В даній добірці експлоіти в веб додатках:
В квітні, 03.04.2018, вийшла нова версія WordPress 4.9.5.
WordPress 4.9.5 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 25 багів та 3 уразливості. Була виправлена Redirector уразливість в процесі логіну при використанні SSL, тепер localhost не вважається тим самим сайтом, рядок версії движка тепер фільтрується (додали output validation для захисту від атак, зокрема XSS, коли в коді сайту цей рядок змінили).
Також в цій версії зробили звичайні виправлення в движку.
Виявлені уразливості безпеки в Apple Safari і Webkit.
Уразливі продукти: Apple Safari 11.
Пошкодження пам’яті, виконання коду, DoS, підробка адресного рядка, перезапис довільних кукіс, витік інформації.
Постійно нагадую стосовно безпеки сайтів і мережевих пристроїв. Багато дірок я знайшов на сайтах і у веб додатках з 2005 року, а також в численних мережевих пристроях. Це стосується всіх виробників роутерів та інших мережевих пристроїв - всюди знаходив дірки, бо не хочуть виробники пристроїв вкладати кошти в безпеку. Хакнути можуть все - від роутера і принтера, до холодильника і тостера.
Вже писав, що Українські Кібер Війська захопили 250000 мережевих пристроїв. Це ми зробили в попередні роки, а захопленням численних розумних будинків займалися в липні, прочитайте про хакнуті Smart House (Smart Home) системи.
Дуже багато разів повідомляв з 2005 року власникам сайтів і розробникам веб додатків та мережевих пристроїв про дірки, але вони часто ігнорують. А треба проводити аудит безпеки. На жаль більшість не проводить аудити безпеки (особливо в Україні) - не те, що в мене не замовляють аудит, а взагалі. А в державному секторі все значно гірше. Наприклад, влада Києва та силовики заявляють про збільшення кількості веб камер у столиці. В останні роки вони активно про це заявляли, у т.ч. на останніх форумах. Але за безпекою ні сайтів міської влади, ні всіх цих веб камер вони не слідкують (а всі веб камери діряві, про що я наголошую багато років), як і не слідкували раніше. Та всі мої звернення за ці роки були ними проігноровані. Про уразливості на київських gov.ua сайтах та всіх gov.ua сайтах і про їх взломи писав багато разів.
Про уразливості в тисячах моделей мережевих пристроїв я писав у себе на сайті. Сам знайшов численні уразливості в різних мережевих пристроях десятків виробників, у тому числі веб камерах і DVR, принтерах, ADSL модемах, VoIP шлюзах, проводових роутерах, Wi-Fi роутерах і точках доступу. Наприклад, уразливості в мережевих камерах Hikvision, в ASUS RT-N10 та в комутаторі D-Link DGS-3000-10TC. Враховуючи, що жоден виробник IP камер і DVR, як і інших мережевих пристроїв, по суті не слідкує за безпекою, то вкладати в аудити безпеки мають користувачі цих пристроїв.
Тому кожен громадянин України та всі державні органи, що мають сайт чи будь-який мережевий ресурс, повинні спитати себе, скільки коштів вони вклали у веб безпеку. І чим більше вклали, тим краще. Бо враховуючи, що за 27 років мало хто в це вкладав, то це вимагає значних фінансових вкладень в межах держави.
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Simple Membership, Top 10 Popular Posts, Ninja Forms, Icegram, Video Player. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у липні.
Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.
Вибивання та інші помилки.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
В даній добірці експлоіти в веб додатках:
У липні місяці Microsoft випустила нові патчі.
У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.
Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, .NET Core, ASP.NET Core, ChakraCore і .NET Framework, Visual Studio, SharePoint Server і Skype for Business та Exchange Server.
Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.
В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2017, я згадував, що в другому півріччі було інфіковано 70 сайтів.
Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2016 року, і на 35 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.
На перевірених сайтах використовуються наступні движки:
uCoz - 12
Joomla - 7
WordPress - 7
Drupal - 4
DataLife Engine - 3
Bitrix - 1
OpenCart - 1
Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.
* 
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.