Websecurity - Веб безпека

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2007 SP3 і 2010 SP3, Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Переповнення буферу в бібліотеках Oracle Outside In (деякі з них призводять до віддаленого виконання коду, а інші призводять до відмови в обслуговуванні), витік інформації, Open Redirect, міжсайтовий скриптінг.

• Microsoft Security Bulletin MS16-108 - Critical Security Update for Microsoft Exchange Server (3185883) (деталі)

У вересні, 20.09.2016, вийшов Mozilla Firefox 49. Нова версія браузера вийшла через півтора місяці після виходу Firefox 48.

Mozilla офіційно випустила реліз веб-браузера Firefox 49, а також мобільну версію Firefox 49 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 50 намічений на 8 листопада, а Firefox 51 на 24 січня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.4.

В браузері було зроблено покращення безпеки, зокрема параметри входу, що збережені для сторінки HTTP, тепер використовуються на цих сторінках по HTTPS без необхідності збереження окремих параметрів входу.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 49.0 усунуто 18 уразливостей, серед яких чотири позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 49 (деталі)

В даній добірці експлоіти в веб додатках:

• ManageEngine Password Manager Pro 8102 to 8302 - Multiple Vulnerabilities (деталі)
• PLANET Technology IP Surveillance Cameras - Multiple Vulnerabilities (деталі)
• Novell Service Desk 7.1.0/7.0.3/6.5 - Multiple Vulnerabilities (деталі)
• Dell KACE K1000 - Arbitrary File Upload (Metasploit) (деталі)
• Microsoft Internet Explorer 9/10/11 - CDOMStringDataList::InitFromString Out-of-Bounds Read (MS15-112) (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server, SharePoint Server 2013 SP1, Excel Services on Microsoft SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, обхід захисту, витік інформації.

• Microsoft Security Bulletin MS16-107 - Critical Security Update for Microsoft Office (3185852) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chernihiv.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://chernivtsi.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://crimea.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dnipropetrovsk.man.gov.ua(хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://donetsk.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Multiple critical vulnerabilities in CoSoSys Endpoint Protector 4 (деталі)
• Multiple vulnerabilities in FailOverServlet (OpManager, AppManager, IT360) (деталі)
• Blubrry PowerPress Security Advisory - XSS Vulnerability (деталі)
• Multiple vulnerabilities in MantisBT (деталі)
• Bilyoner mobile apps prone to various SSL/TLS attacks (деталі)

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: нова російська військова техніка в Криму 10.09.2016 - УКВ записали переміщення військової техніки в Керчі.

Українські Кібер Війська: полковник терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: російська військова техніка в Криму - УКВ записали переміщення військової техніки в Севастополі та Керчі.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах zM Ajax Login Register, Users Ultra, Encrypted Contact Form, Aviary Image Editor, SE HTML5 Album Audio Player. Для котрих з’явилися експлоіти.

• WordPress zM Ajax Login Register 1.0.9 Local File Inclusion (деталі)
• WordPress Users Ultra 1.5.15 SQL Injection (деталі)
• WordPress Encrypted Contact Form 1.0.4 CSRF / XSS (деталі)
• WordPress Aviary Image Editor Add On For Gravity Forms 3.0 Beta Shell Upload (деталі)
• WordPress SE HTML5 Album Audio Player 1.1.0 Directory Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-104 - Critical Cumulative Security Update for Internet Explorer (3183038) (деталі)
• Microsoft Security Bulletin MS16-105 - Critical Cumulative Security Update for Microsoft Edge (3183043) (деталі)

В своєму звіті про атаки на державні сайти України за 14 років, я навів статистику атак на державні сайти України за останні 14 років, а зараз наведу статистику за останні 15 років.

За 2001 - 2015 роки всього було атаковано 819 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

Статистика від 2 атакованих веб сайтів в 2001 році до 110 атакованих веб сайтів в 2015 році.