Виявленні численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey (security vulnerabilities).
Можливе ушкодження пам’яті, підміна коду, виконання коду. Можуть бути використані для прихованого встановлення шкідливого коду.
По частині блокування сумнівних інтернет-ресурсів, що використовуються шахраями з метою крадіжки особистих даних (фішинг), Firefox 2.0 виявився на голову вище свого головного конкурента Internet Explorer 7.
Виявилося, що вбудований в Firefox 2.0 антифішинговий захист більш ефективний ніж аналогічні інструменти, якими оснащена сьома версія Internet Explorer. З 1400 відомих фішерських сайтів Firefox 2.0 визнав такими 848. IE7 же справився з задачою гірше. При включеній функції Auto Check браузер визначив, що 66%, тобто 690 сайтів з цього числа, є шахрайськими.
При цьому, як відзначили в компанії Smartware, що проводила це дослідження, обидва браузери пропустили багато сторінок, призначених для крадіжки особистої інформації в користувачів. Наприклад, IE не зміг ідентифікувати 243 шкідливих сайта, що заблокував Firefox 2.0. Останній пропустив 117 веб-адрес, що IE7 визнав підозрілими.
По матеріалам http://www.secblog.info.
Згідно отриманим у рамках соціологічного дослідження даним, користувачі самого масового сектора інтернету, а саме форумів, блогів, сайтів знайомств, практично не захищені від хакерів. Дослідження провела компанія CA, найбільший виробник захисного й адміністративного ПЗ, разом з NCSA (National Cyber Security Alliance).
Як повідомляють дослідники, дуже часто підвищений ризик пов’язаний з повною зневагою користувачами елементарними правилами безпеки. Стало відомо, що 57% відвідувачів свідомо небезпечних інтернет-ресурсів розуміють можливість крадіжки інформації і, тим не менше, залишають дані про себе. Охоче відкривають користувачі і листи з вкладеннями, що прийшли з незнайомих адрес, що звичайно використовуються для розсилання вірусів і троянських програм.
За даними холдингу POMIR Monitoring, 90% росіян користуються службовим інтернетом для особистих цілей, тим самим, піддаючи небезпеки не тільки свої, але і службові дані. Розуміють небезпеку цього тільки 18% роботодавців, що завбачливо заблокували підлеглим повний доступ у всесвітню павутину.
По матеріалам http://www.mobimag.ru.
Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад, одержати доступ до важливих даних, викликати відмовлення в обслуговуванні і скомпрометувати цільову систему.
Уразливі версії: Mozilla Firefox <= 1.5.0.8, SeaMonkey <= 1.0.6.
1. Бібліотека Network Security Services (NSS) містить неповноцінне виправлення уразливості перевірки RSA підпису. Можливий охід обмежень безпеки в Network Security Services (NSS).
2. Уразливість існує через помилку при обробці Script об'єктів. Зловмисник може виконати довільний JavaScript байткод у браузері жертви шляхом зміни вже запущених Script об'єктів.
3. Виявлено кілька помилок у механізмі розкладки і помилки ушкодження пам'яті в механізмі JavaScript. Віддалений користувач може аварійно завершити роботу браузера чи виконати довільний код на цільовій системі.
4. Уразливість існує через невідому помилку в XML.prototype.hasOwnProperty. Віддалений користувач може виконати довільний код на цільовій системі.
Рекомендую встановити останню версію із сайта виробника.
Виявлені уразливості дозволяють віддаленому користувачу обійти обмеження безпеки і підвищити свої привілеї в додатку.
Уразливі версії: MySQL 5.x.
1. Користувач із привілеями на доступ до визначеної бази даних, без права на створення нової БД, може створити однойменну базу даних, змінивши регістр букв. Уразливість існує на файлових системах, чуттєвих до регістра.
2. Уразливість існує через помилку при обробці аргументів у suid механізмі. Віддалений користувач із привілеями на виконання “EXECUTE” може виконати довільні DML вираження з підвищеними привілеями.
Рекомендую встановити виправлення.
Нещодавно PHP Development Team оголосила про вихід обновленої версії PHP 5.2.0.
У поточній версії представлений новий менеджер пам’яті для Zend Engine, додане розширення JSON, з’явилася можливість створення і редагування файлів ZIP, доданий новий режим помилок E_RECOVERABLE_ERROR, нові можливості керування інформацією про дату і час, обновлені бібліотеки SQLite, PCRE, OpenSSL, MySQL і PostgreSQL, виправлено безліч помилок у системі безпеки.
09.11.2006
Виявлене переповнення буфера в PHP. Уразливість дозволяє віддаленому користувачу викликати відмовлення в обслуговуванні чи виконати довільний код на цільовій системі.
Уразливі версії PHP: 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x, 5.0.x, 5.1.x.
Уразливість існує через помилку перевірки границь даних у функціях “htmlentities()” і “htmlspecialchars()”. Зловмисник може передати спеціально сформовані дані PHP додатку, що використовує уразливі функції, викликати переповнення буфера і виконати довільний код на цільовій системі.
Уразливість дозволяє перезаписати до 7 символів, впроваджуючи некоректні UTF-8 символи в рядок, що буде оброблений уразливими функціями. Символи обмежені 0×00, 0xc0-0xfd.
Уразливість виправлена в останній версії php - 5.2.0.
14.11.2006
Виявлене переповнення буфера у функціях PHP (buffer overflow).
Переповнення буфера у функціях htmlentities() і htmlspecialchars() при використанні UTF-8.
Уразливі версії: PHP 4.4, PHP 5.1.
Виявленні численні DoS-умови в популярній СУБД PostgreSQL.
Можливі різні DoS-умови при виконанні клієнтських запитів.
Компанія Acunetix, розробники популярного секюріті сканера, в своєму повідомленні Cross-Site Scripting ranks first in top security risks звертає вашу увагу на те, що в даний час XSS уразливості стали серйозною і поширеною загрозою безпеки. Раніше я згадував, що XSS набирає обертів (і секюріті компанії все більше звертають увагу на даний тип уразливостей).
Сама компанія займається розробкою секюріті сканера та регулярно проводить аудити проти разноманітних загроз безпеки, в тому числі XSS. Я вже розповідав про статистику веб атак.
І як показують дослідження компанії, зараз хакери відходять від атак переповнення буфера (які раніше були найпопулярнішими), і в даний час Cross-Site Scripting та SQL Injection є самими популярними атаками (котрі дозволяють дістатися зловмисникам до конфеденційної інформації).
Проект Common Vulnerabilities and Exposures (CVE) по власній статистиці за 2006 також підтвержує дану ситуацію: Cross-Site Scripting - 21,5%, SQL Injection - 14%, PHP includes - 9,5% (при тому, що Buffer overflows лише 7,9%).
Збільшення поширенності XSS уразливостей показує, що вектор атак зараз зміщується в напрямку веб додатків (з мов программування таких як C, до веб орієнтованих мов, таких як PHP, Perl, Java та платформи .Net). Зловмисники все більше використовують веб орієнтовані атаки. Тому потрібно приділяти увагу захисту ваших веб сайтів, веб додатків та веб систем.
Виявлена ін’єкція HTTP заголовка в плагіні Macromedia Flash.
Уразливі версії: Flash Player plugin 9.0.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.