Виявлена можливість обходу захисту від DNS pіnnіng в різних браузерах.
Эмулюя недоступність сервера можна обійти захист DNS pinning (від підміни IP-адреси по імені сервера з метою міжсайтових атак).
Уразливі продукти: Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003, Windows Vista, Mozilla Firefox 1.5, Firefox 2.0.
Компанія Websense опублікувала прогнози по комп’ютерній безпеці. Відповідно до нього, у 2007 році комп’ютерна злочинність стане більш організованою і більш развиненою економічно. Збільшаться обсяги торгівлі готовими наборами програмних інструментів для проведення кібератак і експлоітами, що використовують нерозкриті уразливості програмного забезпечення. А проблеми безпеки Web 2.0 приведуть до ще більшого збільшення числа і поширеності цих явищ.
На думку авторів доповіді, веб буде продовжувати залишатися основним засобом доставки шкідливого коду на пристрої користувачів. Основним “вогнищами” поширення інфекцій стануть сайти, що містять динамічний контент, створюваний безліччю користувачів і який важко піддається контролю. Наприклад, сайти соціальних мереж, такі, як MySpace і Wikipedia. Крім соціальних мереж і користувацького контента, зонами підвищеного ризику залишаться веб-сервіси і продукти із сервіс-орієнтованою архітектурою.
Новим видам атак піддадуться антифішингові засоби захисту браузерів. Хакери будуть намагатися, використовуючи уразливості, відключати їхні захисні механізми. Зростання випадків викрадення інформації приведе до кращого захисту організаціями своїх даних, що у свою чергу змусить хакерів надійніше шифрувати шкідливий код з метою запобігання його виявлення.
Зомбі-мережі вийдуть на черговий етап еволюції і будуть керуватися за допомогою протоколів, відмінних від IRC чи HTTP. Також буде використовуватися шифрування для приховання ботів у комп’ютерах користувачів.
По матеріалам http://www.cnews.ru.
Із січня 2007 року браузер Internet Explorer 7 буде позначати безпечні банківські сайти і ресурси компаній, що займаються інтернет-комерцією. Планується, що адресний рядок при відвідуванні таких сайтів стане офарблюватися в зелений колір. Користувачі перевірених “зелених” ресурсів зможуть бути впевненими, що їхня персональна інформація не стане надбанням онлайнових шахраїв і не потрапить у руки спамерам.
“Правильні” сайти повинні мати цифрові сертифікати, що будуть видаватися за результатами всебічних ретельних перевірок. Крім того, ресурсам буде потрібно одержати “знак якості” - цифрову печатку WebTrust, що гарантує, що онлайновий бізнес пройшов перевірку ліцензованої аудиторської компанії і відповідає критеріям AICPA і CICA.
Щоб одержати всі необхідні сертифікати, сайтам і компаніям, що ними володіють, прийдеться пройти багатоступінчасту перевірку. Зокрема, орган сертифікації упевниться в легальності бізнесу і наявності інформації про нього в різних базах даних (включаючи базу даних Whois), дійсності телефонних номерів, зазначених на сайті для зв’язку, і у вірогідності інших відомостей.
У деяких випадках при сертифікації можливі послаблення, але для цього компаніям прийдеться надати листа від юриста, нотаріуса чи бухгалтера. Пройти перевірку за рядом додаткових критеріїв необхідно буде банкам і компаніям, що знаходяться в групі ризику - тобто тим, що можуть становити великий інтерес для кібершахраїв. А від фірм, що існують менш трьох років, можуть зажадати надати свідчення про те, що їхній банківський рахунок дійсний. Ряду компаній сертифікація поки буде недоступна, серед них - суспільства з необмеженою відповідальністю, некорпоративні асоціації, фірми, що знаходяться в одноособовому володінні, а також приватні підприємці.
По матеріалам http://www.secblog.info.
На секлабі опублікована стаття, яка наводить підсумки минулого року, про 10 самих цікавих подій в області інформаційної безпеки (в Росії і в світі), що відбулися в 2006 році.
1. RIAA подала позов проти російської компанії на 1.650.000.000.000,00 доларів США.
2. Винесено вирок системному адміністратору, що установив неліцензійний AutoCad.
3. Депутатська грамота за дефейс сайта.
4. Windows 2003 Server - одна із самих надійних операційних систем.
5. Microsoft примусово встановлює на комп’ютери користувачів Windows Genuine Advantage.
6. Російські вчені направили лист Путіну про заборону закордонного ПО.
7. У Windows Vista буде нова антипіратська технологія.
8. Microsoft розробила закон, що дозволяє розробникам ПО віддалено видаляти свої програми на комп’ютерах користувачів.
9. $20000 за донос на роботодавця, що використовує неліцензійне ПО.
10. Вперше в Росії була порушена кримінальна справа проти інтернет форуму.
З деякими з цих подій я погоджусь, з деякими ні. Відносно порядку цих подій та їх місця в списку 10 найцікавіших секюріті подій минулого року, я теж частово погоджуюсь, частково ні (зокрема треба було згадати про запуск мого веб проекту, і розмістити його на початку списку 
). Але в цілому 2006 рік видався доволі цікавим, в тому числі і в області інформаційної безпеки.
Mozilla випустила оновлену версію свого браузера Firefox 1.5.
Незважаючи на вихід другої версії, корпорація буде підтримувати лінійку 1.5x аж до 24 квітня наступного року. Протягом цього часу будуть випускатися оновлення, що стосуються безпеки і стабільності програми, однак усім користувачам рекомендують перейти на Firefox 2. Поточне оновлення закриває вісім уразливостей у системі безпеки браузера.
07.11.2006
В Ruby виявлена можливість DoS. Уразливі версії: Ruby 1.8.
Вичерпання ресурсів процесора в CGI-библіотеці при розборі HTTP запиту з некоректним роздільником MIME.
10.11.2006
В CGI бібліотеці cgi.rb для Ruby 1.8 знайдена уразливість яка дозволяє віддаленому користувачу викликати DoS.
Додаткова інформація:
28.12.2006
Додаткова інформація:
Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад, одержати доступ до важливих даних, викликати відмову в обслуговуванні і виконати довільний код на цільовій системі.
1. Виявлено різні помилки в механізмах розкладки і JavaScript. Віддалений користувач може за допомогою спеціально сформованої веб сторінки викликати ушкодження пам’яті і потенційно виконати довільний код на цільовій системі.
2. Уразливість існує через помилку при зменшенні роботи точності процесорів із плаваючою крапкою, наWindows системі при завантаженні плагина, що створює Direct3D пристрій. Зловмисник може змусити функцію “js_dtoa()” спожити всі доступні ресурси на системі і викликати відмову в обслуговуванні.
3. Уразливість існує через помилку перевірки границь даних під час установки курсору в Windows bitmap з використанням CSS властивості курсору. Віддалений користувач може викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.
4. Виявлено помилку в JavaScript функції “watch()”. Віддалений користувач може виконати довільний код на цільовій системі.
5. Уразливість існує в LiveConnect, що дозволяє вже звільненому об’єкту бути використаним ще раз. Віддалений користувач може виконати довільний код на цільовій системі.
6. Уразливість існує через помилку при обробці атрибута “src” тега IMG, завантаженому у фреймі. Віддалений користувач може змінити атрибут на “javascript:” URI і виконати довільний javascript сценарій у браузері жертви в контексті безпеки сайта.
7. Помилка ушкодження пам’яті виявлена при обробці SVG. Віддалений користувач може виконати довільний код шляхом приєднання SVG коментарю DOM вузла від одного документа до іншого типу документа (наприклад, HTML).
8. Властивість “Feed Preview” у Firefox 2.0 може дозволити зловмиснику одержати доступ до потенційно важливих даних при одержанні іконки агрегатора новин.
9. Регресія прототипу Function у Firefox 2.0 може дозволити зловмиснику виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.
Рекомендую встановити останню версію (1.5.0.9 чи 2.0.0.1) із сайта виробника.
В PHP можливий обхід захисту safe_mode і open_basedir. Уразливі версії: PHP 5.2.
Через функцію session_save_path() можна одержати доступ до директорій за межами дозволених.
Співтовариство Mozilla.org випустило обновлену версію браузера Firefox 2.0, з індексом 2.0.0.1.
У модифікації Firefox 2.0.0.1 усунуті вісім уразливостей. П’ять з виявлених дір охарактеризовані як критично небезпечні і, відповідно, можуть використовуватися зловмисниками з метою виконання на віддаленому комп’ютері довільного шкідливого коду. Помилки, зокрема, пов’язані з особливостями реалізації підтримки Javascript і каскадних таблиць стилів CSS (Cascading Style Sheets). Напад може бути організований через сформовану спеціальним чином сторінку в інтернеті.
Ще дві помилки в Firefox 2.0 одержали рейтинг високої небезпеки і теоретично забезпечують можливість здійснення XSS-атак (Cross-Site Scripting) на комп’ютер жертви. Нарешті, діра з низькою небезпекою, пов’язана з підтримкою RSS, може бути задіяна зловмисником для одержання доступу до даних на комп’ютері користувача.
По матеріалам http://www.secblog.info.
Корпорація Microsoft виклала на своєму сайті оновлення для недавно представленого браузера Internet Explorer 7.
Сьома версія IE була випущена в жовтні нинішнього року і стала першим комплексним оновленням браузера Microsoft за останні п’ять років. Основний упор в Internet Explorer 7 зроблений на безпеку і стабільність роботи. Програма підтримує таби, RSS і характеризується поліпшеним інтерфейсом. Крім того, у браузер убудований антифішинговый фільтр, що, як з’ясовується, у ряді випадків може провокувати серйозне уповільнення роботи комп’ютера.
Як повідомляється в повідомленні Microsoft, проблема виявляється при перегляді веб-сайтів з великою кількістю фреймів. У цьому випадку антифішинговый фільтр витрачає занадто багато системних ресурсів, що негативно відбивається на продуктивності. Для рішення проблеми Microsoft пропонує установити спеціальний апдейт. Крім того, при необхідності користувачі можуть цілком відключити антифішинговый фільтр через меню налаштувань браузера.
По матеріалам http://www.secblog.info.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.