Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 32.0, Chromium 32.0.

Численні пошкодження пам’яті, use-after-free, витік інформації.

• chromium-browser security update (деталі)

Слабкі дозволи в Perl модулі Proc::Daemon.

Уразливі версії: Perl Proc::Daemon 0.14.

Слабкі дозволи на pid-файл.

• Vulnerability in perl-Proc-Daemon (деталі)

Раніше я писав про січневі DDoS атаки в Україні, а зараз розповім про ситуацію в лютому.

Враховуючи протистояння яке з вівторка триває в Україні, відбулися наступні DDoS атаки та взломи в Уанеті.

Хакери Anonymus в якості акції протесту провели DDoS атаки на наступні державні сайти в Уанеті:

DDoS на www.president.gov.ua - 18.02.2014
DDoS на nmckherson.gov.ua - 19.02.2014

Невідомими хакерами (явно провладними) були атаковані наступні сайти:

DDoS на hromadske.tv - 18.02.2014
DDoS на 5.ua - 18.02.2014
DDoS на censor.net.ua - 20.02.2014
DDoS на maidanhelp.com.ua - 28.02.2014
DDoS на helpmaidan.org.ua - 28.02.2014
DDoS на banderivets.org.ua - 28.02.2014
DDoS на qha.com.ua - 28.02.2014

А також Анонімуси взломали базу даних МВС і виклали список працівників Беркуту в своєму акаунті в соціальні мережі.

В списку вказані ПІБ, Дата народження (цифри і зірочки), Домашня адреса (лише зірочки), Підрозділ. Вони заявляють, що це фрагмент БД для демонстрації.

Виявлена можливість виконання коду через шаблони в Perl.

Уразливі версії: Perl 5.17.

Можна викликати зовнішні функції при компіляції шаблонів.

• Perl vulnerability (деталі)

За повідомленням www.xakep.ru, технічні деталі DDoS-атаки з NTP-посиленням.

Компанія Cloudflare розголосила технічні деталі найбільшої DDoS-атаки з NTP-посиленням, про яку повідомлялося 10 лютого.

Фахівці говорять, що вони і раніш бачили DDoS-атаки на 400 Гбит/с, але вперше така атака використовує метод посилення UDP-трафіка саме через сервери мережевого часу NTP. Це нова загроза для мережі, вважає Cloudflare.

За повідомленням www.opennet.ru, ініціатива по організації незалежного аудита Firefox.

Бренден Айк, творець мови JavaScript, що займає посаду технічного директора Mozilla Corporation, запропонував організувати процес незалежної безупинної верифікації кодової бази Firefox. Для того, щоб гарантувати неможливість впровадження в продукт коду для здійснення стеження й інших прихованих дій.

Сліпої довіри виробнику і його заслуженій репутації недостатньо, тому що діючі в США законодавчі акти дозволяють примусити виробника до здійснення дій, що йдуть врозріз з тими принципами, яких вони дотримують в області безпеки і приватності.

За повідомленням www.ruskur.ru, хакери взломали поштовий сервіс Yahoo.

Американська інтернет-корпорація Yahoo повідомила своїм передплатникам про те, що її поштовий сервіс піддався атаці хакерів - у їх розпорядженні виявилися паролі від користувацьких акаунтів. Про це повідомляється в прес-релізі компанії.

У Yahoo також упевнені, що логіни і паролі від користувацьких скриньок були викрадені не зі сховища компанії, а від третьої сторони.

Виявлений витік інформації в cURL.

Уразливі продукти: cURL 7.34, libcurl 7.34.

При використанні NTLM-аутентифікації запит може бути відправлений через невірне з’єднання.

• curl security update (деталі)

У лютому, 04.02.2013, вийшов Mozilla Firefox 27. Нова версія браузера вийшла через два місяці після виходу Firefox 26.

Mozilla офіційно випустила реліз веб-браузера Firefox 27, а також мобільну версію Firefox 27 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 28 намічений на 18 березня, а Firefox 29 на 29 квітня.

Також був випущений Seamonkey 2.24 та оновлені гілки із тривалим терміном підтримки Firefox 24.3.0 і Thunderbird 24.3.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 27.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Увидел свет Firefox 27 (деталі)

Виявлена можливість виконання коду в Microsoft Forefront Protection for Exchange.

Уразливі версії: Microsoft Forefront Protection 2010 for Exchange Server.

Виконання коду при розборі листа.

• Microsoft Security Bulletin MS14-008 - Critical Vulnerability in Microsoft Forefront Protection for Exchange Could Allow Remote Code Execution (2927022) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 26.0, Firefox ESR 24.2, Thunderbird 24.2, Seamonkey 2.23.

Численні пошкодження пам’яті, міжсайтовий скриптінг, DoS, витік інформації.

• Mozilla Foundation Security Advisory 2014-01 (деталі)
• Mozilla Foundation Security Advisory 2014-02 (деталі)
• Mozilla Foundation Security Advisory 2014-03 (деталі)
• Mozilla Foundation Security Advisory 2014-04 (деталі)
• Mozilla Foundation Security Advisory 2014-05 (деталі)
• Mozilla Foundation Security Advisory 2014-06 (деталі)
• Mozilla Foundation Security Advisory 2014-07 (деталі)
• Mozilla Foundation Security Advisory 2014-08 (деталі)
• Mozilla Foundation Security Advisory 2014-09 (деталі)
• Mozilla Foundation Security Advisory 2014-10 (деталі)
• Mozilla Foundation Security Advisory 2014-11 (деталі)
• Mozilla Foundation Security Advisory 2014-12 (деталі)
• Mozilla Foundation Security Advisory 2014-13 (деталі)
• Mozilla Foundation Security Advisory 2014-14 (деталі)

Нещодавно, 5 і 6 лютого, вийшли PHP 5.4.25 і PHP 5.5.9 відповідно. У версії 5.5.9 виправлено декілька багів, а у версії 5.4.25 виправлено 5 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.