Websecurity - Веб безпека

Декільа днів тому Google зіштовхнулася з неприємностями, пов’язаними з офіційним блогом компанії. Як повідомляє security.compulenta.ru, невідомий зловмисник опублікував у блозі фальшиве повідомлення, в якому говорилося про припинення співробітництва між Google і одним із самих великих онлайнових аукціонів eBay.

Google і eBay уклали багаторічну угоду про співробітництво в серпні нинішнього року. У фальшивому повідомленні вказувалося, що Google і eBay прийняли рішення зупинити проект click-to-call, оскільки порахували його занадто “монополістичним”.

Представниця Google на сторінках блога відзначає, що взлом був здійснений через діру в системі Blogger. У Google також підкреслюють, що уразливість усунута, а про припинення співробітництва з eBay мови не йде, і всі роботи виконуються відповідно до графіка.

Я вже раніше згадував про проблеми з безпекою на сайтах Гугла: XSS уразливість в Гуглі, XSS та CSRF уразливості в Google.

Виявлена помилка форматного рядка в mod_tcl під Apache (format string security vulnerability).

Уразливі версії: Apache mod_tcl 1.0.

Декілька помилок форматного рядка через назву заголовка HTTP-запиту.

• Apache HTTP Server mod_tcl set_var Format String Vulnerability (деталі)

Свій девіз - “Інформація повинна бути доступною” - хакери вже встигли забути. Останнім часом Інтернет-злочинці концентрують свої зусилля на виявленні й експлуатації уразливостей безпеки, що дозволяють їм збирати якнайбільше конфіденційних даних користувачів. Ці дані потім використовуються для онлайнового шахрайства і продажі персональних даних. Сформована ситуація відповідає новій динаміці розвитку шкідливого програмного забезпечення (ПЗ), у якій головною метою стала фінансова нажива.

Як повідомляє антивірусна лабораторія PandaLabs, протягом останніх декількох місяців спостерігається значне збільшення числа програм, що використовують уразливості безпеки в найбільш популярному ПЗ, що дозволяє здійснювати віддалені атаки з боку кібер-злочинців.

Коли мова заходить про експлуатацію нових уразливостей, можна помітити, що кібер-шахраї зараз набагато активніші, ніж коли-небудь. Багато з виявлених уразливостей експлуатуються цільовими атаками, тобто атаками проти одного чи декількох визначених користувачів.

Цільові атаки - лише одна з проблем у поточній панорамі Інтернет-загроз. Оскільки в цих атаках часто використовуються спеціально створені унікальні шкідливі коди, що відсилаються обмеженій кількості жертв, користувачі в основній масі не інформовані про їхнє існування, а оскільки вони маскують свою присутність у системах, антивірусні компанії також не усвідомлюють їхнього існування, і тому не можуть створити для них відповідні вакцини. Тому в даний час життєво важливим компонентом безпеки комп’ютерів є попереджуючі технології, здатні виявляти загрози, не вимагаючи оновлень.

По матеріалам http://www.liga.net.

Спочатку з’явилася інформація (в новинах на securitylab.ru, а потім на security.nnov.ru), про наявність уразливості в Mozilla Firefox. Дана уразливість при обробці Javascrіpt дозволяє виконання довільного коду.

Про це повідомили Міша Шпігельмок та Ендрю Убілсоі на хакерскій конференції ToorCon. Де вони продемонстрували одну помилку в роботі Firefox при обробці Javascrіpt, що приводила до DOS. Також вони повідомили про те, що їм відомо про 30 уразливостей в Mozilla Firefox, про які вони, поки що, не збираються повідомляти деталі. Цим самим вони наробили чимало галасу (в інтернет ЗМІ) щодо Firefox, та зокрема щодо власних персоналій.

Співробітники компанії Mozilla, зокрема Віндов Снайдер, голова відділу безпеки Mozilla, спробувала дізнатися у хлопців детальну інформацію стосовно згадуваних уразливостей. За для поліпшення якості та безпеки коду браузера Firefox. Бо дані повідомлення про 30 дір в браузері підняли шум в пресі, і дуже жваво обговорювалися як прихильниками, так і противниками Firefox.

В результаті вияснилося, що це був лише жарт, як повідомив Міша Шпігельмок, і він не володіє інформацією про 30 уразливостей в Firefox. А та уразливість, яка була продемонстрована на ToorCon, поки що не довзоляє провести виконання коду, лише DOS атаку (ні праціники Mozilla, ні сам дослідник цієї уразливості, не змогли виконати довільний код). Тим не менш, розробники з компанії Mozilla, працюють над виправленням даної помилки, щоб унеможливити як DOS, так і потенційне виконання коду в браузері.

• Безопасность Mozilla Firefox: 30 0day уязвимостей и отсутствие патчей (деталі)
• 0day in Firefox from ToorCon ‘06 (деталі)
• Безопасность Firefox: 30 0day это вымысел? (деталі)

08.10.2006

Можливе виконання коду через функцію repr() в Python (code execution).

Уразливі версії: Python 2.3, Python 2.4.

• Python vulnerability (деталі)

11.10.2006

Переповнення буфера в Python.

Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні чи виконати довільний код на цільовій системі.

Уразливість існує через помилку при обробці рядків у кодуванні UTF32/UCS-4 у функції “repr()”. Віддалений користувач може виконати довільний код на цільовій системі, якщо додаток використовує функцію “repr()” для обробки вхідних даних, відправлених зловмисником.

Рекомендую встановити останню версію (2.5) з сайта виробника.

• Переполнение буфера в Python (деталі)

В PHP виявлене цілочислене переповнення (integer overflow) в функціях керування динамічною пам’яттю.

Уразливі версії: PHP 5.1.

• PHP “_ecalloc” Integer Overflow Vulnerability (деталі)
• Updated php packages fix integer overflow vulnerability (деталі)

За даними дослідження 2006 Computer Crime and Security Survey, кожна з опитаних компаній у середньому втратила 132047 EURO через неефективний ІТ-захист в 2005 році. Втрати в 2006 році будуть ще більше. Основними причинами збитків стали вірусні атаки і несанкціонований доступ до мережі.

За даними дослідження, комп’ютерні віруси і несанкціонований доступ до мереж є основними причинами фінансових збитків компаній. Інші значимі причини містять у собі втрату чи крадіжку ноутбуків і конфіденційної інформації. У сумі, ці причини відповідальні за 74% усіх корпоративних збитків, викликаних неефективністю систем ІТ-безпеки.

Згідно представленим у згаданому звіті даним, кожна з опитаних компаній у 2005 році понесла збитки на усереднену суму в 132047 EURO. Однак автори звіту підкреслюють, що лише половина з опитаних американських компаній надала інформацію, з огляду на можливість негативного розголосу, тому реальні цифри можуть бути значно вище.

По матеріалам http://itua.info.

01.10.2006

Виявленні численні уразливості в Firefox. Уразливі версії: Mozilla Firefox <= 1.5.0.6.

Виявлені уразливості дозволяють зловмиснику виконати напад "людин по середині", міжсайтовий скриптінг, спуфінг і потенційно скомпрометувати систему користувача.

1. Переповнення буфера в обробці JavaScript регулярних виразів дозволяє зловмиснику виконати довільний код на цільовій системі.

2. Механізм автообновления використовує SSL для безпечного спілкування. Якщо користувач підтвердить непровірений самопідписаний сертифікат при відвідуванні сайта, зловмисник може перенаправляти перевірку оновлення до зловмисного веб сайту і виконати напад "людин по середині".

3. Деякі помилки в процесі відображення тексту можуть експлуатуватися для ушкодження пам'яті і виконання довільного коду.

4. Уразливість виявлена в перевірці деяких підписів у Network Security Services (NSS) бібліотеці.

5. Уразливість у міждоменній взаємодії дозволяє впровадити довільний HTML і код сценарію у фрейм іншого веб сайта використовуючи виклик "[window].frames[index].document.open()".

6. Помилка виявлена при відкритті заблокованих спливаючих вікон. У результаті можна виконати довільний HTML і код сценаріїв у браузері користувача в контексті довільного веб сайта.

7. Кілька нерозкритих помилок пам'яті дозволяють виконати довільний код на цільовій системі.

Рекомендую оновити браузер до версії 1.5.0.7.

• Уразливості в Mozilla Firefox (деталі)
• Множественные уязвимости в Mozilla Firefox (деталі)

03.10.2006

Додаткова інформація.

Численні уразливості в браузерах Firefox / Mozilla / SeaMonkey / Netscape та в Thunderbird.

• Fixed in Firefox 1.5.0.7 (деталі)

В PHP версії до 4.4.3 та в 5.x до 5.1 була знайдена помилка при роботі з сесіями (PHPSESSID).

Суть уразливості в тому, що PHP не обмежує набір символів які використовуються як ідентифікатор сессії (session identifier) для сторонніх обробників сесій. Що може бути використано для віддалених атак для експлуатації інших уразливостей, зокрема вставкою PHP кода в PHPSESSID, який зберігається у файлі сесії.

• Vulnerability in PHP (CVE-2006-4433) (деталі)

Можливий обхід обмежень безпеки в PHP.

Уразливі версії: PHP <= 4.4.4, PHP <= 5.1.6.

Уразливість дозволяє віддаленому користувачу одержати доступ до важливих даних в системі.

Уразливість існує через недостатнє обмеження на зміну параметрів safe_mode і open_basedir у функції ini_restore(). Якщо ці обмеження встановлені в настроюваннях віртуального хоста веб сервера, а у файлі php.ini знаходяться значення за замовчуванням, зловмисник може відновити значення за замовчуванням і обійти обмеження, встановлені у конфігураційному файлі web сервера.

Приклад уразливої конфігурації:
<Directory /usr/home/frajer/public_html/>
Options FollowSymLinks MultiViews Indexes
AllowOverride None
php_admin_flag safe_mode 1
php_admin_value open_basedir /usr/home/frajer/public_html/
</Directory>

Експлоіт:
<?
echo ini_get("safe_mode");
echo ini_get("open_basedir");
include("/etc/passwd");
ini_restore("safe_mode");
ini_restore("open_basedir");
echo ini_get("safe_mode");
echo ini_get("open_basedir");
include("/etc/passwd");
?>

Вдала експлуатація уразливості дозволить зловмиснику одержати доступ до вмісту довільних файлів даної системи.

Додаткова інформація:

• Обхід захисту PHP Safe Mode (деталі)
• Обход ограничений безопасности в PHP (деталі)