Websecurity - Веб безпека

Mozilla випустила оновлену версію свого браузера Firefox 1.5.

Незважаючи на вихід другої версії, корпорація буде підтримувати лінійку 1.5x аж до 24 квітня наступного року. Протягом цього часу будуть випускатися оновлення, що стосуються безпеки і стабільності програми, однак усім користувачам рекомендують перейти на Firefox 2. Поточне оновлення закриває вісім уразливостей у системі безпеки браузера.

• Mozilla Firefox 1.5.0.9: обновление старой версии браузера (деталі)

07.11.2006

В Ruby виявлена можливість DoS. Уразливі версії: Ruby 1.8.

Вичерпання ресурсів процесора в CGI-библіотеці при розборі HTTP запиту з некоректним роздільником MIME.

• OpenPKG Security Advisory (ruby) (деталі)

10.11.2006

В CGI бібліотеці cgi.rb для Ruby 1.8 знайдена уразливість яка дозволяє віддаленому користувачу викликати DoS.

Додаткова інформація:

• CVE-2006-5467 (деталі)
• Updated ruby packages fix DoS vulnerability (деталі)

28.12.2006

Додаткова інформація:

• Updated ruby packages fix DoS vulnerability (деталі)

Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад, одержати доступ до важливих даних, викликати відмову в обслуговуванні і виконати довільний код на цільовій системі.

1. Виявлено різні помилки в механізмах розкладки і JavaScript. Віддалений користувач може за допомогою спеціально сформованої веб сторінки викликати ушкодження пам’яті і потенційно виконати довільний код на цільовій системі.

2. Уразливість існує через помилку при зменшенні роботи точності процесорів із плаваючою крапкою, наWindows системі при завантаженні плагина, що створює Direct3D пристрій. Зловмисник може змусити функцію “js_dtoa()” спожити всі доступні ресурси на системі і викликати відмову в обслуговуванні.

3. Уразливість існує через помилку перевірки границь даних під час установки курсору в Windows bitmap з використанням CSS властивості курсору. Віддалений користувач може викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

4. Виявлено помилку в JavaScript функції “watch()”. Віддалений користувач може виконати довільний код на цільовій системі.

5. Уразливість існує в LiveConnect, що дозволяє вже звільненому об’єкту бути використаним ще раз. Віддалений користувач може виконати довільний код на цільовій системі.

6. Уразливість існує через помилку при обробці атрибута “src” тега IMG, завантаженому у фреймі. Віддалений користувач може змінити атрибут на “javascript:” URI і виконати довільний javascript сценарій у браузері жертви в контексті безпеки сайта.

7. Помилка ушкодження пам’яті виявлена при обробці SVG. Віддалений користувач може виконати довільний код шляхом приєднання SVG коментарю DOM вузла від одного документа до іншого типу документа (наприклад, HTML).

8. Властивість “Feed Preview” у Firefox 2.0 може дозволити зловмиснику одержати доступ до потенційно важливих даних при одержанні іконки агрегатора новин.

9. Регресія прототипу Function у Firefox 2.0 може дозволити зловмиснику виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

Рекомендую встановити останню версію (1.5.0.9 чи 2.0.0.1) із сайта виробника.

• Множественные уязвимости в Mozilla Firefox (деталі)

В PHP можливий обхід захисту safe_mode і open_basedir. Уразливі версії: PHP 5.2.

Через функцію session_save_path() можна одержати доступ до директорій за межами дозволених.

• PHP 5.2.0 session.save_path safe_mode and open_basedir bypass (деталі)

Співтовариство Mozilla.org випустило обновлену версію браузера Firefox 2.0, з індексом 2.0.0.1.

У модифікації Firefox 2.0.0.1 усунуті вісім уразливостей. П’ять з виявлених дір охарактеризовані як критично небезпечні і, відповідно, можуть використовуватися зловмисниками з метою виконання на віддаленому комп’ютері довільного шкідливого коду. Помилки, зокрема, пов’язані з особливостями реалізації підтримки Javascript і каскадних таблиць стилів CSS (Cascading Style Sheets). Напад може бути організований через сформовану спеціальним чином сторінку в інтернеті.

Ще дві помилки в Firefox 2.0 одержали рейтинг високої небезпеки і теоретично забезпечують можливість здійснення XSS-атак (Cross-Site Scripting) на комп’ютер жертви. Нарешті, діра з низькою небезпекою, пов’язана з підтримкою RSS, може бути задіяна зловмисником для одержання доступу до даних на комп’ютері користувача.

По матеріалам http://www.secblog.info.

Корпорація Microsoft виклала на своєму сайті оновлення для недавно представленого браузера Internet Explorer 7.

Сьома версія IE була випущена в жовтні нинішнього року і стала першим комплексним оновленням браузера Microsoft за останні п’ять років. Основний упор в Internet Explorer 7 зроблений на безпеку і стабільність роботи. Програма підтримує таби, RSS і характеризується поліпшеним інтерфейсом. Крім того, у браузер убудований антифішинговый фільтр, що, як з’ясовується, у ряді випадків може провокувати серйозне уповільнення роботи комп’ютера.

Як повідомляється в повідомленні Microsoft, проблема виявляється при перегляді веб-сайтів з великою кількістю фреймів. У цьому випадку антифішинговый фільтр витрачає занадто багато системних ресурсів, що негативно відбивається на продуктивності. Для рішення проблеми Microsoft пропонує установити спеціальний апдейт. Крім того, при необхідності користувачі можуть цілком відключити антифішинговый фільтр через меню налаштувань браузера.

По матеріалам http://www.secblog.info.

Протягом останніх декількох місяців спостерігається значне збільшення числа програм, що використовують діри в безпеці найбільш популярних програм, що дозволяє здійснювати віддалені атаки з боку кібер-злочинців. Дана ситуація відповідає новій динаміці розвитку шкідливого ПЗ, у якій головною метою стала фінансова нажива. Інтернет-злочинці концентрують свої зусилля на виявленні й експлуатації недоліків безпеки, що дозволяє їм збирати якнайбільше конфіденційних даних користувачів.

Зокрема, злочинці постійно знаходяться в пошуку уразлиовстей у додатках, установлених на мільйонах комп’ютерів. Наприклад, на минулому тижні Microsoft випустила заплатки для виправлення дір в безпеці Internet Explorer і Microsoft Office. Прикладом нової динаміки розвитку, що заслуговує уваги, шкідливого ПЗ є уразливість MS06-040, імовірно, одна з найбільш серйозних за останній час. До того як з’явився хробак Oscarbot.KD, що експлуатує її, пройшло лише кілька годин. Даний хробак не ставив перед собою ціль поширитися на мільйони комп’ютерів протягом кілька хвилин, замість цього він дозволяв зловмиснику виконувати ряд дій на заражених комп’ютерах.

Цільові атаки - лише одна з проблем у поточній панорамі Інтернет-загроз. Оскільки в цих атаках часто використовуються спеціально створені унікальні шкідливі коди, що відсилаються обмеженій кількості потенційних жертв, користувачі в основній масі не інформовані про їхнє існування, а оскільки вони маскують свою присутність, антивірусні компанії також не усвідомлюють їхнього існування, і тому не можуть створити для них відповідні вакцини.

В даний час життєво важливим компонентом безпеки комп’ютерів є попереджуючі технології, здатні виявляти загрози, не потребуючи оновлень. Також винятково важливим є відвідування час від часу сайтів розробників програмного забезпечення, щоб переконатися в наявності відновлень для додатків, установлених на вашому комп’ютері.

По матеріалам http://sb.adverman.com.

До речі, про уразливості на sb.adverman.com я вже писав.

У 2007 році основна увага хакерів буде приділена блогам і соціальним мережам на зразок MySpace. До такого висновку прийшли фахівці компанії Trend Micro, що спеціалізується в області інтернет-безпеки.

Експерти Trend Micro вважають, що крім блогів хакери будуть активно атакувати служби миттєвих повідомлень (ICQ чи MSN), а також мобільні телефони. Причому метою для хакерів буде банальний заробіток грошей за рахунок крадіжки особистих зведень користувачів.

Фахівці McAfee, у свою чергу, застерігають співробітників великих компаній про нові види промислового шантажу. Боятися працівникам корпорацій варто “найнятих злочинцями студентів”.

По матеріалам http://lenta.ru.

Знайдені численні уразливості в Microsoft Internet Explorer та Outlook Express (security vulnerabilities).

Ушкодження пам’яті при обробці помилок Javascript і у функції normalize(). Міжсайтовий доступ до файлів Temporary Internet Files. Переповнення буфера при розборі адресної книги (WAB).

• Microsoft Internet Explorer normalize() Function Memory Corruption Vulnerability (деталі)
• Secunia Research: Internet Explorer Script Error Handling Memory Corruption (деталі)
• Microsoft Security Bulletin MS06-076 Cumulative Security Update for Outlook Express (923694) (деталі)
• Microsoft Security Bulletin MS06-072 (деталі)

Як пише автор vedeney.org.ua, Стефан Ессер залишив команду PHP. Стефан багато років займався виявленням проблем пов’язаних з безпекою, заявив про те, що він іде з PHP security team, втративши віру в можливість вирішення проблем з безпеки в PHP.

Проблеми з безпекою в PHP виправляються дуже довго (в поточному дереві знаходяться виправлення, які користувачі чекають вже 6 місяців), проте ніхто не звертає на це увагу. Проблеми які піднімав Стафан, просто інгорувалися в PHP security team, що часто тянуло за собою появу нових помилок.

Зазначу, що тепер вже колишній учасник PHP security team не закінчує роботу над дослідженням проблем PHP, він лише змінює принцип роботи. Раніше він одразу повідомляв про помилки розробникам і чекав коли помилку виправлять, перед тим як публічно оголосити про неї. Тепер ж він збирається оголошувати результати своїх досліджень не дивлячись на виправлення. Сподіваючись, що це примусить розробників вирішувати проблеми швидше.

Це доволі резонансна подія, бо проблеми з безпекою в PHP виникають регулярно (про що я постійно пишу в своїх новинах), і тепер експертів в PHP security team стало на одного менше. Та й як заявляє сам Стефан, секюріті проблеми доволі довго вирішувалися (і він сподівається змусити розробників швидше реагувати на проблеми). Будемо сподіватися, що цей крок приненесе позитивних наслідків, в плані безпеки PHP, інакше будемо мати лише нові уразливості. Бо мова PHP дуже популярна і розвивається стрімкими темпами.