В даній добірці експлоіти в веб додатках:
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у грудні.
Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server 2016, SharePoint Foundation 2010 Service Pack 2, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, SharePoint Server 2019.
Обхід безпеки, підробка вмісту та виконання коду.
У жовтні, 23.10.2018, вийшов Mozilla Firefox 63. Нова версія браузера вийшла через два місяці після виходу Firefox 62.
Mozilla офіційно випустила реліз веб-браузера Firefox 63, а також мобільну версію Firefox 63 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 64 вийде 11 грудня.
Також була оновлена гілка із тривалим терміном підтримки Firefox 60.3.
В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додані налаштування для управління блокуванням вмісту (зокрема блокуються скрипти і Cookie для слідкування за користувачами) і для кожного сайту тепер виводиться значок, що показує статус блокування скриптів і Cookie. Та доданий інтерфейс SecurityPolicyViolationEvent, що дозволяє генерувати події при порушенні CSP.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 63.0 усунуто 14 уразливостей, що значно менше ніж в попередній версії. Серед яких дві добірки уразливостей позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).
Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в грудні.
В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.
Іноземні хакери провели неполітичні взломи державних сайтів:
kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018
dls.gov.ua (хакерами з ErrOr SquaD) - 17.12.2018
priazovrada.gov.ua (хакером Kripton) - 25.12.2018
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Mail Master, MailPoet, InfiniteWP Admin Panel і в темах Bonkersbeat, Method, Awake, Cubed. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Цього року відбувся масовий взлом сайтів на сервері URAN. Він відбувся з 10.01.2018 по 06.02.2018 і ще три сайти в 2017 році. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії URAN (Ukrainian Research & Academic Network). Взлом, що складався з одного масового дефейсу та трьох окремих дефейсів, відбувся після згаданого масового взлому сайтів на сервері Укртелекому.
Всього було взломано 141 сайтів на сервері URAN (IP 212.111.212.230). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: jna.bio.gov.ua, journal.sops.gov.ua.
З них 138 сайтів були взломані хакером B0c4H_Id30T, 2 сайти хакером Miracle і один сайт хакером Mr E[R].
Масовий дефейс хакером B0c4H_Id30T явно був зроблений через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.
Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у грудні.
Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.
Численні пошкодження пам’яті, виконання коду та обхід безпеки.
В даній добірці експлоіти в веб додатках:
У липні, 14.07.2018, я знайшов Brute Force та Cross-Site Request Forgery уразливості в Huawei EchoLife HG520s. Це ADSL2/2+ шлюз і Wireless Router.
Раніше я писав про уразливості в мережевих пристроях багатьох інших компаній.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
* 
Copyright © 2006-2018 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.
За підтримки SHALB - Агентства Інформаційної Безпеки.