Websecurity - Веб безпека

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 8.0, Safari 9.1, Safari 10.0.

Універсальний XSS в функції Reader браузера, пошкодження пам’яті, виконання коду, витік інформації.

• APPLE-SA-2016-12-13-2 Safari 10.0.2 (деталі)

В даній добірці уразливості в веб додатках:

• SAP BusinessObjects Persistent Cross Site Scripting (деталі)
• Reflected Cross-Site Scripting vulnerability in asdoc generated documentation (деталі)
• XSS vuln in phpTrafficA (деталі)
• Multiple vulnerabilities in MediaWiki (деталі)
• SAP Business Objects Information Disclosure (деталі)

У березні, 06.03.2017, вийшла нова версія WordPress 4.7.3.

WordPress 4.7.3 це багфікс та секюріті випуск нової 4.7 серії. В якому розробники виправили 39 багів та 6 уразливостей. Це 3 XSS уразливості, URL Redirector Abuse, видалення недозволених файлів в адмінці та CSRF уразливість.

Також в цей день вийшли WordPress 4.0.16, 4.1.16, 4.2.13, 4.3.9, 4.4.8, 4.5.7 і 4.6.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Виявлена уразливість в Microsoft Windows у компоненті XML Core Services. Атака відбувається через Internet Explorer.

Уразливі продукти: Microsoft Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2016.

Витік інформації через визначення наявності файлів на диску.

• Microsoft Security Bulletin MS17-022 - Important Security Update for Microsoft XML Core Services (4010321) (деталі)

У березні, 17.03.2017, вийшов Mozilla Firefox 52.0.1. Нова версія браузера вийшла через пів місяця після виходу Firefox 52.

Це секюріті випуск в якому виправлена уразливість CVE-2017-5428: integer overflow in createImageBitmap().

• MFSA 2017-08 Fixed in Firefox 52.0.1 (деталі)

В даній добірці експлоіти в веб додатках:

• PHP gettext 1.0.12 - ‘gettext.php’ Unauthenticated Code Execution (деталі)
• Ubee EVW3226 Modem/Router 1.0.20 - Multiple Vulnerabilities (деталі)
• Technicolor TC7200 Modem/Router STD6.02.11 - Multiple Vulnerabilities (деталі)
• ntop/nbox 2.3 < 2.5 - Multiple Vulnerabilities (деталі)
• NUUO NVRmini2 / NVRsolo / Crystal Devices / Netgear ReadyNAS Surveillance Application - Multiple Vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ogoloshennia.com.ua - інфекція була виявлена 28.03.2017. Зараз сайт входить до переліку підозрілих.
• http://nniif.org.ua - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.
• http://bugor.lg.ua - інфекція була виявлена 28.03.2017. Зараз сайт входить до переліку підозрілих.
• http://aboutkids.org.ua - інфекція була виявлена 28.03.2017. Зараз сайт закритий.
• http://genichesk.co.ua - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.

Виявлена XSS уразливість в сервері Microsoft Internet Information Services (IIS).

Уразливі продукти: Microsoft Internet Information Services для Windows Vista, 7, 8.1, RT 8.1, 10 та Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016.

Міжсайтовий скриптінг по спеціальній адресі на веб сервері IIS.

• Microsoft Security Bulletin MS17-016 - Important Security Update for Windows IIS (4013074) (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Critical Security Vulnerabilities in SAP Governance, Risk and Compliance (SAP GRC) (деталі)
• Apache Cassandra remote execution of arbitrary code (деталі)
• HotExBilling Manager Cross-site scripting (XSS) vulnerability (деталі)
• Apache Flex reflected XSS vulnerability (деталі)
• Port scanning in SAP BusinessObjects Explorer (деталі)

У квітні, 07.04.2017, я виступив у прямому ефірі на каналі ВБТ.

Ефір відбувся на Всесвітньому Броварському Телебаченні. В ньому йшлося про хакерські атаки проти України, про атаки росіян на нашу енергосистему в 2015 і 2016 роках, про КіберАТО та веб безпеку. А також про Українські Кібер Війська та нашу роботу за три роки і надав свої поради для захисту в Інтернеті. Всі бажаючі можуть його подивитися.