Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-093 - Critical Security Update for Internet Explorer (3088903) (деталі)
• Microsoft Security Bulletin MS15-094 - Critical Cumulative Security Update for Internet Explorer (3089548) (деталі)
• Microsoft Security Bulletin MS15-095 - Critical Cumulative Security Update for Microsoft Edge (3089665) (деталі)

У серпні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у вересні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.09.2015
DDoS на cikdnr.ru - 01-15.09.2015
DDoS на cik-lnr.info - 01-15.09.2015
DDoS на без-вести.рф - 01-15.09.2015
DDoS на ungu.org - 01-15.09.2015
DDoS на pravdatoday.info - 01-15.09.2015
DDoS на bne.su - 01-15.09.2015
DDoS на dnrpress.ru - 01-15.09.2015
DDoS на dninews.com - 07-15.09.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Подивіться як Українські Кібер Війська заблокували супутниковий телефон помічника Пушиліна.

З нагоди Дня Державного Прапора України і Дня Незалежності України, в серпні Українські Кібер Війська заблокували супутниковий телефон цього терориста. Це відео демонстрація.

У серпні, 18.08.2015, вийшла нова версія WordPress 4.3.

WordPress 4.3 це перший випуск нової 4.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити налаштування меню, скорочення форматування, редактор іконок сайта, покращена процедура генерування безпечних паролів та деякі покращення в адмінці.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Виявлені численні уразливості безпеки в Google Chrome і Oxide.

Уразливі продукти: Google Chrome 45, Oxide 1.9.

Обхід обмежень, DoS, пошкодження пам’яті, розкриття інформації.

• Chrome and Oxide vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• Magento eCommerce - Remote Code Execution (деталі)
• IP.Board 4.X - Stored XSS (деталі)
• Jenkins 1.626 - Cross Site Request Forgery / Code Execution (деталі)
• Flash Broker-Based Sandbox Escape via Unexpected Directory Lock (деталі)
• Flash Broker-Based Sandbox Escape via Forward Slash Instead of Backslash (деталі)

У вересні, 22.09.2015, вийшов Mozilla Firefox 41. Нова версія браузера вийшла через півтора місяці після виходу Firefox 40.

Mozilla офіційно випустила реліз веб-браузера Firefox 41, а також мобільну версію Firefox 41 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 42 намічений на 3 листопада, а Firefox 43 на 15 грудня.

Також був випущений Seamonkey 2.38 та були оновлені гілки із тривалим терміном підтримки Firefox 38.3 і Thunderbird 38.3.

В цій версії зроблений показ попереджень про використання непідписаних доповнень. Хоча розробники планували вимкнути такі доповнення по замовчуванню, але відклали це до версії 43.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 41.0 усунуто 19 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 41 (деталі)

Виявлені уразливості безпеки в Apache Subversion.

Уразливі версії: Apache Subversion 1.8.

Обхід аутентифікації, несанкціонований доступ до файлів.

• Subversion vulnerabilities (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.busk-rada.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.stryirairada.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://higashishop.com (хакером BrazilObscure) - 19.05.2015, зараз сайт закритий
• http://aikikai.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт вже не працює
• http://www.arktur.com.ua (хакером Phenomene Dz) - 21.06.2015, зараз сайт закритий

В даній добірці уразливості в веб додатках:

• RSA Authentication Manager Cross Frame Scripting Vulnerability (деталі)
• OctavoCMS reflected XSS vulnerability (деталі)
• Weak Local Database Credentials in Infoblox Network Automation (деталі)
• OS Command Injection Infoblox Network Automation (деталі)
• HP StoreOnce, Remote Unauthorized Access (деталі)