браузера на комп’ютерах, що працюють під керуванням операційних систем Windows ХР і Windows Vista. Авів Рафф представив приклад програмного коду, за допомогою якого можна задіяти уразливість.

Корпорація Microsoft уже поставлена до відома про проблему, однак патча для діри в даний час не існує. Втім, у Microsoft підкреслюють, що випадків практичного використання уразливості поки зареєстровано не було.

По матеріалам http://www.secblog.info.

Виявленні численні уразливості в Microsoft Internet Explorer (security vulnerabilities).

Уразливі системи: Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista.

Ушкодження пам’яті при роботі з COM-об’єктами і розборі відповіді сервера FTP можуть бути використанні для прихованого встановлення шкідливого коду.

• Microsoft ‘wininet.dll’ FTP Reply Null Termination Heap Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS07-016 Cumulative Security Update for Internet Explorer (928090) (деталі)

Виявлена можливість витоку інформації через mod_python в Apache (information leak). Уразливі версії: mod_python 3.1.

При використанні в режимі фільтрації виводу, некоректно обробляються великі сторінки, що приводить до відображення вмісту пам’яті.

• Vulnerability in mod_python (libapache2-mod-python) (деталі)
• Vulnerability in mod_python (libapache2-mod-python) 3.1.4 and earlier (деталі)
• mod_python vulnerability (деталі)