Websecurity - Веб безпека

Компанія Google усунула небезпечну уразливість в одному зі своїх онлайнових сервісів, пов’язану з обробкою XSS.

Зловмисник, при вмілому використанні діри, міг би одержати несанкціонований доступ до документів і повідомлень електронної пошти користувачів сервісу. Аналогічна уразливість не дуже давно була виявлена в службі Blogger Custom Domains. Поява уразливості пов’язана з недавнім оновленням, установленому на сервісі.

За допомогою шкідливого скрипта можна одержати доступ, зокрема, до cookies сайтів пошуковця та інших конфіденційних даних. Експерт по сервісам Google Тоні Раско зміг у такий спосіб несанкціановано створити сторінку в домені Google.com.

Представники інтернет-гіганта завірили, що обидві уразливості були усунуті в найкоротший термін, а повідомлень про ефективне використання дір у компанію не надходило. Google також призвала експертів з питань безпеки і рядових ентузіастів повідомляти про знайдені уразлиовсті в компанію, а вже потім публікувати інформацію про діру. Це допоможе уникнути використання уразливості зловмисниками до її усунення розробниками.

По матеріалам http://www.secblog.info.

P.S.

Одна зі згаданих в новині дір - це уразливість в Blogspot, блог-сервісі Гугла.

Як повідомив RSnake в записі Blogspot XSS For Safari, нещодавно була виявлена XSS уразливість в Blogspot. І ця діра працює лише в браузері Safari, бо сам експлоіт вельми хитрий (хоча як повідомив відвідувач в коментарях, дана діра працює і в IE для Windows Mobile). Гугл через деякий час вже виправив дану уразливість.

Підсумки “самого кіберзлочинного” року в історії Інтернету підводять журналісти The Washington Post.

На думку фахівців, одним із самих точних індикаторів стану кіберзлочинності є рівень спама. У жовтні 2006 р. його рівень зашкалив за 90% від усього поштового трафіка. Тільки за два останніх місяці обсяг спама виріс на 60%, а зловмисники успішно освоїли нову технологію графічного спама з варіаціями контента.

Обсяг спама є гарним індикатором рівня киберзлочинності, тому що сміттєві листи за звичай розсилаються за допомогою ботнетів, тобто мереж комп’ютерів “зомбі” - домашніх комп’ютерів, що інфіковані вірусом і розсилають спам по команді від “хазяїна” мережі. У злочинному середовищі ботнети вважаються дуже ліквідним товаром і постійно продаються і купуються.

Чим більше домашніх комп’ютерів інфіковані, тим вище рівень спама в Інтернеті. На сьогоднішній день, по оцінках фахівців, спамерські ботнети містять близько 3-4 млн ПК. І це лише спамові боти, але є такі ж мережі, що займаються виконанням DDoS-атак, вони теж складаються з мільйонів машин. Які задіються, якщо власники сайтів відмовляються платити шахраям за “забезпечення безпеки”.

Утримання ботнета - надзвичайно вигідний бізнес, що є головним джерелом доходу сучасних кіберзлочинних угруповань. Так, ізраїльський фахівець з ботнетам Гаді Еврон оцінює прибутковість ботнетів у минулому році у $2 млрд. Ці гроші були отримані, головним чином, від фішинга, шляхом заманювання людей на фальшиві сайти через спам. Цікаво, що трафік від користувача до фішингового сайта іноді теж проходить через ботнет, щоб обдурити антифішингові системи в сучасних браузерах. Як варіант, логіни і паролі можна збирати не на фальшивих сайтах, а прямо на комп’ютерах користувачів.

Ще одним доказом розквіту кіберзлочинності в 2006 р. є зміна часу хакерських атак. Раніш це були ночі і вихідні. Тепер же атаки йдуть вдень у будні дні. Іншими словами, киберзлочинність стала звичайною роботою для багатьох людей, хіба що в трудову книжку цей запис не вноситься.

Ботнети збільшили свою чисельність за рахунок того, що в минулому році, було виявлено як ніколи багато дір у програмному забезпеченні. Наприклад, тільки Microsoft випустила 97 “критичних” патчів для своїх програм, з них 14 так званих патчів “нульового дня”, що закривають діри, про існування яких Microsoft довідалася вже після того, як кіберзлочинці почали їх успішну експлуатацію. Для порівняння, у 2005 р. компанія Microsoft випустила всего 37 “критичних” патчів.

По матеріалам http://www.securitylab.ru.

За повідомленням secblog.info, а також CNET News.com (New tool enables sophisticated phishing scams), в Інтернеті розпочався продаж програмного набору для фішинга.

Фахівці компанії RSA, що займається рішеннями в області комп’ютерної безпеки, сьогодні повідомили про те, що хакери почали продаж готових наборів для мережного шахрайства (фішинга). За словами фахівців, набір Universal Man-in-the-Middle Phishing Kit створений для того, щоб допомогти шахраям роздобути дані потенційних жертв через інтернет у реальному часі.

Набір для фішинга містить у собі онлайновий інтерфейс для підробки URL-адрес сайтів, даний інтерфейс з’єднується з легітимним сайтом цільової організації, такої як, наприклад, банк чи інтернет-магазин і скачує загальнодоступні сторінки сайта. Після цього, набір автоматично створює підроблений сайт, з дизайном як у легітимного сайта і розміщає його на зазначеному хостінгу.

Потім жертви одержують електронного листа від шахрая, де під тим чи іншим приводом їх змушують зайти на шахрайський сайт, що виявляється дуже схожим на легітимний, і залишити там які-небудь особисті дані (адресу, номер кредитної карти, тощо).

За словами фахівців, дане рішення не відрізняється вишуканістю і при деякій кмітливості користувача шахрайство буде неодмінно розкрито. Але небезпека даного набору в іншому - мережевому шахраю не потрібно додавати майже ніяк зусиль для створення фішингового сайта, тому зловмисники в стані наплодити таких сайтов безліч, причому вони будуть дуже мобільними і широко розповсюдженими.

По матеріалам http://www.secblog.info.

Виявлені численні уразливості в Microsoft Internet Explorer. Уразливі версії: Internet Explorer 5.01, 6.x.

Виявлені уразливості дозволяють віддаленому користувачу одержати доступ до важливих даних і скомпрометувати цільову систему.

1. Ушкодження пам’яті виявлене при обробці визначених DHTML функцій, що викликають некоректно створені елементи. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільний код на цільовій системі.

2. Уразливість існує при обробці “drag and drop” операцій. Відалений користувач може за допомогою спеціально сформованої сторінки одержати вміст папки TIF (Temporary Internet Files).

3. Уразливість існує через помилку при обробці тегів OBJECT. Відалений користувач може за допомогою спеціально сформованої веб сторінки одержати дані про шлях до каталогу TIF (Temporary Internet Files) і роздобути його вміст.

4. Уразливість існує через помилку при обробці виключень помилок у сценаріях. Зловмисник може за допомогою веб сторінки, що містить спеціально сформований JavaScript код і котра одночасно визиває визначені типи помилок, виконати довільний код на цільовій системі.

• Множественные уязвимости в Microsoft Internet Explorer (деталі)

Експерти в області комп’ютерної безпеки попереджають, що в наступному році основною мішенью для своєї активності хакери можуть вибрати мобільні телефони, інтернет-пейджери та соціальні мережі, такі як MySpacе. Зміна орієнтирів обумовлена, у тому числі тим, що зросла свідомість користувачів при роботі з електронною поштою, за допомогою якої поширювати шкідливі програми і фішингові листи стає все складніше.

З прогнозом згодний фахівець компанії Trend Micro Дейв Ренд, що відзначає, що тактика зловмисників стає все більш витонченою. Соціальні мережі можуть стати для хакерів джерелом даних про зареєстрованих користувачів, що потім будуть використовуватися для точно вивірених атак.

Для збору інформації про майбутні “жертви” фішери будуть переглядати сайти, що дозволяють користувачам розміщати свої фотографії й іншу конфіденційну інформацію. Згідно з прогнозами аналітиків, у небезпеці виявляться й шанувальники спілкування за допомогою систем миттєвих повідомлень, а також користувачі служб IP-телефонії.

Експерти McAfee також радять бути вкрай уважними власникам сучасних смартфонів, КПК і ноутбуків, оскільки очікується сплеск атак на портативні пристрої. В Trend Micro, у свою чергу, очікують підвищеної уваги хакерів до нової версії браузера Internet Explorer і операційній системі Windows Vista.

У McAfee попереджають, що зловмисники винаходять нові методи внутрікорпоративного шпигунства. Для здійснення кіберзлочинів хакерські групи все частіше наймають студентів комп’ютерних спеціальностей, яких потім використовують у якості інсайдерів.

По матеріалам http://www.securitylab.ru.

Виявлені численні уразливості в браузері Opera. Уразливі версії: Opera 9.02.

Ушкодження динамічної пам’яті при розборі JPEG, виклик функції по контрольованому вказівнику в Javascript.

• Opera JPEG processing - Heap corruption vulnerabilities (деталі)
• Opera Software Opera Web Browser createSVGTransformFromMatrix Object Typecasting Vulnerability (деталі)
• Opera Software Opera Web Browser JPG Image DHT Marker Heap Corruption Vulnerability (деталі)

Департамент інформаційних технологій Індії обнародував результати дослідження, згідно яких ця країна лідирує по кількості хакерів.

Тільки за першу половину 2006 року взломані 39 сайтов “gov.in”, 81 сайт “co.in” і 158 сайтів того ж домена (”net.in”, “nic.in”, “ernet.in” і інші). В цілому “комп’ютерні пірати” взломали 1752 сайта, 15,9% яким знаходяться в домені “.in”, 67,5 % - в домені “.com”. Для порівняння, у 2005 році було взломано всього лише 373 сайта.

Крім того, за словами глави лабораторії Symantec у Пуні (штату Махараштра) Прабхата Сінгха, у минулому році, Індія зайняла 18 місце в рейтингу країн, громадяни яких замічені в спамерських розсиланнях.

Найчастіше хакери в Індії за допомогою великої кількості звертань до сервера викликають помилку переповнення буфера, завдяки якій зловмисник може виконати будь-як програму на стороні сервера (примітка - ох уж ці журналісти, як понаписують , тут скоріше за все йшла мова про DoS атаки).

По матеріалам http://www.rian.ru.

Хоча лише нещодавно вийшов WordPress 2.0.6, учора, 15.01.2007, вийшла нова версія WordPress 2.0.7 - всього лише через 10 днів після виходу попередньої версії.

WordPress 2.0.7 - це секюріті фікс, причому терміновий фікс. Причина випуску даного релізу в тому, що майже одразу після виходу версії 2.0.6, була знайдена серйозна уразливість та був випущений експлоіт для WP 2.0.6, який дозволяв захопити адмінський аккаунт (я вже давно планую розповісти про цей експлоіт, а також вже написав свою версію експлота і як доберусь, розповім про це детальніше).

Тому на даний час WP 2.0.7 - це останній стабільний реліз Вордпреса, вже доступний для скачування з сайта виробника. І який рекомендований всім користувачам цього движка.

Список змін в новий версії порівняно з 2.0.6:

• Секюріті фікс для wp_unregister_GLOBALS() для виправлення zend_hash_del_key_or_index бага в PHP 4 < 4.4.3 та PHP 5 < 5.1.4 з включеними register_globals.
• Фіди тепер нормально обробляють 304 Not Modified заголоки (виправлений так званий FeedBurner баг).
• Порт ще одного виправлення для 304 Not Modified з WordPress 2.1.
• Видалення сторінок в WordPress більше не виводить “Are You Sure?” діалог.
• Після видалення сторінок в WP, зараз коректно редиректить на екран редагування сторінок.
• Відправлення зображень в орігіальному розмірі в Internet Explorer більше не додає некоректний “height” атрибут.

Виявлені численні уразливості в додатках Mozilla Firefox, Thunderbird, Seamonkey. Частково я торкався даних уразливостей в записі Численні уразливості в Mozilla Firefox.

Міжсайтовий скріптінг через прототипи функцій. Витік інформації. Переповнення буфера динамічної пам’яті на довгих Content-Type повідомленнях. Ушкодження пам’яті через заголовок CVG. Міжсайтовий скріптінг через img.src. DoS. Підвищення привілеїв через watchpoint в JavaScript. Переповнення буфера через властивість image cursor у CSS. Численні ушкодження пам’яті.

Уразливі версії: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.

• Mozilla Foundation Security Advisory 2006-68 (деталі)
• Mozilla Foundation Security Advisory 2006-69 (деталі)
• Mozilla Foundation Security Advisory 2006-70 (деталі)
• Mozilla Foundation Security Advisory 2006-71 (деталі)
• Mozilla Foundation Security Advisory 2006-72 (деталі)
• Mozilla Firefox SVG Processing Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2006-73 (деталі)
• Mozilla Foundation Security Advisory 2006-74 (деталі)
• Mozilla Foundation Security Advisory 2006-75 (деталі)
• Mozilla Foundation Security Advisory 2006-76 (деталі)

Велике число користувачів поштового сервісу Gmail скаржаться на містичну пропажу з їх аккаунтов усіх повідомлень. Уперше ця подія одержала розголос на сайті Майкла Аррінгтона, де він повідомив, що говорити про Gmail як про досконалий сервіс поки ще зарано. Там же було розміщено перше повідомлення з Google Groups, що стосується зникнення вмісту електронних поштових скриньок.

Одне з перших повідомлень від користувача Gmail про подібний інцедент прийшло 19.12.2006. Як виявилося, більшість потерпілих користувалися браузером Firefox і знайшли пропажу контента при відкритті аккаунта через нього. Деякі користувачі одержали від зловмисників повідомлення про те, що проти них була проведена атака.

Один з користувачів стверджує, що що для атаки була використана уразливість Firefox 2.0, що була пізніше закрита версією 2.0.0.1. Усього ж у результаті інциденту були “очищені” 60 аккаунтів користувачів. Google принесла офіційні вибачення потерпілим і заявила про початок робіт із з’ясування причин інциденту. Витерті послання і контакти Gmail, до речі, не підлягають відновленню.

По матеріалам http://www.secblog.info.