Websecurity - Веб безпека

18.12.2013

Виявлена можливість підміни сертифікатів в cURL.

Уразливі продукти: cURL 7.33, libcurl 7.33.

При виключеному CURLOPT_SSL_VERIFYPEER також не перевіряється ім’я хоста.

• Vulnerability in curl (деталі)

01.02.2014

Додаткова інформація.

• curl vulnerability (деталі)

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.5.

Відмова при обробці інтервалів дат.

• Vulnerabilities in PHP (деталі)

Виявлена можливість проведення DoS атаки проти Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 4.0, Dynamics AX 2009, Dynamics AX 2012, Dynamics AX 2012 R2.

Зависання при обробці запиту.

• Microsoft Security Bulletin MS14-004 - Important Vulnerability in Microsoft Dynamics AX Could Allow Denial of Service (2880826) (деталі)

У січні місяці Microsoft випустила 7 патчів. Що менше ніж і у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, SharePoint та Dynamics AX.

Зазначу, що наприкінці грудня 2013 року компанія випустила позачерговий патч для Internet Explorer (бо уразливість в браузері активно використовувалася для атак на користувачів в Інтернеті). Тому немає патча для IE безпосередньо у “вівторку патчів”.

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

Переповнення буфера, звертання по нульовому вказівнику, DoS.

• Multiple issues in OpenSSL - BN (multiprecision integer arithmetics) (деталі)

За повідомленням tyzhden.ua, СБУ затримала хакера, підозрюваного у викраденні з банків понад $9 млн.

Служба безпеки України встановила особу киянина, причетного до викрадення коштів з рахунків клієнтів іноземних та вітчизняних фінансових установ. Хакер був відомий в Мережі під псевдонімами “4х4″ і “Stalin”.

СБУ стверджує, що киянин був причетний до несанкціонованого втручання в роботу комп’ютерних систем однієї з іноземних банківських установ, в результаті чого в 2008 році було викрадено понад 9 мільйонів доларів.

За повідомленням www.xakep.ru, Snapchat передбачувано взломали.

24 грудня австралійські хакери з компанії Gibson Security опублікували у відкритому доступі інформацію про недокументовані виклики API в програмі Snapchat, а також код двох експлоітів. Усі ці відомості хакери ще в серпні передали в компанію Snapchat, але “імовірно, вона була занадто зайнята, щоб відхиляти неадекватно великі пропозиції про покупку з боку Facebook і Google, щоб відповісти на наш лист”, - говорять вони.

Не дивно, що деякі зловмисники негайно скористалися цими експлоітами. Прямо на Новий рік відкрився сайт SnapchatDB.info, на якому викладена інформація про 4,6 млн. користувачів.

Це звісно менше ніж 130 млн. паролів користувачів Adobe, але теж значний витік персональних даних.

За інформацією МВС, статистика шахрайства, зробленого за допомогою інформаційних технологій, має наступний вигляд:

Статистика по кіберзлочинам, що були виявлені МВС:

Раніше я писав про грудневі DoS і DDoS атаки в Україні, а зараз розповім про ситуацію в січні.

З початку січня відбулося чимало атак в зв’язку з політичними подіями в нашій державі.

Хакери Anonymous в якості акції протесту провели DDoS атаки на наступні державні та провладні сайти в Уанеті:

DDoS на www.president.gov.ua - 20-24.01.2014
DDoS на www.oblrada.lg.ua - 21.01.2014
DDoS на inter.ua - 22.01.2014
DDoS на mvs.gov.ua - 25.01.2014

Атака на сайт president.gov.ua продовжилася по 28 січня включно.

Також невідомими хакерами (явно провладними) були атаковані наступні сайти:

DDoS на eurokharkiv.org - 09.01.2014
DDoS на maidanua.org - 09.01.2014
DDoS на skoty.info - 11.01.2014
DDoS на 5.ua - 29.01.2014

Нещодавно, 10 січня, вийшли PHP 5.4.24 і PHP 5.5.8. У версії 5.5.8 виправлено біля 20 багів, а у версії 5.4.24 виправлено біля 14 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

27.12.2013

Виявлена memory corruption уразливість в PHP.

Уразливі версії: PHP 5.3, PHP 5.4, PHP 5.5.

Пошкодження пам’яті в asn1_time_to_time_t().

• Vulnerability in PHP (деталі)

23.01.2014

Додаткова інформація.

• PHP openssl_x509_parse() Memory Corruption Vulnerability (деталі)

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Витік інформації, численні пошкодження пам’яті.

• APPLE-SA-2013-12-16-1 Safari 6.1.1 and Safari 7.0.1 (деталі)
• APPLE-SA-2013-12-16-2 OS X Mavericks v10.9.1 (деталі)