Чтобы добавлять сообщения и комментарии, .

@SolderStain:
SolderStain

проверил свои тазики на уязвимость bugs.proftpd.org
на фряхах не proftpd, на линухах не proftpd, на гентах — proftpd, ну сцуко без mod_copy. вот и хорошо

@schors:
schors

*ссылка habrahabr.ru

@nox:
nox

EventEmitter hijacking.

@Umnik:
Umnik

Простой баг позволяет смотреть SMS-сообщения пользователей Verizon Wireless threatpost.ru
Исследователь в области безопасности обнаружил уязвимость в клиентском веб-портале крупнейшего американского оператора связи Verizon Wireless. Она позволяет кому угодно, кто знает телефонный номер клиента компании, скачать его SMS-сообщения, включая номера людей, с кем он переписывался.

Обнаруженная уязвимость проистекает из-за того, что портал не проверяет, принадлежит ли пользователю введенный номер. После того, как пользователь введет номер, он может загрузить табличный файл, содержащий всю SMS-переписку указанного аккаунта. Чтобы загрузить чужой CSV, достаточно было использовать URL wbillpay.verizonwireless.com где 5555555555 — нужный номер телефона.

@Umnik:
Umnik

Выявлена очередная критическая уязвимость в IE. Подвержены все версии, включая IE11 в составе Win8.1: technet.microsoft.com Патча пока нет. Есть типичная инструкция, которая обычно приводит к поломке верстки сайтов и их функционала. Ждём патч.

@Umnik:
Umnik

Небольшая перепись сволочей, добавляющих дырки в Android, нужна ваша помощь.
В Android нельзя программно включить GPS, если пользователь снял галку в настройках. Но в ОС была дыра. Т.к. в ней самой был предустановлен виждет управления питанием (он и сейчас есть — Power widget), который мог включать/выключать GPS, то приложения тыкали в него:
final Intent poke = new Intent();
poke.setClassName("com.android.settings",
"com.android.settings.widget.SettingsAppWidgetProvider"); //$NON-NLS-1$//$NON-NLS-2$
poke.addCategory(Intent.CATEGORY_ALTERNATIVE);
poke.setData(Uri.parse("3")); //$NON-NLS-1$
context.sendBroadcast(poke);

Эта дырка закрыта Google еще в апреле 2011-го года. Системный виджет теперь отправляет в настройки, как и должен. Но некоторые производители аппаратов добавляют свои виджеты, которые, кроме прочего, позволяют включать/выключать GPS одним тапом без перехода в настройки. И его можно использовать сторонним приложениям таким же макаром.

Если у вас Android и предустановлен такой виджет, то сообщите производителя и модель. Именно виджет, включающий/отключающий GPS. Перенос в настройки к галочкам — это не дырка, это правильное поведение.

@Umnik:
Umnik

Уязвимость в унитазах. Без шуток. xakep.ru

@Umnik:
Umnik

Microsoft Security Bulletin MS13-053 — Critical technet.microsoft.com Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2850851)
Дырень затрагивает, внимание, все актуальные версии Windows, как x86, так и x64, включая... Windows RT! У всех статус Critical, да.

@Umnik:
Umnik

Об уязвимости, которая "затрагивает 99% Андроидов", о которой трещат сейчас на каждом углу. Инфы никакой нет, но пока это видится так:
1. Человек ставит какое-то говно с говнопомойки. Например кряченый Титаниум с 4PDA.
2. В какой-то момент злоумышленник подменяет честную apk на троянское. Package name совпадает и, главное, та же подпись, хотя приложение уже имеет измененный функционал
3. Человек ставит этого трояна и имеет проблемы.
Таким образом можно "обновить" системное приложение, от, скажем, Самсунга.

Если это так, то критичность значительно ниже, нежели говорится на каждом первом сайте.

@Umnik:
Umnik

Специально сформированное изображение с валидндым BMP/GIF хендлом, содержащее выполняемый JavaScript.

@Umnik:
Umnik

Вот что бывает, когда продолжают использовать говно мамонта.

В Сети обнаружен ботнет, состоящий из более 900 веб-серверов. По сообщению блога об информационной безопасности grok.org, для его построения была использована найденная на днях уязвимость в панели управления хостингом Plesk, которую разрабатывает компания Parallels.
Автор публикации, обнаруживший ботнет, сообщил, что за время наблюдения он распространялся со скоростью около 40 серверов в час. Отметим, что работоспособный эксплойт, использующий уязвимость в популярной панели управления хостингом Parallels Plesk, был опубликован в Сети 5 июня 2013 г. пользователем Kingcope. Эксплойт позволяет удаленно выполнять произвольный код на веб-серверах.

По сообщению издания Arstechnica, работоспособность эксплойта уже подтверждена на веб-серверах, с установленными панелями Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающими под управлением Linux и FreeBSD. Исполняемость эксплойта на ОС Windows и других системах не тестировалась, и, как указывает издание, возможно, они также являются уязвимыми.

Дыра в безопасности вызвана некорректной конфигурацией кроссплатформенного веб-сервера Apache, которая позволяет напрямую обратиться к любому приложению в директории /usr/bin, где содержатся чувствительные программы, в том числе обеспечивающие работу веб-страниц и баз данных.
Уязвимость, которую сам автор эксплойта, скрывающийся под псевдонимом Kingcope, относит к высоко опасным, пока остается не закрытой. По оценке издания, в Сети находится около 360 тыс. серверов, на которые установлена панель Plesk, и на которых может быть исполнен эксплойт.

Ситуацию с закрытием уязвимости усложняет тот факт, что 8 версия Plesk не поддерживается разработчиком с 1 сентября 2012 г., а прекращение поддержки 9 версии намечено на 9 июня 2013 г.

Подробнее: safe.cnews.ru

@Umnik:
Umnik

Прайс на зеро-дей эксплоиты: fbcdn-sphotos-b-a.akamaihd.net

@Umnik:
Umnik

Завтра MS закроет 33 дыры, включая две cross-IE, одна из которых в IE6 — 10, другая только в IE8 и они уже эксплуатируются. Потребуется перезагрузка.

@Umnik:
Umnik

Обнаружена уязвимость в системе Samsung Galaxy S III anti-malware.ru
Вся эта история началась, когда человек по имени Теренс Иден обнаружил ошибку, которая позволяла на короткий промежуток времени получить доступ к рабочему столу на смартфоне Galaxy Note II. Слегка модернизировав предыдущую методику, другой взломщик по имени Шон МакМиллиан обнаружил еще один способ открыть доступ к главному экрану смартфонов из семейства Galaxy, включая Galaxy Note II и Galaxy S III.
Журналисты ZDNet подтвердили наличие этой ошибки на Galaxy S III и Note II. Самое сложное во всем этом процессе – подгадать время, а дальше можно легко добраться до рабочего стола на смартфоне с системой Android 4.1.2.

Чтобы осуществить взлом вам достаточно просто забраться в меню экстренный вызов (Emergency Call) с экрана блокировки и открыть вкладку экстренные контакты (Emergency Contacts). Отсюда необходимо нажать на кнопку Home, а потом мгновенно нажать на клавишу питания. Нажмите на кнопку Power еще один раз и вас отправят на рабочий экран смартфона, минуя любую блокировку.
-------------------
Вновь с удовольствием отмечаю, что Motorola Droid RAZR не подвержен уязвимости. У него просто заблокированы все кнопки, кроме кнопок телефона и вызова. Соотвественно нет вкладки "Экстренные контакты". На SIII это кнопка слева внизу на номеронаберателе.

@Umnik:
Umnik

К слову, те уязвимости в java, из-за которых ее отключали в Fx, через которую имели милионы, не работала там, где стоял KIS 2013. KIS успешно противостоял эксплуатации уязвимости полностью проактивно без единой донастройки.

@Umnik:
Umnik

Вы будете смеяться, но в Java снова нашли дырки. В распоследней, да.

@Umnik:
Umnik

Критическая уязвимость в топовых смартфонах Samsung androidpit.ru
Пользователями форума XDA-developers бнаружена критическая уязвимость в ядре мобильных устройств, работающих на процессорах Exynos 4210 и Exynos 4412. Она состоит в том, что любое Android-приложение может теоретически взять под контроль всю физическую память устройства. Практически все мобильные девайсы Samsung 2011 и 2012 года выпуска оказались подвержены этой бреши в безопасности.

Напомним, что чипы Exynos 4210 и Exynos 4412 установлены на следующих гаджетах: Samsung Galaxy Note, Samsung Galaxy S2, Samsung Galaxy S3, Samsung Galaxy S3 LTE, Samsung Galaxy Note 2, Samsung Galaxy Note 2 LTE, Samsung Galaxy Note 10.1 (GT-N8000/GT-N8010) и Meizu MX/МX2.

Уязвимость позволяет без особых хлопот получить root-права и, как следствие, любое приложение может получить доступ к файлам, хранящимся на устройстве, модифицировать их или удалить и даже превратить девайс в "кирпич". Кроме того, зловредные приложения могут быть установлены удаленно без ведома пользователя.

Пока что Samsung никак не отреагировал на происходящее, однако, скорее всего, компания уже работает над "заплаткой". Кроме того, патч уже подготовили сами пользователи форума XDA. Программу можно скачать здесь ( project-voodoo.org ). Однако будьте осторожны: ее установка может повлиять на работу камеры на Galaxy S3 и к тому же является всего лишь временным решением проблемы.
-----------------------
Матчасть из источника (на английском) будет под катом

@Umnik:
Umnik

Операсты, как у вас браузер реагирует на эти гифки? xakep.ru и xakep.ru

@Umnik:
Umnik

Уязвимость в Опере: forum.antichat.ru

@ng358ex-2:
ng358ex-2

Зашёл на сайт для проверки уязвимости с 4х браузеров. Родной и dolphin предложили позвонить, Опера ывлетела с ошибкой, Ucweb открыл страницу с текстом и звонить не предлагал. Так что всем Ucweb, посоны! Да и если не шариться с моба по невнятным варезопомойкам, ничего не случится

@Umnik:
Umnik

Эпик фейл просто. Касается смартфонов от Samsung с их фирменной оболочкой ТачВиз anti-malware.ru

@Umnik:
Umnik

Лол, Яблоко — главный разработчик решета.
During the first three months of 2012, Apple reported 91 vulnerabilities in total, according to the “Security in the age of Mobility” (PDF) report, making it number one among the top 10 technology vendors in the industry. Oracle took second spot with 78 vulnerabilities, while Google came in third with 73. Microsoft only reported 43 vulnerabilities.

The top ten looks like this:

Apple — 91 vulnerabilities
Oracle — 78 vulnerabilities
Google — 73 vulnerabilities
Microsoft — 43 vulnerabilities
IBM — 42 vulnerabilities
Cisco — 36 vulnerabilities
Mozilla — 30 vulnerabilities
MySQL — 28 vulnerabilities
Adobe — 27 vulnerabilities
Apache — 24 vulnerabilities

Apple’s Safari browser received the most patches during the month of March 2012, while the report notes that March 2011 was another big month for Apple patches, with 93 vulnerabilities addressed in its Leopard and Snow Leopard operating systems. A third of those were classed as “critical.”

@Umnik:
Umnik

Срочно обновляйте свои Windows, если еще не сделали этого. У MS сперли детали уязвимости CVE-2012-0002 и китайцы уже сбацали эксплоит. securelist.com

@Umnik:
Umnik

Тут вывалили уязвимость в наших KAV/KIS 2011, 2012. Что хочу сказать прежде...
1. Автор боянщик. Баг третьего (да-да, третьего) приоритета давно есть и без него.
2. Автор жаждит славы. Что важно — без оснований
Суть уязвимости. Продукты умеют сохранять настройки в cfg файл. Если внести некие изменения в его структуру, сделать его "не совсем валидным", скажем так (но не ломать!), то при импорте продукт скажет "Кря". Казалось бы — клепаем cfg, даем его жертве, делаем avp.com import file.cfg и все, продукт того. Об этом он раструбил. Но почему же приоритет третий? А вот почему. Для импорта конфига из командной строки нужно ОБЯЗАТЕЛЬНО задать в самом продукте пароль на изменение настроек. Если пользователь не установит пароль, то продукт пошлет его:
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012>avp.com import d:\123.cfg
Kaspersky Anti-Virus ® 12.0.0.452
© 1997-2011 Kaspersky Lab ZAO. All rights reserved.

Parameter /password=<password> is required for this action.
If you have not yet specified the password, please specify it to enable the command.
У меня пароль не задан. А если пароль задан, то его, та-да, нужно ввести. Задать же пароль из командной строки нельзя. От така фигня.

Аффтар "уязвимости" проверял это через GUI. Ну чтоже, можно и так. Удачи. Те, кто хоть раз пытался удаленно управлять нашими окнами через Тим Вьювер или РАдмин понимают, о чем я говорю :)

@Umnik:
Umnik

В Adobe Reader и Acrobat вновь обнаружена критическая уязвимость
Компания Adobe Systems сегодня подтвердила наличие открытой уязвимости "нулевого дня" в программном обеспечении Adobe Reader. Баг уже взят на вооружение интернет-преступниками. В заявлении Adobe говорится, что компания выпустит исправление для Windows-версии Reader и Acrobat 9 не позднее конца будущей недели.

Согласно описанию Adobe, критически опасная уязвимость была найдена в Adobe Reader X 10.1.1 и более ранних версиях для Windows и Mac, а также в Adobe Reader 9.6 для всех поддерживаемых ОС (Unix, Windows, Mac). Уязвимость позволяет провести переполнение системного буфера и потенциально получить контроль над системой, захватив пользовательские файлы.

Остальное: anti-malware.ru

@Umnik:
Umnik

Хакеры могут поджечь бумагу в HP LaserJet anti-malware.ru

Исследователи из Колумбийского университета похоже (HP еще не подтвердила) нашли глобальную уязвимость в "десятках миллионов" принтеров HP LaserJet, которая позволяет удаленному хакеру устанавливать новые произвольные прошивки на устройство. В одном из примеров инженеры использовали уязвимость для доступа к термоэлементу принтера — устройству, которое высушивает чернила — и смогли поджечь бумагу, заправленную в принтер.

Вектор атаки на самом деле достаточно прост: каждый раз, когда принтер LaserJet получает задание для печати, он проверяет его на наличие обновленной прошивки. Проблема заключается в том, что принтер вообще не проверяет источник этого обновления, обновления даже не подписываются HP и, соответственно, принтер не проверяет даже подпись. Другими словами, каждый может отреверсить одну из прошивок компании и сделать свою собственную, а затем послать ее на принтер и тем самым установить произвольное ПО на все принтеры, к которым есть доступ, передает xakep.ru.

Кроме пугающего опыта с поджогом бумаги, исследователи из Университета показали так же взломанную прошивку, которая определяет когда печатается документ для возврата налогов и извлекает из него номер Социального страхования и размещает его в Twitter-е. На самом деле возможности взломанного принтера практически безграничны, он работает как компьютер в локальной сети и, по идее, можно даже собрать ботнет из взломанных принтеров.

Может показаться, что это достаточно локальная уязвимость — многие принтеры хотя и подключены к Сети, но находятся за NAT или файрволом — но что если работники компании будут атакованы целевой рассылкой с документами, которые содержат взломанные прошивки? Защититься от этого достаточно сложно. Главная проблема в том, что нет никакого глобального обновления, которое может запустить HP. Более того, невозможно даже сказать — взломан твой принтер или нет. Настоящее решение пожалуй в замене всех принтеров.

@Umnik:
Umnik

Опубликован эксплойт для zero-day уязвимости в Opera anti-malware.ru
Эксперт в области безопасности Хосе А. Васкес, на днях опубликовал подробную информацию, а также Metasploit модуль для zero-day уязвимости, найденной им год назад в 11-й версии популярного обозревателя Opera.

По словам ( spa-s3c.blogspot.com ) г-на Васкеса об этой ошибке он сообщил еще год назад, а также отправил опытный образец эксплойт-кода для нее. Но в ответ разработчики заявили, что устранять ее не собираются.

Ошибка была ( h-online.com ) обнаружена в модуле памяти и при отработке SVG контента во фреймах может привести к сбою в работе. А при успешной атаке злоумышленник может удаленно выполнить произвольный код на целевой системе. Как известно, получить на компьютер какую-либо вредоносную программу, имея такой изъян в системе безопасности, довольно просто: достаточно лишь попасть на сайт с вредоносным контентом.

Поэтому, в надежде на то, что разработчики его все-таки услышат, г-н Васкес опубликовал следующую версию своего творения, превратив его в Metasploit модуль для последней версии браузера 11.51, тем самым, предоставив возможность проэксплуатировать уязвимость в приложении любому желающему. Как заявил создатель, по результатам тестирования на 11 версии, эксплойт срабатывает в 3х случаях из 10, а вот бета – версия новой Opera 12 оказалась менее устойчива — положительный результат наблюдался в 6 случаях из 10.

В принципе, в ответ на такие радикальные меры, производители программы просто обязаны устранить изъян в целях обеспечения безопасности для пользователей Opera. Однако на блоге компании пока заявлений об устранении этой ошибки пока нет.

@Umnik:
Umnik

Обнаружена уязвимость в протоколе TLS anti-malware.ru

Исследователи в области безопасности обнаружили серьёзную уязвимость в протоколе передачи данных SSL/TLS, которая открывает для хакеров возможность незаметно перехватить и расшифровать информацию, передаваемую между веб-ресурсом и браузером на стороне пользователя.

Как известно, данный протокол был разработан на основе технологии используемой в SSL и призван обеспечить защищённую передачу данных между узлами в сети. По словам ( theregister.co.uk ) исследователей, уязвимости подвержены версии TLS 1.0 и более ранние. Однако, более поздние модификации TLS 1.1. и 1.2 не имеют такого дефекта, но они не используются большинством веб-ресурсов и не поддерживаются большинством обозревателей. В итоге, в руках у злоумышленников появилась еще одна возможность перехвата данных с любого контролируемого ими ресурса.

На предстоящей конференции по безопасности Ekoparty ( ekoparty.org ) ученые планируют продемонстрировать атаку, при помощи разработанного ими эксплойт — кода для этой уязвимости. Эксплойт BEAST (Browser Exploit Against SSL/TLS) представляет собой несколько строк кода, написанных на языке программирования JavaScript. Атака проводится в несколько этапов, однако суть ее сводится к тому, что эксплойт, взаимодействуя с анализатором трафика, незаметно перехватывает файлы cookie во время аутентификации пользователя и расшифровывает их.

Данная работа является первым удачным методом атаки против TLS 1.0 и SSL 3.0, позволяющим расшифровать HTTPS запросы. В случае успешной атаки злоумышленник сможет получить доступ к важной конфиденциальной информации, необходимой при работе с такими сервисами, как online-банкинг, службы электронной коммерции и платежные системы. Проблема осложняется тем обстоятельством, что для её устранения необходимо будет существенно переработать протоколы TLS 1.0 и SSL 3.0. Однако, даже если производители обозревателей добавят в свои продукты обходной путь блокирования подобных атак, проблема не потеряет своей актуальности, полагают исследователи. Единственным решением они видят переход на новый протокол.

@Umnik:
Umnik

technet.microsoft.com
This security update resolves a publicly disclosed vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user opens a legitimate rich text format file (.rtf), text file (.txt), or Word document (.doc) that is located in the same network directory as a specially crafted dynamic link library (DLL) file. An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Прикольно, чо :) И да, апдейты уже были, еще на прошлой неделе.

@wasd:
wasd

#1489469/5

@Umnik:
Umnik

Имейте в виду: secunia.com

@ArtemZ:
ArtemZ

linux.org.ru
пхп-говно во всей красе. обновляем сервера

@Umnik:
Umnik

Обнаружена уязвимость на сайтах с OpenID anti-malware.ru
Исследователи в области безопасности обнаружили сбой в системе аутентификации на некоторых сайтах, использующих систему OpenID, который мог привести к краже личности.

Слабое место в системе безопасности связано с ошибкой в процессе подтверждения подлинности при двустороннем обмене информацией, расширения функциональных возможностей в системе OpenID, которая дает сайтам возможность обмена информацией между конечными пунктами. Ошибка заключалась в том, что в некоторых случаях не осуществлялась проверка подлинности информации, таким образом, хакеры могли получить доступ к информации и изменить ее.

В OpenID не уточнили на каких именно сайтах обнаружилась данная уязвимость. Главным образом, она затронула приложения, в которых используются Java библиотеки OpenID4Java и Kay Framework. Согласно источнику ( h-online.com ) обе библиотеки были исправлены. Заметим, что в библиотеках Janrain, Ping Identity и DotNetOpenAuth уязвимостей не обнаружено.

Несмотря на то, что, не известно воспользовались ли хакеры ошибкой, представители OpenID посоветовали ( theregister.co.uk ) установить на сайтах новую версию Java приложения или обновить имеющуюся.

Следует отметить, что OpenID- это, своего рода, попытка установить общедоступную единую систему в сети. Пользователи, которые регистрируются на сайтах, поддерживающих эту систему (Google, Yahoo, WordPress, MySpace и др.), могут использовать свои данные для доступа к любому из участвующих интернет сервисов.

@Umnik:
Umnik

Система безопасности Chrome взломана
Исследователи в области безопасности заявили о том, что им удалось взломать систему безопасности Google Chrome с помощью созданного ими эксплойт — кода. В ходе эксперимента атакующие смогли выполнить вредоносный код на целевой системе.

Специалисты французской компании Vupen на днях опубликовали подробное видео ( youtube.com ) о том, каким образом им удалось обойти сразу три уровня защиты обозревателя. В качестве подопытных использовались операционная система Microsoft Windows 7 SP1 (x64) и обозреватель Google Chrome v11.0.696.65.
Эксплойт представляет собой экспериментальный образец сложного кода, который оказался способен обойти все функции системы защиты включая технологию ASLR, систему предотвращения исполнения данных (DEP) и "песочницу". Причем вредонос действует незаметно, то есть не нарушает работу системы и направлен на эксплуатацию незакрытых zero-day уязвимостей. Кроме того, он работает на всех платформах Windows как 32х, так и на 64х.
Для атаки был выбран вполне распространенный метод – посещение вредоносного сайта, где содержится троян – загрузчик. В случае эксплуатации он начинает загрузку различных файлов, а следом и "нужной" программы с экплойт – кодом.

По словам генерального директора компании, образец, по сути, состоит из двух эксплойтов, которые направлены на определенные уязвимости. Один из них использует уязвимость, приводящую к нарушению целостности данных в памяти и, тем самым, обходит технологии защиты ASLR/DEP. Исполнение кода происходит на низком уровне целостности, внутри "песочницы". Второй же для обхода песочницы использует ошибку в дизайне, которая позволяет исполнение вредоносного кода на среднем уровне надежности, т.е. вне "песочницы".

Напомним, что в течении трех лет систему обозревателя Google Chrome в ходе соревнований Pwn2Own пытались обойти опытные хакеры. Более того, производитель, будучи уверенным в собственном творении, пообещал выплатить за взлом 20000 долларов. Однако до сих пор это никому не удавалось.

Как сообщили представители Google, специалисты, создавшие эксплойт, до сих пор не представили каких-либо доказательств и методик проведения эксперимента.
Однако сами исследователи заявили на своем блоге ( vupen.com ), что не планируют раскрывать подробностей, кроме государственных организаций.

@Umnik:
Umnik

Обнаружена критическая уязвимость в трех продуктах VMware
Крупнейший разработчик программного обеспечения и технологий виртуализации VMware сообщил о критической уязвимости, найденной в трех продуктах, работающих на базе операционной системы Linux.
Дефект был обнаружен в утилите vmrun, с помощью которой осуществляется контроль и управление виртуальной машиной; она работает на любой платформе, где установлены библиотеки VIX.
В случае нестандартной конфигурации системы, как сообщают специалисты в области безопасности компании, уязвимость позволяла атакующему разместить в определенном месте скомпрометированный файл библиотеки, что в результате позволяло ему получить контроль над утилитой.
В связи с этим, всем пользователям VMware Workstation 7.1.2, Workstation 6.5.5 и VIX API 1.10.2 настоятельно рекомендуется установить обновления.
Стоит отметить, что платформы, использующие в качестве хостовой системы ОС Windows, не имеют обозначенного дефекта.

@Umnik:
Umnik

XSS-уязвимости ВКонтакте securelist.com

Недавно я решил подготовить очередную презентацию, посвященную web-уязвимостям, в частности, XSS-атакам. Для этого мне нужно было изучить некоторые особенности современных систем фильтрации.

В качестве целевого сайта для тестирования я выбрал самый посещаемый сайт Рунета – vkontakte.ru. Мое внимание привлекла обновленная система статусов.

Код HTML-странички в месте, где происходит редактирование статуса, выглядит следующим образом: securelist.com

Как видно, фильтр расположен непосредственно в функции infoCheck(). Сам же статус располагается в этой строке: securelist.com

В данном случае имеем двухступенчатую фильтрацию. Первая ступень – непосредственно фильтрация у пользователя при вводе статуса. Вторая – преобразование введенного статуса в текст и возвращение его на страницу в том виде, в котором статус увидят другие пользователи.

В то время как вторая ступень работает безусловно хорошо, и превратить введенное пользователем в активную XSS явно не удалось бы, с первой не все так гладко. Именно о первой ступени и пойдет речь.

Как и предполагалось, простой <script>alert()</script> не сработал, статус остался пустым. Вариации на «околоscript-ные» темы тоже не прошли – судя по всему, конкретно эта последовательность фильтруется явным образом.

Однако, для выполнения скрипта вовсе не обязательно наличие тега <script>. Первая уязвимость на пользовательской машине достигается использованием тега <img>: введя в статус строку <img src=1.gif onerror=some_function>, мы добьемся выполнения этой самой функции. Для наглядности можно вызвать функцию profile.infoSave(), вызываемую с пустым аргументом при очистке статуса, с нашим аргументом. Так, введя <img src=1.gif onerror=profile.infoSave('XSS')>, получаем в статусе строчку “XSS”: securelist.com

Вторая забавная уязвимость фильтра – в отсутствии фильтрования тега <A>. Вводим в статус <A HREF="//www.google.com/">XSS</A> и получаем… гиперссылку, по клику на которой открывается окно для редактирования статуса, а мгновением позже – сайт google.com!

Как мы помним, XSS = cross site scripting, поэтому в следующей уязвимости я решил использовать сторонний сайт с загруженным туда скриптом. Помимо отсутствия фильтрации вышеуказанных тегов, проходит фильтр и тег <iframe>. Таким образом, введя в статусную строку <iframe src="yoursite.com" width="100%" height="300">, получаем iframe с запуском того самого загруженного скрипта. Пример такого “айфрейма”: securelist.com

Эта уязвимость является более серьезной, чем две предыдущие. Один из способов эксплуатации – составление URL для изменения статуса пользователя и последующий клик пользователя по этому URL жертвой. Еще до того, как статус будет опубликован, скрипт успеет выполниться на странице пользователя. Таким образом, получаем классическую пассивную XSS.

Уязвимости были актуальны с 01.08.2010 — с момента введения новой системы статусов. 01.03.2011 мы сообщили администрации сети ВКонтакте об обнаруженных уязвимостях, и 03.03.2011 уязвимости были закрыты.

@Umnik:
Umnik

XSS уязвимость раскрыла данные пользователей LastPass
Благодаря уязвимости кроссайтового скриптинга, обнаруженной в коде сайта сервиса LastPass, злоумышленники могли извлечь конфиденциальную информацию пользователей.

LastPass это он-лайн менеджер паролей, предназначенный для создания, хранения и управления паролями к аккаунтам различных интернет — ресурсов. Причем для хранения конфиденциальных сведений предусмотрено специальное персонифицированное зашифрованное хранилище, а доступ к нему можно получить зная мастер – пароль. Воспользоваться сервисом можно либо через установленное приложение, либо через сайт.

Об уязвимости сообщил независимый исследователь в области безопасности Майк Кардвелл, которому удалось, при эксплуатации ошибки, извлечь адреса электронной почты пользователей. Отметим, что как правило, в случае XSS атаки, зарегистрировавшийся пользователь перенаправляется на вредоносный ресурс и все данные, включая адреса электронной почты, адреса ресурсов, для которых сохранены авторизационые данные, напоминания, список IP адресов, используемых для доступа к сайту становятся известны мошенникам.

Специалист рассказал ( theregister.co.uk ) о находке администрации ресурса, и в течение нескольких часов уязвимость была устранена. Компания уведомила об этом пользователей, а также рассказала об изменениях в системе безопасности для предотвращения подобных инцидентов в будущем.

@Kxepal:
Kxepal

а еще поводом обновиться послужит XSS уязвимость всех версий от доисторической 0.8 до 1.0.1
apacheserver.net
конечно, она не актуальна если у вас веб-интерфейс не смотрит наружу и вы пользуетесь нормальным тулкитом для работы с couchdb, но факт есть факт.

@AlexVK:
AlexVK

VIA #1174323
Обратная сторона "чипизации" и компьютеризации быта: добавь "интеллект" в бытовое устройство, а также возможность доступа в глобальную сеть и получи ещё одно устройство, которое может быть пепепрограммировано или выведено из строя удалённо.

@Umnik:
Umnik

Исследователи превращают USB в орудие для атак
Источник: xakep.ru

Доцент теории вычислительных систем в George Mason University Ангелос Ставроу и учащийся Жаохуи Ванг создали программное обеспечение, которое меняет функции USB-драйвера для того, чтобы возможно было начать тайную атаку, пока кто-то заряжает смартфон или идет обмен информацией между смартфоном и компьютером.

В сущности, эксплойт действует за счет добавления соединению функциональности мыши или клавиатуры, поэтому атакующий может начать печатать команды или пользоваться мышью для кражи файлов, скачивания дополнительных вирусов или совершать другие действия по захвату контроля над компьютером, сказал Ставроу в интервью CNET. Эксплойт начинает действовать, потому что протокол USB может быть использован для соединения с любым устройством без проверки подлинности, сказал он.

Подробности в источнике