Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sdo.pp.ua - інфекція була виявлена 22.12.2015. Зараз сайт входить до переліку підозрілих.
• http://4-u.com.ua - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://kamen.kh.ua - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://femina.com.ua - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://an-krepost.com - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS15-124 - Cumulative Security Update for Internet Explorer (3116180) (деталі)
• Microsoft Security Bulletin MS15-125 - Cumulative Security Update for Microsoft Edge (3116184) (деталі)

У грудні, 03.12.2015, вийшов PHP 7.0.0, а 17.12.2015 вийшов PHP 7.0.1. Версія 7.0 - це нова гілка PHP, у ній та у версії 7.0.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілки 7.0.x.

У PHP 7.0.0 виправлено:

• Виправлена Format String уразливість в zend_throw_or_error().
• Шість Use-after-free уразливостей в unserialize().
• Численні DoS в ядрі та різних модулях.
• Чотири уразливості в Curl.
• Три уразливості в Mysqlnd.
• Три уразливості в SQLite3.
• Дев’ять недоліків в модулі OpenSSL.

У PHP 7.0.1 виправлено:

• Виправлена Format String уразливість.
• Use-after-free уразливість в Collator::sortWithSortKeys.
• Три DoS уразливості.
• Дві уразливості в Mysqlnd.

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• Multiple critical vulnerabilities in Symantec Endpoint Protection (деталі)
• Cross Site Scripting (XSS) vulnerability in videowhisper (деталі)
• 0day database info and superuser credential disclosure in EventLog Analyser (деталі)
• Arbitrary File Upload in HelpDEZk (деталі)
• Public disclosure of Buffer Overflow Dassault Systems (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ninja Forms, Video Gallery, Survey And Poll, Photo Gallery та Failed Randomness уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress Ninja Forms 2.8.8 Cross Site Scripting (деталі)
• WordPress Video Gallery 2.7 SQL Injection (деталі)
• WordPress Survey And Poll 1.1.7 Blind SQL Injection (деталі)
• WordPress Failed Randomness (деталі)
• WordPress Photo Gallery 1.2.5 Unrestricted File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 05.02.2015 по 03.12.2015. Другий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього був взломано 85 сайтів на сервері хостера Ukraine (IP 185.68.16.170). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт drohobych-rda.gov.ua.

З зазначених 85 сайтів 44 сайти були взломані хакерами з Team_CC, 36 сайтів хакером ZoRRoKiN та по одному хакерами Phenomene Dz, ReSPiRaToR, iCodeR.

Масові дефейси хакерами Team_CC і ZoRRoKiN явно був зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

У травні, 02.05.2013, я знайшов Denial of Service та інші уразливості на сайті https://acsk.privatbank.ua. На відміну від дірок на інших сайтах, ПриватБанк не став оплачувати ці уразливості, бо не побачив ризику в них і проігнорував мої аргументи (що Cross-Site Scripting та інші дірки потрібно на всіх сайтах виправляти).

Раніше я вже писав про уразливості на acsk.privatbank.ua.

Denial of Service:

Всього 6 DoS уразливостей в скрипті https://acsk.privatbank.ua/pages/index.jsp?page=2 в параметрах owner_value, inn_value, firm_value, edrpou_value, from_value, to_value. А також інші дірки, на додачу до попередніх XSS.

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2015 році я виявив, що банк виправив всі ці уразливості.

В листопаді, 05.11.2015, компанія Microsoft випустила фінальну версію браузера Edge (що мала версію 25.10586). Вихід нового браузеру відбувся через два роки після виходу Internet Explorer 11. Він постачається з Windows 10 в якості браузера по замовчуванню, але IE11 також присутній в системі.

Це повністю новий браузер компанії, відмінний від Internet Explorer та є заміною IE (на десктопних і мобільних пристроях). На початку він буде постачатися разом з IE для сумісності (як в Windows 10 та Windows Server 2016), але з часом стане основним браузером компанії.

Незважаючи на заяви Microsoft про підвищену безпеку нового браузера, не встиг він вийти, як його швидко взломали. Уразливості в Microsoft Edge (та в IE) були виявлені в серпні у версії, що постачалася з Windows 10, та виправлені в патчі в тому ж місяці.

З тих пір в Edge знаходили багато уразливостей. Що цілком типово для програмних продуктів Microsoft.

У липні, я дав інтерв’ю для книги Cyber War in Perspective: Russian Aggression against Ukraine. І 06.12.2015 воно було оприлюднене на сайті НАТО ccdcoe.org.

Дав інтерв’ю Tim Maurer, який написав 9 главу цієї книги, що називається Cyber Proxies and the Crisis in Ukraine. Де я розповів про мою діяльність і про кібер війну Росії проти України. Та про мою громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014.

Cyber War in Perspective: Russian Aggression against Ukraine

Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю чи дивився виступи на ТБ, зокрема телепередачу зі мною на каналі Обоз LIVE, так і всім іншим, можете прочитати цю книгу.

У грудні, 02.12.2015, через півтора місяці після виходу Google Chrome 46, вийшов Google Chrome 47.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлена 41 уразливість, в тому числі одна критична (Use-after-free в AppCache). З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 47 (деталі)