Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 59, Firefox ESR 52.7, Thunderbird 52.7.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, обхід SOP, витік інформації, заміна кешованих даних в JavaScript Start-up Bytecode Cache, обхід CSP, встановлення легких тем без взаємодії з користувачем, XSS і виконання скриптів в різному функціоналі, підробка імен файлів в панелі Downloads.

• MFSA 2018-11 Security vulnerabilities fixed in Firefox 60 (деталі)

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

У липні, 24.07.2018, я дав інтерв’ю для телеканалу Настоящее Время.

Сюжет транслювався в новинах і був розміщений на сайті. В ньому йшлося про атаки російських хакерів на енергосистему США та порівняння з атаками на енергосистему України в 2015 і 2016 роках. Всі бажаючі можуть його подивитися.

У травні, 09.05.2018, вийшов Mozilla Firefox 60. Нова версія браузера вийшла через два місяці після виходу Firefox 59.

Mozilla офіційно випустила реліз веб-браузера Firefox 60, а також мобільну версію Firefox 60 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 61 вийде 26 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.8.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка стандарту DNS over HTTPS (DoH).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 60.0 усунуто 26 уразливостей, що більше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 60 (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• LAND
• HTTP POST flood
• PUSH and ACK floods
• Radio jamming
• Resource exhaustion attack

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://60seconds.in.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://rusanovka.triolan.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://blockbuster.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://vipclub-casino.com - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://9journal.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://прочистка-канализации.kiev.ua - інфекція була виявлена 03.05.2018. Зараз сайт не входить до переліку підозрілих
• http://test.nltu.edu.ua - інфекція була виявлена 13.05.2018. Зараз сайт не входить до переліку підозрілих
• http://snvlk.nltu.edu.ua - інфекція була виявлена 13.05.2018. Зараз сайт не входить до переліку підозрілих
• http://v20068.dh.net.ua - інфекція була виявлена 15.05.2018. Зараз сайт не входить до переліку підозрілих
• http://острів.укр - інфекція була виявлена 18.05.2018. Зараз сайт не входить до переліку підозрілих

В даній добірці експлоіти в веб додатках:

• PHP PEAR 1.10.1 - Arbitrary File Download (деталі)
• NETGEAR Routers - Password Disclosure (деталі)
• Netman 204 - Backdoor Account / Password Reset (деталі)
• Geutebrueck GCore 1.3.8.42/1.4.2.37 - Remote Code Execution (Metasploit) (деталі)
• Haraka < 2.8.9 - Remote Command Execution (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Premium Ultimate Member, Live Chat Support, Activity Log, All In One SEO Pack, WP Job Manager. Для котрих з’явилися експлоіти.

• WordPress Ultimate Member 1.3.64 Local File Inclusion (деталі)
• WordPress Live Chat Support 6.2.00 Cross Site Scripting (деталі)
• WordPress Activity Log 2.3.1 Persistent Cross Site Scripting (деталі)
• WordPress All In One SEO Pack 2.3.6.1 Cross Site Scripting (деталі)
• WordPress WP Job Manager 1.25 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У березні, 07.03.2018, через півтора місяці після виходу Google Chrome 65, вийшов Google Chrome 66.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 62 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 66 (деталі)

У червні місяці Microsoft випустила нові патчі.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps, .NET Core, ASP.NET Core і ChakraCore та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.