У червні, 05.06.2019, через півтора місяці після виходу Google Chrome 74, вийшов Google Chrome 75.
В браузері зроблено багато нововведень. Та виправлені численні уразливості.
Виправлено 42 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це більше ніж в попередній версії.
Продовжуючи розпочату традицію, після попереднього відео про атаки на IoT спікери, пропоную нове відео на секюріті тематику. Цього разу відео про експлуатацію IoT хабів. Рекомендую подивитися всім хто цікавиться цією темою.
DEFCON 26 IoT VILLAGE - Exploiting the IoT hub What happened to my home
Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про захоплення IoT хабів для атаки на розумний будинок.
Торік в серпні на конференції DEFCON 26 відбувся виступ Lee та Park. В своєму виступі вони розповіли про атаки на IoT хаби з метою отримання доступу до всіх пристроїв підключених до них. Про захоплення хабів та використання різних уразливостей в них. Отримання контролю над розумним будинком зокрема можливе через атаку на IoT хаб.
Вони розповіли про проблеми з безпекою в таких пристроях як IoT хаби. Про можливість захоплення всіх мережевих пристроїв та компонентів розумного будинку, що підключені до цих хабів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки IoT пристроїв.
У червні, 11.06.2019, вийшов Mozilla Firefox 67.0.2. Нова версія браузера вийшла майже через місяць після виходу Firefox 67.
Це секюріті випуск, в якому виправлена уразливість CVE-2019-11702: IE protocols can be used to open known local files.
В даній добірці експлоіти в веб додатках:
У травні, 02.05.2019, вийшли PHP 7.1.29, PHP 7.2.18 і PHP 7.3.5. У версії 7.1.29 виправлено дві уразливості, у версії 7.2.18 виправлено багато багів і уразливостей, у версії 7.3.5 виправлено багато багів і уразливостей.
Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x, 7.2.x і 7.3.x.
У PHP 7.1.29, 7.2.18 і 7.3.5 виправлено:
По матеріалам http://www.php.net.
Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2018 році.
Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 79 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 149 сайтів за 2018 рік. І з них на 80 сайтах вдалося виявити движки.
На перевірених в минулому році сайтах використовуються наступні движки:
Joomla - 22
uCoz - 18
WordPress - 18
Drupal - 7
DataLife Engine - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1
Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.
Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.
Виявлені уразливості безпеки в Apple Safari і Webkit.
Уразливі продукти: Apple Safari 12.
Пошкодження пам’яті, виконання коду, міжсайтовий скриптінг, витік інформації, обхід обмежень.
У травні, 21.05.2019, вийшов Mozilla Firefox 67. Нова версія браузера вийшла через півтора місяці після виходу Firefox 66.
Mozilla офіційно випустила реліз веб-браузера Firefox 67, а також мобільну версію Firefox 67 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 68 вийде 9 липня.
Також була оновлена гілка із тривалим терміном підтримки Firefox 60.7.
В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 67.0 усунуто численні уразливості в 21 патчі, що так само як в попередній версії. Серед яких дві добірки уразливостей позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Mozilla типово виправляє по декілька дір за один патч.
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Google Analytics Counter Tracker, MailChimp, Quiz And Survey Master, 404, Private Messages. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2018, я згадував, що в першому півріччі було інфіковано 70 сайтів.
Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2018 року, і на 40 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.
На перевірених сайтах використовуються наступні движки:
Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1
Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.
* 
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.