Websecurity - Веб безпека

Протягом останніх декількох місяців спостерігається значне збільшення числа програм, що використовують діри в безпеці найбільш популярних програм, що дозволяє здійснювати віддалені атаки з боку кібер-злочинців. Дана ситуація відповідає новій динаміці розвитку шкідливого ПЗ, у якій головною метою стала фінансова нажива. Інтернет-злочинці концентрують свої зусилля на виявленні й експлуатації недоліків безпеки, що дозволяє їм збирати якнайбільше конфіденційних даних користувачів.

Зокрема, злочинці постійно знаходяться в пошуку уразлиовстей у додатках, установлених на мільйонах комп’ютерів. Наприклад, на минулому тижні Microsoft випустила заплатки для виправлення дір в безпеці Internet Explorer і Microsoft Office. Прикладом нової динаміки розвитку, що заслуговує уваги, шкідливого ПЗ є уразливість MS06-040, імовірно, одна з найбільш серйозних за останній час. До того як з’явився хробак Oscarbot.KD, що експлуатує її, пройшло лише кілька годин. Даний хробак не ставив перед собою ціль поширитися на мільйони комп’ютерів протягом кілька хвилин, замість цього він дозволяв зловмиснику виконувати ряд дій на заражених комп’ютерах.

Цільові атаки - лише одна з проблем у поточній панорамі Інтернет-загроз. Оскільки в цих атаках часто використовуються спеціально створені унікальні шкідливі коди, що відсилаються обмеженій кількості потенційних жертв, користувачі в основній масі не інформовані про їхнє існування, а оскільки вони маскують свою присутність, антивірусні компанії також не усвідомлюють їхнього існування, і тому не можуть створити для них відповідні вакцини.

В даний час життєво важливим компонентом безпеки комп’ютерів є попереджуючі технології, здатні виявляти загрози, не потребуючи оновлень. Також винятково важливим є відвідування час від часу сайтів розробників програмного забезпечення, щоб переконатися в наявності відновлень для додатків, установлених на вашому комп’ютері.

По матеріалам http://sb.adverman.com.

До речі, про уразливості на sb.adverman.com я вже писав.

У 2007 році основна увага хакерів буде приділена блогам і соціальним мережам на зразок MySpace. До такого висновку прийшли фахівці компанії Trend Micro, що спеціалізується в області інтернет-безпеки.

Експерти Trend Micro вважають, що крім блогів хакери будуть активно атакувати служби миттєвих повідомлень (ICQ чи MSN), а також мобільні телефони. Причому метою для хакерів буде банальний заробіток грошей за рахунок крадіжки особистих зведень користувачів.

Фахівці McAfee, у свою чергу, застерігають співробітників великих компаній про нові види промислового шантажу. Боятися працівникам корпорацій варто “найнятих злочинцями студентів”.

По матеріалам http://lenta.ru.

Знайдені численні уразливості в Microsoft Internet Explorer та Outlook Express (security vulnerabilities).

Ушкодження пам’яті при обробці помилок Javascript і у функції normalize(). Міжсайтовий доступ до файлів Temporary Internet Files. Переповнення буфера при розборі адресної книги (WAB).

• Microsoft Internet Explorer normalize() Function Memory Corruption Vulnerability (деталі)
• Secunia Research: Internet Explorer Script Error Handling Memory Corruption (деталі)
• Microsoft Security Bulletin MS06-076 Cumulative Security Update for Outlook Express (923694) (деталі)
• Microsoft Security Bulletin MS06-072 (деталі)

Як пише автор vedeney.org.ua, Стефан Ессер залишив команду PHP. Стефан багато років займався виявленням проблем пов’язаних з безпекою, заявив про те, що він іде з PHP security team, втративши віру в можливість вирішення проблем з безпеки в PHP.

Проблеми з безпекою в PHP виправляються дуже довго (в поточному дереві знаходяться виправлення, які користувачі чекають вже 6 місяців), проте ніхто не звертає на це увагу. Проблеми які піднімав Стафан, просто інгорувалися в PHP security team, що часто тянуло за собою появу нових помилок.

Зазначу, що тепер вже колишній учасник PHP security team не закінчує роботу над дослідженням проблем PHP, він лише змінює принцип роботи. Раніше він одразу повідомляв про помилки розробникам і чекав коли помилку виправлять, перед тим як публічно оголосити про неї. Тепер ж він збирається оголошувати результати своїх досліджень не дивлячись на виправлення. Сподіваючись, що це примусить розробників вирішувати проблеми швидше.

Це доволі резонансна подія, бо проблеми з безпекою в PHP виникають регулярно (про що я постійно пишу в своїх новинах), і тепер експертів в PHP security team стало на одного менше. Та й як заявляє сам Стефан, секюріті проблеми доволі довго вирішувалися (і він сподівається змусити розробників швидше реагувати на проблеми). Будемо сподіватися, що цей крок приненесе позитивних наслідків, в плані безпеки PHP, інакше будемо мати лише нові уразливості. Бо мова PHP дуже популярна і розвивається стрімкими темпами.

Ланс Шпітцнер, засновник проекту Honeynet, вважає, що за останні кілька років цілі та мотивація хакерів сильно змінилася. Хакерство зараз дуже прибуткове заняття й існує можливість роздобути багато грошей з мінімальним ризиком для самого взломщика.

Дуже цікаво те, що IRC використовується хакерами для початку атак і для спілкування. Існує безліч різних способів безпечного спілкування, але хакери все рівно використовує IRC. Вони не бояться бути пійманими і роблять усе відкрито. За останні два роки можна було спостерігати неймовірну можливість хакеров адаптуватися до нових технологій. Як тільки з’являється нова утиліта безпеки, вона відразу використовується для взлому. Спам дуже гарний приклад тому - ніхто не в змозі зупинити його.

Існує безліч нюансів при пійманні взломщика. Навіть якщо ви відстежите його на іншому кінці земної кулі, вам необхідно буде знайти обвинувача, що захоче їхати за хакером і ловити його. А це далеко не сама пріоритетна робота для органів влади. Використання безпечних ОС, сильних паролів, надійних політик безпеки, більш нових технологій може тільки ускладнити задачу і змусити хакера витратити на взлом більше часу. Але зловмисник може витратити стільки часу - скільки йому потрібно, тому що він не боїться бути пійманим.

У даний момент хакерска активність спостерігається у всіх країнах. Активніше усіх поводяться хакери з Румунії. Шпітцнер вважає, що практично всі атаки зараз автоматизовані. Відсоток індивідуальних атак дуже малий. Більшість усіх дій автоматизоване - тому що це більш простий спосіб заробити гроші.

По матеріалам http://www.securitylab.ru.

На думку аналітиків, у 2007 році компаніям прийдеться збільшити витрати на інформаційну безпеку більш як на 10%. Відповідно до результатів опитування посадових осіб, що приймають рішення в області інформаційних технологій, число звертань з питань безпеки, що надходять у служби допомоги, зростає. В опитуванні брало участь більш 1000 керівників IT-служб із 10 країн світу.

Як повідомили у прес-службі компанії “Cisco”, отримані результати підтверджують висновки іншого дослідження, що були опубліковані в жовтні цього року і свідчили про явну невідповідність між ступенем поінформованості співробітників фірм у питаннях безпеки та їх практичним поводженням. Крім того, співробітниками найчастіше невірно сприймається роль IT-служб у контролі за використанням службових ноутбуків, кишенькових ПК і смартфонів.

38% учасників опитування осіб, що приймають рішення в області інформаційних технологій, відзначили зростання числа звернень за допомогою в зв’язку з погрозами мережевої безпеки. У кожному такому випадку користувачі та їхні робочі пристрої виявлялися жертвами вірусних атак, спроб фішинга (вид інтернет-шахрайства, ціль якого - одерження ідентифікаційних даних користувачів), злочинного використання ідентифікаційних даних, хакерских атак та інших зловмисних дій. У результаті 67% респондентів висловили думку про те, що в наступному році інвестиції в забезпечення безпеки IT-інфраструктури збільшаться. При цьому 41% опитаних думає, що зростання цих витрат перевищить 10%.

По матеріалам http://www.liga.net. Я до речі вже писав про уразливість на www.liga.net, що їм потрібно за власною безпекою слідкувати (окрім публікації новин секюріті тематики).

25.11.2006

Перехоплення облікових (конфеденційних) даних у менеджері паролів Firefox. Уразливі версії: Firefox 1.5, Firefox 2.0.

При автоматичному заповненні форми не враховується її призначення, тому, якщо зловмисник може вставити форму в контент сайта, то він зможе одержати результати збережених полів (зокрема логін/пароль).

Зауважу, що уразливість виявлена не тільки в Mozilla Firefox, але й в IE (про що я напишу додатково). Експерти назвали даний різновид атаки Reverse Cross-Site Request. Про даний вид атак я ще розповім окремо більш детально.

• Firefox password manager form information leak (деталі)
• Cross-Site Forms + Password Manager = Security Failure (деталі)

30.11.2006

Уразливість при обробці URL в Firefox Password Manager.

Уразливі версії: Mozilla Firefox 2.x, Mozilla Firefox 1.x.

Уразливість дозволяє віддаленому користувачу одержати доступ до важливих даних на системі.

Уразливість існує через те, що менеджер паролів недостатньо перевіряє URL перед автоматичним заповненням форм збереженими особистими даними користувача. Зловмисник може за допомогою спеціально сформованих форм у межах одного домена одержати особисті дані цільового користувача.

При використанні менеджера паролів слід бути обережним. В якості одного з варіантів вирішення даної проблеми рекомендується відключити опцію збереження паролів для сайтів.

• Уязвимость при обработке URL в Firefox Password Manager (деталі)

Виявлені нові помилки та уразливості в Mozilla Firefox, Thunderbird, SeaMonkey. Я вже згадував, що Mozilla обновила браузер Firefox 1.5.

Дані помилки та уразливості вже були виправлені в нових версіях вказаних програм. Mozilla Firefox був оновлений до версії 1.5.0.8, Mozilla Thunderbird до версії 1.5.0.8, і Mozilla Seamonkey suite до версії 1.0.6.

Серед виправлених помилок наступні:

MFSA2006-65: Ряд помилок в роботи браузерів Mozilla (даний пункт був розбитий на три підпункти: CVE-2006-5464, CVE-2006-5747, CVE-2006-5748 і всі зазначені помилки були виправлені).

MFSA2006-66/CVE-2006-5462: Проблеми з RSA digital signatures були виправлені (причому повторно, раніше вже виправлялась дана помилка - MFSA 2006-60).

MFSA2006-67/CVE-2006-5463: виправлена можливість закриття браузеру (через помилку з обробкою Script об’єктів), з потенційною можливістю виконання JavaScript байткоду.

• SUSE Security Announcement: Mozilla Firefox, Thunderbird, SeaMonkey (деталі)

22.11.2006

Виявленні численні помилки і уразливості в Oracle.

Уразливі версії: Oracle 9i, Oracle E-Business Suite 11.0, Oracle 10g, JDeveloper 9.0, SunMC 3.5, Oracle E-Business Suite 11i, APEX/HTMLDB 2.2.

SQL ін’єкції, DoS, модифікація файлів, міжсайтовий скріптінг, підвищення привілеїв, зміна параметрів аудита. Передача пароля у відкритому виді з JDeveloper у SQLPlus. Пароль JDeveloper зберігається у відкритому тексті в різних конфігураційних файлах формату XML. Пароль FormBuilder зберігається у відкритому тексті в тимчасових файлах. Слабкі дозволи на тимчасові файли. Перезапис і читання будь-якого файлу в Oracle Reports. Виконання будь-якої команди через Oracle Forms і Oracle Reports. А також величезна кількість інших помилок, багато з який давно відомі і дотепер не виправлені, що дозволяє говорити про нульовий рівень безпеки всіх продуктів. Для забезпечення безпеки продуктів Oracle використовуйте розробки сторонніх виробників.

• Multiple Oracle application server vulnerabilities (деталі)

26.11.2006

Додаткова інформація.

Було знайдено 79 уразливостей в продуктах Oracle:

• Modify Data via Inline Views
• Various Cross-Site-Scripting Vulnerabilities in Oracle Reports
• Cross-Site-Scripting Vulnerabilitiy in Oracle APEX NOTIFICATION_MSG
• Cross-Site-Scripting Vulnerability in Oracle APEX WWV_FLOW_ITEM_HELP
• SQL Injection in Oracle package MDSYS.SDO_LRS
• SQL Injection in package SYS.DBMS_CDC_IMPDP
• SQL Injection in package XDB.DBMS_XDBZ0
• SQL Injection in package SYS.DBMS_SQLTUNE_INTERNAL
• Oracle 10g R2 and, probably, all previous versions
• Bypassing Oracle dbms_assert
• Oracle Database - SQL Injection in SYS.DBMS_UPGRADE [DB22]
• Oracle Database - SQL Injection in SYS.DBMS_STATS [DB21]
• Oracle Database - SQL Injection in SYS.DBMS_CDC_IMPDP [DB01]
• Oracle Database - SQL Injection in SYS.DBMS_CDC_IMPDP [DB01]
• US-CERT Technical Cyber Security Alert TA06-200A — Oracle Products Contain Multiple Vulnerabilities
• Oracle Database - SQL Injection in SYS.KUPW$WORKER [DB03]
• Recent Oracle exploit is _actually_ an 0day with no patch
• Oracle Database 10gR1 Buffer overflow in VERIFY_LOG procedure
• Oracle Products Contain Multiple Vulnerabilities
• SQL Injection in package SYS.DBMS_LOGMNR_SESSION
• Multiple critical and high risk issues in Oracle’s database server
• Oracle read-only user can insert/update/delete data via specially crafted views
• More on the workaround for the unpatched Oracle PLSQL Gateway flaw
• The History of the Oracle PLSQL Gateway Flaw
• Oracle Database Buffer overflows vulnerabilities in public procedures of XDB.DBMS_XMLSCHEMA{_INT}
• Workaround for unpatched Oracle PLSQL Gateway flaw
• Oracle Products Contain Multiple Vulnerabilities
• Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT
• Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT_INT
• Oracle Database 10g Rel. 2 - Event 10053 logs TDE wallet password in cleartext
• Oracle DBMS - Access Control Bypass in Login
• Oracle Reports - Read parts of files via desname (fixed after 874 days)
• Oracle Reports - Overwrite any application server file via desname (fixed after 889 days)
• Oracle Reports - Read parts of files via customize(fixed after 875 days)
• Oracle Database 10g Rel. 2- Transparent Data Encryption plaintext masterkey in SGA
• Oracle DBMS_ASSERT and the October 2005 CPU
• Oracle October 2005 CPU Problems
• Oracle Application Server HTTP Response Splitting Vulnerability
• Exploit Oracle DB27 - CPU Octobre
• Oracle 10g - emagent.exe Stack-Based Overflow
• Oracle Workflow CSS Vulnerability wf_route
• Oracle Workflow CSS Vulnerability wf_monitor
• Oracle Workflow CSS Vulnerability wf_monitor
• Oracle Products Contain Multiple Vulnerabilities
• Complete failure of Oracle security response and utter neglect of their responsibility to their customers
• Cross-Site-Scripting Vulnerability in Oracle XMLDB
• Shutdown TNS Listener via Oracle iSQL*Plus
• Shutdown TNS Listener via Oracle Forms Servlet
• Plaintext Password Vulnerabilitiy during Installation of Oracle HTMLDB
• Cross-Site-Scripting Vulnerabilities in Oracle HTMLDB
• Cross-Site-Scripting Vulnerability in Oracle iSQL*Plus
• Oracle 9R2 Unpatched vulnerability on CWM2_OLAP_AW_AWUTIL package
• Oracle 9R2 Unpatched vulnerability on CWM2_OLAP_AW_AWUTIL package
• Sun Management Center Oracle Listener Vulnerabilities
• Various Cross-Site-Scripting Vulnerabilities in Oracle Reports
• Read parts of any XML-file via customize parameter in Oracle Reports
• Read parts of any file via desformat in Oracle Reports
• Run any OS Command via unauthorized Oracle Reports
• Run any OS Command via unauthorized Oracle Forms
• Overwrite any file via desname in Oracle Reports
• Silently fixed security bugs in Oracle Critical Patch Update July 2005
• Oracle Products Contain Multiple Vulnerabilities
• Oracle Forms Insecure Temporary File Handling
• Oracle Forms Builder Password in Temp Files
• Oracle JDeveloper Plaintext Passwords
• Name Oracle JDeveloper passes Plaintext Password
• Problems with the Oracle Critical Patch Update for April 2005
• Oracle 10g Exploit dbms_scheduler SESSION_USER issue
• Oracle Fine Grained Auditing Issue in Oracle 9i / 10g
• Webcache Client Requests bypasses OHS mod_access restrictions
• Append file in Oracle Webcache 9i
• Cross Site Scripting in Oracle Webcache 9i
• Oracle Products Contain Multiple Vulnerabilities
• Multiple Exploit Codes for Oracle (interMedia, DBMS_CDC_SUBSCRIBE, DBMS_CDC_ISUBSCRIBE and DBMS_METADATA)
• SQL Injection in ALTER_MANUALLOG_CHANGE_SOURCE procedure
• Multiple SQL Injection vulnerabilities in DBMS_METADATA package
• Denial of Service in Oracle interMedia
• SQL Injection in CREATE_SCN_CHANGE_SET procedure
• Multiple SQL Injection vulnerabilities in DBMS_CDC_SUBSCRIBE and DBMS_CDC_ISUBSCRIBE packages

А також експлоіти для Oracle:

• Oracle 9i HTTP XDB service stack overflow exploit (деталі)
• exploit for Oracle 10g 10.2.0.2.0 (деталі)

Співтовариство Mozilla.org випустило обновлену версію браузера Firefox 1.5.

У представленій днями версії Fіrefox з індексом 1.5.0.8 усунуто декілька небезпечних уязвимостей. Діри, що є присутніми у попередніх версіях браузера, можуть використовуватися зловмисниками з метою організації DoS-атак на віддалені комп’ютери, обходу певних обмежень безпеки, проведення XSS-атак і виконання на машині жертви довільного шкідливого коду. Крім того, програмісти Mozilla внесли ряд змін, що дозволили підвищити стабільність роботи браузера.

Співтовариство Mozilla.org має намір випускати обновлення безпеки для версій браузера Firefox з індексами 1.5.х аж до 24 квітня наступного року. Після цієї дати підтримка продукту буде припинена.

Утім, уже зараз усі бажаючі можуть завантажити більш надійний браузер Firefox 2.0, випущений минулого місяця. У Firefox 2.0, нагадаємо, з’явилися антифішинговий фільтр, вбудовані засоби перевірки правопису і граматики, підтримка JavaScript 1.7 і удосконалений механізм підтримки RSS. Браузер доступний у версіях для операційних систем Microsoft Windows, Apple Mac OS і Linux.

По матеріалам http://www.secblog.info.