Архів за Січень, 2016

XSS та CSRF уразливості в ASUS RT-N15U

23:51 30.01.2016

У листопаді, 30.11.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N15U. Це друга частина дірок в RT-N15U.

Раніше я писав про уразливості ASUS RT-N15U.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Вийшов Google Chrome 48

22:46 30.01.2016

У січні, 21.01.2016, через півтора місяці після виходу Google Chrome 47, вийшов Google Chrome 48.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 37 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey

20:02 30.01.2016

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.5, Firefox 43, Thunderbird 38.5, SeaMonkey 2.39.

Пошкодження пам’яті, DoS, переповнення буфера, підробка адресного рядка, обхід обмежень.

  • MFSA 2016-01 Miscellaneous memory safety hazards (rv:44.0 / rv:38.6) (деталі)
  • MFSA 2016-02 Out of Memory crash when parsing GIF format images (деталі)
  • MFSA 2016-03 Buffer overflow in WebGL after out of memory allocation (деталі)
  • MFSA 2016-04 Firefox allows for control characters to be set in cookie names (деталі)
  • MFSA 2016-05 Addressbar spoofing through stored data url shortcuts on Firefox for Android (деталі)
  • MFSA 2016-06 Missing delay following user click events in protocol handler dialog (деталі)
  • MFSA 2016-07 Errors in mp_div and mp_exptmod cryptographic functions in NSS (деталі)
  • MFSA 2016-08 Delay following click events in file download dialog too short on OS X (деталі)
  • MFSA 2016-09 Addressbar spoofing attacks (деталі)
  • MFSA 2016-10 Unsafe memory manipulation found through code inspection (деталі)
  • MFSA 2016-11 Application Reputation service disabled in Firefox 43 (деталі)
  • MFSA 2016-12 Lightweight themes on Firefox for Android do not verify a secure connection (деталі)
  • MFSA 2016-15 Use-after-free in NSS during SSL connections in low memory (деталі)

Моє інтерв’ю Уніан

17:25 30.01.2016

У cічні, 28.01.2016, я дав інтерв’ю для Уніан. І 09.02.2016 воно було оприлюднене на сайті видання.

В інтерв’ю розповідається про мою діяльність, атаки на енергосистему та кібер війну Росії проти України. Про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, та як Україні вибудувати захист проти російських хакерів.

Кибервойна: как Украине выстроить защиту против российских хакеров

Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю чи дивився виступи на ТБ, зокрема телепередачу зі мною на каналі Обоз LIVE, так і всім іншим, можете прочитати це інтерв’ю.

Уразливості в плагінах для WordPress №211

23:58 29.01.2016

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Pie Register, Huge IT Slider, WPML, Yoast SEO і темі Fraction. Для котрих з’явилися експлоіти.

  • WordPress Fraction Theme 1.1.1 Privilege Escalation (деталі)
  • WordPress Pie Register 2.0.14 Cross Site Scripting (деталі)
  • WordPress Huge IT Slider 2.6.8 SQL Injection (деталі)
  • WordPress WPML XSS / Deletion / SQL Injection (деталі)
  • WordPress SEO By Yoast 1.7.3.3 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Січневі DDoS атаки та взломи

22:47 29.01.2016

Раніше я писав про грудневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у січні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери проведели неполітичні взломи державних сайтів:

www.ekolog.kr-admin.gov.ua (хакерами з Fallaga Team) - 04.01.2016
kuibrda.gov.ua (хакером Mr.Ferksh) - 06.01.2016

Проукраїнськими хакерами були атаковані наступні сайти:

mtop.rk.gov.ru (Українські Кібер Війська) - 05.01.2016
Січневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі січня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorossia.at.ua (через скаргу хостеру) - 01.2016
Закритий сайт partizankh.su (через скаргу хостеру) - 01.2016
Також СБУ закрила сайт vilniy-shlah.org - 11.01.2016

Вийшов Mozilla Firefox 44

20:06 29.01.2016

У січні, 26.01.2016, вийшов Mozilla Firefox 44. Нова версія браузера вийшла через півтора місяці після виходу Firefox 43.

Mozilla офіційно випустила реліз веб-браузера Firefox 44, а також мобільну версію Firefox 44 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 45 намічений на 8 березня, а Firefox 46 на 19 квітня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.6 і Thunderbird 38.7.

В браузері було змінено оформлення сторінки з попередженням про проблеми із SSL-сертифікатом та зроблене виведення попередження для сторінок, що завантажуються по HTTPS із серверів, що підтримують тільки шифр RC4.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 44.0 усунуто 12 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Добірка експлоітів

17:24 29.01.2016

В даній добірці експлоіти в веб додатках:

  • eBay Magento CE <= 1.9.2.1 - Unrestricted Cron Script (Potential Code Execution / DoS) (деталі)
  • Google AdWords API PHP client library <= 6.2.0 - Arbitrary PHP Code Execution (деталі)
  • Arris TG1682G Modem - Stored XSS Vulnerability (деталі)
  • D-Link DIR-815, DIR-850L - SSDP Command Injection (деталі)
  • D-Link DIR-890L/R - Multiple Buffer Overflow Vulnerabilities (деталі)

Похакані сайти №312

23:53 28.01.2016

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://swrailway.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://scinn.nas.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.archivelviv.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.chervonograd-city.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://vilnogirskrada.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.lgbtnews.in.ua (хакером d3b~X) - 10.01.2015, зараз сайт вже виправлений адмінами
  • http://ukrmetall.com.ua (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
  • http://ukrmetall.biz (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
  • http://ukrmetall.net (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
  • http://proekt.lviv.ua (хакером w4l3XzY3) - 22.12.2015, зараз сайт вже виправлений адмінами

Цікаве чтиво на тему web security

22:46 28.01.2016

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):