Websecurity - Веб безпека

Після виходу Opera 11.11, спочатку 31.05.2011 вийла версія Opera 11.50 beta, а потім 28.06.2011 вийша фінальна версія Opera 11.50.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень.

Серед виправлень безпеки в Opera 11.50:

• Посилена політика безпеки в декількох місцях.
• Виправлена уразливість середнього рівня ризику.
• Виправлена уразливість, що дозволяла через data URI проводити XSS атаки на непов’язані сайти.
• Виправлена уразливість зі сторінками про промилку, що могла призвести до вибивання системи.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

Зазначу, що торік я вже писав про XSS через data URI в Opera, що розробник в несерйозній манері виправив в своєму браузері.

По матеріалам http://www.opera.com.

Після виходу Google Chrome 12, в браузері було знайдено чимало уразливостей. Які Google виправила в нещодавньому оновленні.

У червні, 29.06.2011, вийшло секюріті оновлення веб-браузера Google Chrome 12, в якому усунуто 7 уразливостей, з яких 6 мають статус небезпечних. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера. Дві уразливості присутні в коді роботи з SVG, одна в CSS-парсері, одна в HTML-парсері, одна в движку v8 і одна в коді виділення тексту.

Одночасно оновлена версія плагіна Adobe Flash, що постачається в складі браузера, в якому виправлені чергові проблеми безпеки.

• Обновление Chrome 12 с устранением уязвимостей (деталі)

В червні, 08.06.2011, через півтора місяці після виходу Google Chrome 11, вийшов Google Chrome 12.

В браузері зроблено ряд нововведень. А також виправлено 14 помилок у безпеці, з яких 5 уразливостей позначені як небезпечні, 6 - помірні і 3 - незначні.

• Релиз web-браузера Chrome 12 (деталі)

Нещодавно, 04.07.2011, вишла нова версія WordPress 3.2.

WordPress 3.2 це перший випуск нової 3.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі закрито більше 400 тікетів з виправленими багами і зробленими покращеннями.

Основними знінами є відміна пітримки старих версій PHP та MySQL. Мінімальні вимоги до хостінга - PHP 5.2.4 та MySQL 5.0. А також відсутня підтримка старих браузерів, таких як IE6.

Серед головних покращень зокрема була оновлена Дошка оголошень, зроблена нова тема по замовчуванню Twenty Eleven з пітримкою HTML5, на сторінці написання записів додана кнопка для переходу в повноекранний режим, покращена панель адміна, на сторінці модерації коментарів додана функція схвалити та відповісти. Також пришвидшений процес оновлення движка та доданий новий функціонал в тему Twenty Eleven, зокрема можливість мати багато зображень для ротації в заголовку.

Минулого місяця, 29.06.2011, вишла нова версія WordPress 3.1.4.

WordPress 3.1.4 це секюріті випуск 3.1 серії. В якому розробники виправили одну уразливість, а також додали деякі секюріті покращення.

Зокрема виправлена уразливість (насправді їх декілька, але розробники WP позиціонують їх як одну), що дозволяла зловмисному користувачу з правами Editor отримати подальший (навіть адмінський) доступ до сайта. Це SQL Injection уразливості в адмінській панелі.

Нещодавно, 21.06.2011, вийшов Mozilla Firefox 5. Нова версія браузера вийшла через три місяця після виходу Firefox 4.

Після виходу версії 4.0, Mozilla випустила 4.0.1 і потім вже 5.0. При цьому підтримка гілки 4.x браузера припинена (так само як і 3.5.x). Тому виправлення уразливостей в Firefox 4.0.1 випускатися не будуть і всім користувачам рекомендується оновити браузер до версії 5.0.

Реліз веб браузера Firefox 5 вийшов одночасно для настільних систем і мобільної платформи Android. Реліз випущений у рамках нового 16-тижневого циклу розробки.

• Релиз web-браузера Firefox 5 для настольных и мобильных систем (деталі)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це HackAlert V3. Що є безпосереднім конкурентом моїй Web VDS.

Це комерційний сервіс (в якому є trial акаунт), що призначений для сканування сайтів на предмет шкідливого коду. Він може використовуватися для захисту від шкідливих сайтів та вірусів на легальних сайтах.

Веб сервіс HackAlert V3 компанії Armorize Technologies схожий на такі сервіси як McAfee SiteAdvisor, Norton Safe Web від Symantec та деякі інші, але він не призначений для створення рейтингу довіри до сайтів (що зроблено в зазначених сервісах). Він призначений саме для виявлення шкідливого коду на сайтах та в онлайн рекламі. Про розповсюдження вірусів через рекламу та інші зовнішні рерсурси я вже розповідав в своїй доповіді про системи виявлення інфікованих веб сайтів.

Прочитавши опис даного сервісу на офіційному сайті та на сайті розробника - HackAlert - Web Malware Detection and Monitoring Service, ви побачите, що він пропонує широкі можливості. Зазначу, що більшість з наведених можливостей (і багато інших) були мною заплановані для розробки в 2008 році в моїй Web Virus Detection System. Але на відміну від моєї системи, HackAlert повезло більше в плані фінансування.

Безпосередньо на зовнішіх сторінках сайта скористатися даним сервісом не вийде (на відміну від деякий інших сервісів). Щоб це зробити потрібно зареєструвати trial акаунт на сайті й протестувати в ньому цей сервіс.

Існують плагіни для WordPress, що зокрема призначені для виявлення бекдорів в коді файлів движка WP (але вони також можуть, хоча й обмежено, використовуватися для виявлення вірусів на сайті на WP). Це такі плагініи як WordPress Exploit Scanner та Belavir, про які я писав.

Також є такий плагін як AntiVirus for WordPress (який я виявив нещодавно). Цей плагін може використовуватися в якості антивіруса для сайтів на WP.

Він більш потужний ніж вищезгадані плагіни, бо має більше можливостей. Він може як виявляти бекдори, так і виявляти включення malware та SEO спаму в сторінки веб сайту.

Ефективність цього плагіна вища, тому що він сканує не тільки файли сайта, але й записи в БД. В деякій мірі цей веб додаток є конкурентом моїй Web VDS.

В квітні, 28.04.2011, через півтора місяці після виходу Google Chrome 10, вийшов Google Chrome 11.

В браузері зроблено ряд нововведень. А також виправлено 24 помилок у безпеці, з яких 15 уразливостей позначені як небезпечні, 6 - помірні і 3 - незначні.

• Релиз web-браузера Chrome 11 (деталі)

Нещодавно, 25.05.2011, вишла нова версія WordPress 3.1.3.

WordPress 3.1.3 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили декілька уразливостей.

Зокрема розробники виправили Code Execution уразливості в WordPress, які я оприлюднив минулого місяця. При цьому, як завжди, не подякувавши мені (ні публічно, ні приватно).

Серед інших секюріті покращень:

• Були зроблені деякі інші секюріті покращення, які не уточнються.
• Покращені запити до таксономії.
• Виправлена Login leakage уразливість, але неякісно, та це одна з багатьох подібних дірок (раніше я вже писав про Abuse of Functionality в WP), до того ж ця дірка відома вже багато років.
• Секюріті виправлення в Media.
• Виправлені старі файли імпорта.
• Доданий захист від clickjacking в сучасних браузерах.

Стосовно останнього додам, що по заявам розробників захист працює лише в нових браузерах. До того ж, захищені сторінки адмінки та логіну - якщо адмінки, то це добре, але стосовно сторінки логіну, то це могло бути зроблено з метою запобігти віддаленому логіну, про який я писав в статті Атаки на незахищені логін форми. Але так як форма логіну вразлива до CSRF, то це не допоможе проти даної атаки, тому незрозуміло, навіщо вони це додали до сторінки логіну.

Тому даний захист виглядає ламерським. До того ж, перші уразливості, що використовують методику clickjacking для атаки на WP я знайшов ще в 2007 (а потім ще багато знайшов нових дірок в 2010), які я ще не оприлюднив. І виправити цей вектор атак через 4 роки після того, як я знайшов подібні дірки, при цьому не дочекавшись мого оприлюднення - це вдвічі ламеризм .