Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mz-Jajak, ShopperPress Theme та Rich Widget. Для котрих з’явилися експлоіти. Mz-Jajak - це плагін для створення голосувань, ShopperPress Theme - це тема для WP, Rich Widget - це віджет з WYSIWYG-редактором.

• WordPress Mz-Jajak 2.1 SQL Injection (деталі)
• ShopperPress WordPress Theme 2.7 SQL Injection (деталі)
• WordPress Rich Widget File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.depo.ua, проти взлому знайшли прийоми.

З банківських рахунків українців стали частіше пропадати гроші. НБУ не вказав, скільки скарг надійшло до нього від громадян, але розповів про джерело зла: найчастіше розкрадання грошей фіксуються після використання фізичними особами систем віддаленого банкінга (розрахунків платіжними картами в Інтернеті і з мобільних телефонів). Чиновники рекомендували фінансовими установам удосконалити свої системи ідентифікації клієнтів і встановити добові ліміти по розрахунках у віддаленому режимі.

За повідомленням www.xakep.ru, експлоіт CRIME: розшифровка кожного байта TLS за 4-6 запитів.

Залишилося 10 днів до того дня, як Джуліано Ріццо і Тай Дуонг представлять експлоіт CRIME на конференції Ekoparty, але вже можна зробити перші здогади, яка функція TLS використовується для розшифровки трафіка після виконання скрипта, що атакує в браузері користувача. Зараз з’явилася ідея, що експлоіт використовує алгоритм стиснення.

Торік Джуліано і Тай представили BEAST, а вже цього року представлять новий спосіб атаки на SSL/TLS.

За повідомленням ura-inform.com, СБУ затримала хакера, що взломав близько 40 серверів.

У Сумській області співробітники Служби безпеки України (СБУ) викрили і припинили протиправну діяльність жителя міста Суми, що із власного комп’ютера систематично здійснювало несанкціоноване втручання в роботу приватних автоматизованих систем.

Хакер реалізовував зацікавленим особам отриману в такий спосіб інформацію, зокрема логіни і паролі користувачів. Співробітники СБУ затримали хакера під час чергової спроби продати незаконно отримані реквізити доступу до більш ніж 40 веб серверам.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://putivl-rda.gov.ua (хакером DaiLexX) - 04.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.desn.gov.ua (хакером DaiLexX) - 04.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://putivlrada.gov.ua (хакером Hmei7) - 29.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://photolives.com.ua (хакерами з RKH)
• http://gazovik.od.ua (хакером Nob0dy) - 04.09.2012, зараз сайт вже виправлений адмінами

У вересні, 06.09.2012, вийшов Mozilla Firefox 15.0.1. Нова версія браузера вийшла лише через дев’ять днів після виходу Firefox 15 і в ній виправлена одна уразливість останнього релізу.

Вийшов коригувальний випуск браузера Firefox 15.0.1, у якому усунута помилка, що приводить до некоректної роботи режиму приватного перегляду. Як виявилося, у Firefox 15 інформація про сайти, відкриті при включеному режимі приватного перегляду, зберігалася в браузерному кеші, з якого її можна було легко дістати.

Це вже не вперше Mozilla випускає черговий реліз браузера з багами чи уразливостями, які потім поспішно латає.

• Обновление Firefox 15.0.1 с исправлением неработоспособности режима приватного просмотра (деталі)

05.06.2012

У травні, 11.05.2012, я знайшов persistent Cross-Site Scripting уразливості на сайті http://fotos.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на palatka.net.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.09.2012

XSS (persistent) (IE):

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Persistent XSS через пошук в будь-якому розділі сайта. Це експлоіти для IE, для інших браузерів можна розробити свої експлоіти.

Код спрацьовує на кожній сторінці сайту для поточного користувача (Per-user Persistent XSS).

Дані уразливості досі не виправлені. Не кажучи вже про те, що на сайті багато інших уразливостей.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mk-ua.org - інфекція була виявлена 12.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://sgames.ua - інфекція була виявлена 03.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://delo.ua - інфекція була виявлена 27.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://buildingforum.com.ua - інфекція була виявлена 11.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://codec.kiev.ua - інфекція була виявлена 05.07.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP Server Automation, Remote Execution of Arbitrary Code (деталі)
• Security advisory for Bugzilla 4.3.2, 4.2.2, 4.0.7 and 3.6.10 (деталі)
• Paliz CMS Full Path Disclosure Vulnerability (деталі)
• Mihalism Multi Host v 5.0 (деталі)
• F5 BIG-IP remote root authentication bypass Vulnerability (деталі)
• CommPort 1.01 <= SQL Injection Vulnerability (деталі)
• Chamilo 1.8.8.4 Multiple Vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Phorum (деталі)
• ComSndFTP Server Remote Format String Overflow Vulnerability (деталі)
• XSS in PrestaShop (деталі)

У серпні, 28.08.2012, вийшов Mozilla Firefox 15. Нова версія браузера вийшла через півтора місяця після виходу Firefox 14.

Mozilla офіційно представила реліз веб-браузера Firefox 15. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.7, в якій відзначається тільки виправлення уразлиовостей і серйозних помилок. Реліз Firefox 16 намічений на 9 жовтня, а Firefox 17 на 20 листопада.

Також були випущені Thunderbird 15, Seamonkey 2.12 і Firefox 15 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 15.0 усунуто 16 уразливостей, серед яких 7 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 15 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах G-Lock Double Opt-in Manager, Easy Comment Uploads та Quick Post Widget. Для котрих з’явилися експлоіти. G-Lock Double Opt-in Manager - це менеджер групи розсилок, Easy Comment Uploads - це плагін для додання можливості завантаження файлів в коментарі, Quick Post Widget - це віджет для швидкої публікації записів.

• WordPress G-Lock Double Opt-in Manager 2.6.2 SQL Injection (деталі)
• WordPress Easy Comment Uploads Shell Upload (деталі)
• WordPress Quick Post Widget 1.9.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

23.03.2012

Виявлені численні уразливості в Apple WebKit, iTunes, iPhone, Safari, Google Chrome.

Уразливі продукти: Apple WebKit, iTunes 10.5, iPhone OS 5.1, Safari 5.1, Google Chrome 15.0.

Більше 70 різних уразливостей пов’язаних з пошкодженням пам’яті, міжсайтовий скриптінг, витік інформації.

Як і нещодавні уразливості в Google Chrome (і всі попередні), зазначені численні уразливості в WebKit, який використовує Chrome, наочно демонструють дірявість браузера Гугла (щоб вони не розповідали). Так само як і Apple Safari.

• APPLE-SA-2012-03-07-1 iTunes 10.6 (деталі)

10.04.2012

Додаткова інформація.

• Apple Safari on iOS 5.1 - Adressbar spoofing vulnerability (деталі)

01.09.2012

Додаткова інформація.

• WebKit ContentEditable swapInNode Use-After-Free Remote Code Execution Vulnerability (деталі)