Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-106 - Critical Cumulative Security Update for Internet Explorer (3096441) (деталі)
• Microsoft Security Bulletin MS15-107 - Important Cumulative Security Update for Microsoft Edge (3096448) (деталі)

У жовтні місяці Microsoft випустила 6 патчів. Що менше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server.

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 05.06.2013 по 10.08.2015. Перший масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з багатьох окремих дефейсів.

Всього був взломаний 31 сайт на сервері хостера TheHost (IP 91.234.33.250). Це наступні сайти: europumps.com.ua, ifox.biz, bassein-ozero.com.ua, grafio-decor.com.ua, homemadedrink.com.ua, indyuk.com.ua, dom-yagotin.com.ua, remontluxe.kiev.ua, rizka.kiev.ua, action.vishop.com.ua, uafkl.com.ua, dor-znak.pp.ua, my.selyandia.ru, jurinvest.vst-group.com, admin-blog.pp.ua, yacheslav-sherstiuk.com, transform-energo.com.ua, selyandia.ru, vst-group.com, bassein-ozero.com.ua, www.vacc-ua.aero, indyuk.com.ua, lrsys.com, otkos.dn.ua, rainway.biz, jurinvestprom.com.ua, chicgift.com.ua, eshop.stimpex.com.ua, news1.stimpex.com.ua, pens.stimpex.com.ua, www.sweetbud.com.ua.

Під час взлому хакера Anxiety було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

У жовтні, 13.10.2015, через півтора місяці після виходу Google Chrome 45, вийшов Google Chrome 46.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Cache API тепер працює лише з HTTPS.
• Скасовано проміжний жовтий індикатор захищеності сайта. Тепер https ресурс з мінімальними помилками (зображення по http) буде вважатися незахищеним.

Виправлено 24 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 46 (деталі)

Виявлена можливість проведення DoS атаки проти Apache ActiveMQ.

Уразливі версії: Apache ActiveMQ 5.10.

Доступна недокументована команда shutdown.

• activemq security update (деталі)

Цього року відбувся масовий взлом сайтів на сервері Ukraine. Він відбувся з 29.01.2015 по 17.10.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukraine. Взлом складався з багатьох окремих дефейсів. Вони переважно відбулися після масового взлому сервера 1GB.

Всього було взломано 38 сайтів на сервері хостера Ukraine (IP 185.68.16.59). Перелік сайтів можете подивитися на www.zone-h.org. Від biz-registr.com.ua до webmarketing.org.ua.

З зазначених 38 сайтів 25 сайтів були взломані хакером red virus maroc, 4 сайти хакером d3b~X, по два сайти хакерами Abdellah Elmaghribi і Virus OS та по одному хакерами w4l3XzY3, Team_CC, the_warri0r, muaad scorpion і Ashiyane Digital Security Team.

Масовий дефейс хакером red virus maroc явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в LibreSSL.

Уразливі версії: LibreSSL 2.0, LibreSSL 2.3.

DoS, переповнення буфера.

• LibreSSL (CVE-2015-5333 and CVE-2015-5334) (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.4.

Розкриття інформації, DoS.

• PostgreSQL vulnerabilities (деталі)

Виявлені уразливості безпеки в Microsoft .NET Framework та WebDAV.

Уразливі продукти: Microsoft .NET Framework 4.6, WebDAV.

Підвищення привілеїв, витік інформації.

• Microsoft Security Bulletin MS15-089 - Important Vulnerability in WebDAV Could Allow Information Disclosure (3076949) (деталі)
• Microsoft Security Bulletin MS15-092 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3086251) (деталі)

У вересні, 30.09.2015, вийшов Mozilla Firefox 41.0.1. А в жовтні, 15.10.2015, вийшов Mozilla Firefox 41.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 41.

Це багфікс і секюріті випуски в яких виправлені баги (в 41.0.1) і одна уразливість (в 41.0.2). Але в першій версії виправлені численні помилки, в тому числі п’ять вибивань браузера, що пов’язані з Intel GMA 3150, Facebook, Yandex Toolbar, Adblock Plus та серіалізацію в браузері. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-115 Cross-origin restriction bypass using Fetch (деталі)