Архів за Вересень, 2018

Уразливості в плагінах для WordPress №293

23:58 29.09.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Activity Log, Landing Pages, Selected Text Sharer, Events Made Easy, Count Per Day. Для котрих з’явилися експлоіти.

  • WordPress Activity Log 2.3.2 Cross Site Scripting (деталі)
  • WordPress Landing Pages 2.2.4 Cross Site Scripting (деталі)
  • WordPress Selected Text Sharer 1.0 CSRF / XSS (деталі)
  • WordPress Events Made Easy Cross Site Scripting (деталі)
  • WordPress Count Per Day 3.5.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вересневий вівторок патчів від Microsoft

22:45 29.09.2018

У вересні місяці Microsoft випустила нові патчі.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server, Lync та .NET Core, ASP.NET Core і ChakraCore.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Похакані сайти №357

20:01 29.09.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://pechenigy-rada.gov.ua (хакером RxR) - 27.02.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://udf.gov.ua (хакером RxR) - 05.03.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://allpaletty.com.ua (хакерами з Team_CC) - 11.03.2018, зараз сайт закрився
  • http://mirgorodkurort.ua (хакером dr avatar)
  • http://avtostrahovanie.in.ua (хакером ZoRRoKiN) - 19.08.2018, зараз сайт закрився

Уразливості в Microsoft .NET і ASP.NET

17:24 29.09.2018

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft .NET Core 2.1, ASP.NET Core 2.1, ChakraCore, System.IO.Pipelines, Microsoft.Data.OData, .NET Framework 3.5, 3.5.1, 4.5.2, 4.6.2, 4.7, 4.7.1, 4.7.2.

Обхід безпеки та виконання коду.

Вийшов Mozilla Firefox 61

23:58 28.09.2018

У червні, 26.06.2018, вийшов Mozilla Firefox 61. Нова версія браузера вийшла через два місяці після виходу Firefox 60.

Mozilla офіційно випустила реліз веб-браузера Firefox 61, а також мобільну версію Firefox 61 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 62 вийде 5 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 52.9 і 60.1.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка Cookie-атрибуту SameSite, що можна використовувати для захисту від CSRF-атак, включена підтримка TLS 1.3 та заборонене завантаження ресурсів по протоколу FTP зі сторінок відкритих по HTTP/HTTPS.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 61.0 усунуто 52 уразливості, що значно більше ніж в попередній версії. Серед яких 39 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Уразливості в Microsoft SharePoint Server

22:41 28.09.2018

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft SharePoint Server 2010 SP2, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.

Безпека e-commerce сайтів в Уанеті №27

19:35 28.09.2018

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Уразливості в плагінах для WordPress №292

23:51 27.09.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ALO EasyMail Newsletter, Uji Countdown, WangGuard, Activity Log, Yoast SEO. Для котрих з’явилися експлоіти.

  • WordPress ALO EasyMail Newsletter 2.9.2 Cross Site Request Forgery (деталі)
  • WordPress Uji Countdown 2.0.6 Cross Site Scripting (деталі)
  • WordPress WangGuard 1.7.1 Cross Site Scripting (деталі)
  • WordPress Activity Log 2.3.2 Cross Site Scripting (деталі)
  • WordPress Yoast SEO Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Моя музика: Relaxing Sensation

22:43 27.09.2018

В травні, 20.05.2017, вийшов мій новий комерційний реліз - мій альбом “Relaxing Sensation”. В даному випадку це EP і це сьомий комерційний реліз після мого альбому “Imagination”.

Альбом складається з трьох tech-house композицій. Він вже розміщений на Beatport та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До альбому увійшли 3 композиції, що були створені мною в 2012-2014 роках. Це наступні композиції:

  1. Relaxation
  2. Euphoria
  3. Sensation

Уразливості в Microsoft Internet Explorer і Edge

20:09 27.09.2018

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.