Websecurity - Веб безпека

В червні, 08.06.2011, через півтора місяці після виходу Google Chrome 11, вийшов Google Chrome 12.

В браузері зроблено ряд нововведень. А також виправлено 14 помилок у безпеці, з яких 5 уразливостей позначені як небезпечні, 6 - помірні і 3 - незначні.

• Релиз web-браузера Chrome 12 (деталі)

Нещодавно, 04.07.2011, вишла нова версія WordPress 3.2.

WordPress 3.2 це перший випуск нової 3.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі закрито більше 400 тікетів з виправленими багами і зробленими покращеннями.

Основними знінами є відміна пітримки старих версій PHP та MySQL. Мінімальні вимоги до хостінга - PHP 5.2.4 та MySQL 5.0. А також відсутня підтримка старих браузерів, таких як IE6.

Серед головних покращень зокрема була оновлена Дошка оголошень, зроблена нова тема по замовчуванню Twenty Eleven з пітримкою HTML5, на сторінці написання записів додана кнопка для переходу в повноекранний режим, покращена панель адміна, на сторінці модерації коментарів додана функція схвалити та відповісти. Також пришвидшений процес оновлення движка та доданий новий функціонал в тему Twenty Eleven, зокрема можливість мати багато зображень для ротації в заголовку.

Минулого місяця, 29.06.2011, вишла нова версія WordPress 3.1.4.

WordPress 3.1.4 це секюріті випуск 3.1 серії. В якому розробники виправили одну уразливість, а також додали деякі секюріті покращення.

Зокрема виправлена уразливість (насправді їх декілька, але розробники WP позиціонують їх як одну), що дозволяла зловмисному користувачу з правами Editor отримати подальший (навіть адмінський) доступ до сайта. Це SQL Injection уразливості в адмінській панелі.

Нещодавно, 21.06.2011, вийшов Mozilla Firefox 5. Нова версія браузера вийшла через три місяця після виходу Firefox 4.

Після виходу версії 4.0, Mozilla випустила 4.0.1 і потім вже 5.0. При цьому підтримка гілки 4.x браузера припинена (так само як і 3.5.x). Тому виправлення уразливостей в Firefox 4.0.1 випускатися не будуть і всім користувачам рекомендується оновити браузер до версії 5.0.

Реліз веб браузера Firefox 5 вийшов одночасно для настільних систем і мобільної платформи Android. Реліз випущений у рамках нового 16-тижневого циклу розробки.

• Релиз web-браузера Firefox 5 для настольных и мобильных систем (деталі)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це HackAlert V3. Що є безпосереднім конкурентом моїй Web VDS.

Це комерційний сервіс (в якому є trial акаунт), що призначений для сканування сайтів на предмет шкідливого коду. Він може використовуватися для захисту від шкідливих сайтів та вірусів на легальних сайтах.

Веб сервіс HackAlert V3 компанії Armorize Technologies схожий на такі сервіси як McAfee SiteAdvisor, Norton Safe Web від Symantec та деякі інші, але він не призначений для створення рейтингу довіри до сайтів (що зроблено в зазначених сервісах). Він призначений саме для виявлення шкідливого коду на сайтах та в онлайн рекламі. Про розповсюдження вірусів через рекламу та інші зовнішні рерсурси я вже розповідав в своїй доповіді про системи виявлення інфікованих веб сайтів.

Прочитавши опис даного сервісу на офіційному сайті та на сайті розробника - HackAlert - Web Malware Detection and Monitoring Service, ви побачите, що він пропонує широкі можливості. Зазначу, що більшість з наведених можливостей (і багато інших) були мною заплановані для розробки в 2008 році в моїй Web Virus Detection System. Але на відміну від моєї системи, HackAlert повезло більше в плані фінансування.

Безпосередньо на зовнішіх сторінках сайта скористатися даним сервісом не вийде (на відміну від деякий інших сервісів). Щоб це зробити потрібно зареєструвати trial акаунт на сайті й протестувати в ньому цей сервіс.

Існують плагіни для WordPress, що зокрема призначені для виявлення бекдорів в коді файлів движка WP (але вони також можуть, хоча й обмежено, використовуватися для виявлення вірусів на сайті на WP). Це такі плагініи як WordPress Exploit Scanner та Belavir, про які я писав.

Також є такий плагін як AntiVirus for WordPress (який я виявив нещодавно). Цей плагін може використовуватися в якості антивіруса для сайтів на WP.

Він більш потужний ніж вищезгадані плагіни, бо має більше можливостей. Він може як виявляти бекдори, так і виявляти включення malware та SEO спаму в сторінки веб сайту.

Ефективність цього плагіна вища, тому що він сканує не тільки файли сайта, але й записи в БД. В деякій мірі цей веб додаток є конкурентом моїй Web VDS.

В квітні, 28.04.2011, через півтора місяці після виходу Google Chrome 10, вийшов Google Chrome 11.

В браузері зроблено ряд нововведень. А також виправлено 24 помилок у безпеці, з яких 15 уразливостей позначені як небезпечні, 6 - помірні і 3 - незначні.

• Релиз web-браузера Chrome 11 (деталі)

Нещодавно, 25.05.2011, вишла нова версія WordPress 3.1.3.

WordPress 3.1.3 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили декілька уразливостей.

Зокрема розробники виправили Code Execution уразливості в WordPress, які я оприлюднив минулого місяця. При цьому, як завжди, не подякувавши мені (ні публічно, ні приватно).

Серед інших секюріті покращень:

• Були зроблені деякі інші секюріті покращення, які не уточнються.
• Покращені запити до таксономії.
• Виправлена Login leakage уразливість, але неякісно, та це одна з багатьох подібних дірок (раніше я вже писав про Abuse of Functionality в WP), до того ж ця дірка відома вже багато років.
• Секюріті виправлення в Media.
• Виправлені старі файли імпорта.
• Доданий захист від clickjacking в сучасних браузерах.

Стосовно останнього додам, що по заявам розробників захист працює лише в нових браузерах. До того ж, захищені сторінки адмінки та логіну - якщо адмінки, то це добре, але стосовно сторінки логіну, то це могло бути зроблено з метою запобігти віддаленому логіну, про який я писав в статті Атаки на незахищені логін форми. Але так як форма логіну вразлива до CSRF, то це не допоможе проти даної атаки, тому незрозуміло, навіщо вони це додали до сторінки логіну.

Тому даний захист виглядає ламерським. До того ж, перші уразливості, що використовують методику clickjacking для атаки на WP я знайшов ще в 2007 (а потім ще багато знайшов нових дірок в 2010), які я ще не оприлюднив. І виправити цей вектор атак через 4 роки після того, як я знайшов подібні дірки, при цьому не дочекавшись мого оприлюднення - це вдвічі ламеризм .

Після виходу Opera 11.10, 18.05.2011 вийша Opera 11.11.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера.

Серед виправлень безпеки в Opera 11.11:

• Виправлена уразливість з обробкою frameset, що могла привести до виконання довільного коду.
• Виправлена велика кількість вибивань браузера, а також одне зависання. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

По матеріалам http://www.opera.com.

В березні окрім Chrome 10 та Internet Explorer 9 також вийшов Mozilla Firefox 4. Нова версія браузера Firefox вийшла 22.03.2011.

Якщо між виходом Firefox 1.0 та 2.0 пройшло 2 роки, між виходом Firefox 2.0 та 3.0 трохи менше двох років, то між виходом Firefox 3.0 та 4.0 майже три роки. При тому, що Mozilla випустила в 2009 і 2010 роках проміжні версії 3.5 і 3.6 браузера.

Головні нововведення та можливості Firefox 4:

• Інтеграція браузерного движка Gecko 2.0 і нового JavaScript-движка JagerMonkey.
• Переміщений рядок вкладок у верхню частину і додані інструменти для угруповання вкладок.
• Забезпечення підтримки специфікації WebGL і видеокодека VP8.
• Інтеграція системи синхронізації настроювань Firefox Sync.
• Реалізація нової техніки написання доповнень JetPack.

Нові можливі браузера для забезпечення безпеки:

• Додано підтримку HTTP-заголовка Do Not Track (”DNT”), що дозволяє інформувати сайти про небажання користувача передавати на збереження інформацію, що фігурує в рамках сесії, у ситуації її використання для відстеження переміщень і переваг користувача.
• Здійснено перехід на поліпшений механізм розподілу пам’яті, що дозволить захиститися від цілого ряду уразливостей, пов’язаних з разіменуванням NULL-вказівників.
• Підтримка технології CSP (Content Security Policy), спрямованої на інтеграцію в web-браузери засобів для захисту від проведення CSRF-атак, організації міжсайтового скриптінга (XSS) і підстановки в сторінки “IFRAME/JavaScript src” блоків.
• Інтегровано технологію ізольованого виконання плагінів. Наприклад, Flash плагін відтепер буде працювати в контексті окремого процесу, не впливаючи на стабільність основного браузера.
• Підтримка протоколу HSTS (HTTP Strict Transport Security), що дозволяє власникам сайтів настояти на використанні SSL-шифрування.

Також в цій версії Mozilla нарешті виправила CSS History Hack (вони запланували ще в березні 2010 і ось через рік, з виходом Firefox 4, нарешті це зробили).

• Релиз Firefox 4.0. Обзор новшеств (деталі)