Выпуск No. 61 

Новостной

Электронный журнал

Security Computers & Internet

  от 10.01.2007

В рамках "месяцем багов" для Apple специалист по проблемам в области информационной безопасности Кевин Финистерр опубликовал эксплоит, который работает на полностью обновленной  x86 OS X.  Для доказательства был создан специально обработанный QuickTime файл, при попытке проиграть который удаляются или шифруются все фотографии и документы на локальном диске.

Уязвимость обнаружена в rtsp:// обработчике при обработке специально обработанной строки вида rtsp:// [random] + semicolon + [299 bytes padding + payload]. В результате атакующий может вызвать переполнение стекового буфера и выполнить произвольный код с привилегиями текущего пользователя. QuickTime для Windows систем также уязвим к обнаруженной уязвимости.

Это первый из множества уязвимостей к Apple, которые планируют опубликовать в январе. Эксплоит имеет наивысшую степень опасности, так как может эксплуатироваться удаленно через email сообщение или специально сформированную Web страницу, которая автоматически проиграет QuickTime фильм. В настоящее время не существует исправления для данной уязвимости, и всем пользователям Mac OS X рекомендуется отключить автоматический просмотр QuickTime роликов в Web браузере.
 

Источник: cnews.ru

Обнаруженная несколько дней назад уязвимость позволяла украсть контакт лист целевого пользователя, посетившего специально сформированную Web страницу.

Уязвимость связанна с тем, что список контактов хранился в javascript коде, который мог быть вызван произвольным сайтом. GMail не проверял, какой сайт вызывал уязвимую функцию, в результате произвольный Web сайт мог прочитать список контактов целевого пользователя. Единственное условие для эксплуатации уязвимости заключалось в том, что пользователь должен в момент эксплуатации иметь активную сессию в Gmail.

PoC код был опубликован 1-го января и Google потребовалось более 30 часов для устранения обнаруженной уязвимости.
 

Источник: cnews.ru

Всего за преступления, совершенные в сфере высоких технологий, возбуждено в 2006 году 430 уголовных дел. Об этом сообщил начальник управления по раскрытию преступлений в сфере высоких технологий (управление "К") министерства внутренних дел Беларуси полковник милиции Игорь Черненко, чье ведомство выявило указанные преступления.

По словам Игоря Черненко, за преступления против информационной безопасности возбуждено в 2006 году 272 уголовных дела. За несанкционированный доступ к коммерческой информации возбуждено 12 уголовных дел. 45 уголовных дел возбуждено за осуществление модификации компьютерной информации, а 19 уголовных дел - за разработку программ-вирусов.

В то же время по фактам хищений с использованием компьютерных технологий в 2006 году в Беларуси возбуждено более 180 уголовных дел, сообщает "Интерфакс". Следует отметить, что в 2005 году по фактам хищений с использованием компьютерных технологий было возбуждено 28 уголовных дел.

Как отметил Игорь Черненко, серьезную озабоченность вызывает тот факт, что госучреждения, чьи интернет-ресурсы подвергаются хакерским атакам, замалчивают данные факты. "Были случаи, когда информация на сайтах крупных государственных структур в результате несанкционированного доступа изменялась, но меры к злоумышленникам не предпринимались по просьбе руководителей данных структур", - рассказал Игорь Черненко.

Источник: lenta.ru

Недавно один из бывших разработчиков MySql обратил внимание на то, что для свободного скачивания перестали быть доступными новые версии Mysql в бинарном формате. Последняя доступная бинарная версия для скачивания – mysql 5.0.27, однако уже как несколько месяцев во многих дистрибутивах доступна версия 5.0.30.

В результате поползли слухи, что mysql предал принципы свободного ПО и вынуждает компании использовать платную версию базы данных, стоимость которой до 5000$ при ежегодном обновлении лицензии. Эта цена соответствует цене базе данных Oracle для 2-х процессорного сервера, которая к тому же не ограничена по времени. Бесплатная и платная версия компилируется с одних и тех же источников,однако, по заверению разработчиков, Enterprise версия более отличается значительной стабильностью, а бесплатная содержит множество различных и недостаточно протестированных усовершенствований.

MySQl также изменил схему лицензирования MySQl 5.0 и 5.1 от "GPLv2 or later” к “GPLv2 only“, т.е. отказался от обязательств перехода на 3-ю версию. Также MySQl распространил авторское право на весь свой код, что позволяет компании изменить лицензию в любое время по желанию.

 

Источник: webplanet.ru

Обнаруженная уязвимость в плагине Adobe Acrobat для Web браузеров позволяет выполнить произвольный javasript код в контексте любого сайта, на котором расположен произвольный pdf документ.

Уязвимость, впервые обнаруженная на хакерской конференции в Германии в эти выходные, существует в дополнении, которое позволяет пользователям Adobe Acrobat просматривать pdf файлы в Web браузере.

Уязвимость позволяет создать специально сформированную ссылку к этому документу, чтобы выполнить произвольный javascript код в браузере пользователя, попытавшегося открыть эту ссылу.

PDF формат используется практически всеми пользователями Windows систем и PDF документы можно найти на множестве Web сайтов, что позволяет осуществлять различные нападения против обычных пользователей, включая кражу персональной информации, слежение за действиями пользователя и другие типы нападений.

В настоящее время достоверно известно, что уязвимость работает в браузере Microsoft Internet Explorer 6.0 и более ранних версиях и во всех браузерах Mozilla Firefox.

Для защиты рекомендуется обновить Internet Explorer или отключить пользователям Firefox использование Acrobat plug-in. По заверениям Adobe, уязвимость не работает в Adobe Acrobat 8.0.

 

Источник: cnews.ru

Голливудские киностудии одобрили новую технологию, которая призвана разрешить пользователям записывать фильмы, купленные и загруженные в онлайне, на DVD диски. Компания Sonic Solutions Inc. представила сегодня технологию Qflix, позволяющую добавлять стандартную защиту DVD.

Эта защита, известная как "система перемешивания контента" или сокращенно CSS, была разработана студиями, телевизионными сетями и прочими создателями развлекательного контента и стала стандартной для лицензионных DVD. Все DVD проигрыватели оборудованы ключем, который открывает защиту и позволяет просматривать содержимое. Однако сервисы онлайн загрузки фильмов как Movielink, CinemaNow и Unbox не могли использовать CSS, потому как кино компании боялись, что это может привести к распространению пиратских дисков.

С Qflix у пользователей появится гораздо больше возможностей. Эта технология может найти применение и в киосках распространителей, которые смогут хранить сотни тысяч старых фильмов и ТВ-шоу, которые не выгодно печатать в промышленных масштабах. Покупатель же найдя нужный фильм в каталоге сможет заказать его, и ему в течении 10-15 минут запишут его на диск – зарубежный вариант "и волки сыты и овцы целы".

Киностудии должны будут еще определиться с ценой за защищенные фильмы, загружаемые с онлайн магазинов, чтобы не повредить бизнесу торговли DVD фильмами. А интерес к этому проявляется не шуточный – некоторые продавцы как, например, Wal-Mart уже изучают проекты по созданию своих собственных онлайн магазинов или открытию киосков по записи фильмов на DVD прямо в своих магазинах.

Источник: techlabs.by

Не секрет, что 2006 год запомнился не только новыми программами, технологиями и громкими анонсами. Безопасность – люди, пытающиеся ее обеспечить и те, кто пытаются ее сломать, безусловно стали одними из главных действующих лиц IT-индустрии в ушедшем году. Представляем вашему вниманию пятерку личностей по версии портала eWeek, чья деятельность весь год не давала покоя исследователям безопасности, каждый раз развеивая надежду о появлении абсолютно защищенного кода.

H.D. Moore – своего рода культовый персонаж в хакерской среде. Как исследователь и автор вредоносных модулей написал известное хакерское open-source приложение Metasploit Framework. В 2006 году обновил программу, наделил ее новыми возможностями, в частности автоматизировал использование для атак скриптов.  

Результаты исследований H.D. Moore были включены в небезызвестный публичный проект "Month of Browser Bugs", в ходе которого раскрылись серьезные уязвимости ядра во многих популярных программах, включая драйверы Wi-Fi, браузеры и поисковую систему Google.  

Хакеры восхищаются его принципами работы, зато продавцы ПО порицают за публичное раскрытие обнаруживаемых ошибок.  

На конференции Black Hat в Лас-Вегасе хакер Джон "Джонни Кэйч" Эллч (Jon "Johnny Cache" Ellch) объединился с исследователем SecureWorks Дэвидом Мэйнором (David Maynor), чтобы предупредить пользователей относительно уязвимостей при использовании беспроводных устройств. В результате были раскрыты многочисленные ошибки в продуктах Mac, которые Apple до сих пор не "разгребла". Исследователи безопасности по достоинству оценили проделанную работу. Одна из ошибок, раскрытая Эллчем и Мэйнором, стала отправной точной проекта "Month of Kernel Bugs". При сотрудничестве двух хакеров также были раскрыты программные ошибки в продуктах компаний Broadcom, D-Link и Toshiba.

Использование Sony BMG технологии из серии DRM (digital rights management) для защиты музыкальных дисков привело к практически легальному распространению вредоносных программ класса "rootkit". Обнаружение сего досаднейшего факта принадлежит Марку Рассиновичу (Mark Russinovich), с помощью которого произошло раскрытие случайной (или умышленной) ошибки Sony. Благодаря деятельности Рассиновича в 2006 году удалось привлечь внимание производителей антивирусного ПО к распространению rootkits.  

Замыкает пятерку специалистов польский исследователь Джоана Ратковска (Rutkowska), которая в 2006 году использовала Black Hat для демонстрации rootkits и malware. Ею был представлен механизм "Bleu Pill" – rookit, который "на 100% невозможно обнаружить" даже средствами защиты Windows Vista x64.

Также в 2006 году Рутковска определила "слабости", свойственные антивирусам, предупредила о неготовности операционных систем к технологии "железной" виртуализации и подтвердила опасения о malware как о наибольшей угрозе безопасности систем.

Источник: lenta.ru

Большое число пользователей почтового сервиса Gmail жалуются на мистическую пропажу с их аккаунтов всех сообщений. Впервые это событие получило огласку на сайте TechCrunch, где автор Майкл Аррингтон (Michael Arrington) сообщил, что говорить о Gmail как о совершенном сервисе пока еще рано. Там же было размещено первое сообщение с форума Google Groups, касающееся исчезновения содержимого электронных почтовых ящиков. 

"Я обнаружил свой аккаунт абсолютно пустым – ничего в папке Inbox, контактах и отправленных сообщениях. Как могла исчезнуть информация из разных папок?.. Как сообщить об этом техподдержке и восстановить данные?", - написал пользователь Gmail 19 декабря 2006 года. Как оказалось, большинство пострадавших пользовались браузером Firfox и обнаружили пропажу контента при открытии аккаунта через него. Некоторые пользователи получили следующее сообщение : "Это не ошибка. Все ваши контакты и сообщения были удалены преднамеренно. Это была атака, а не ошибка сервиса. Удачного дня!" 

Один из пользователей утверждает, что атакующими была использована уязвимость Firefox 2.0, которая была позже закрыта версией 2.0.0.1. Всего же в результате инцидента были "очищены" 60 аккаунтов пользователей. Google принесла официальные извинения пострадавшим и заявила о начале работ по выяснению причин случившегося. Удаленные послания и контакты Gmail, кстати, не подлежат восстановлению.

Источник: cnews.ru

Суд бразильского города Сан-Паулу постановил закрыть популярный сайт YouTube до того момента, пока с него не удалят компрометирующий пикантный видеоклип об отдыхе бразильской супермодели Даниэлы Чикарелли.

Неизвестный заснял бывшую жену бразильского футболиста Рональдо и ее нового друга, банкира Ренату Мальцони, на пляже в испанском Кадисе. Пятиминутный эротический видеоклип на протяжении четырех дней был самым популярным в Бразилии.

Узнав о появлении ролика в Интернете, молодые люди подали в суд на Globo Organizations, владеющего несколькими сайтами, портал IG и YouTube. Первые два удалили клип со своих сайтов, однако последний, по словам адвоката Чикарелли, отказался выполнить постановление суда, что и привело к решению о блокировании сервиса на территории Бразилии.

По словам представителя правительства страны, было бы "технически непрактично" блокировать доступ бразильских пользователе к YouTube. Сам скандальный ролик в настоящее время на указанном сервисе недоступен, но при этом видео продолжает распространяться по Интернету и появляться на других сайтах.

Источник: lenta.ru

Cisco Systems анонсировала планы покупки фирмы IronPort Systems примерно за 830 млн долл. деньгами и акциями. Это будет пятым по стоимости приобретением в истории Cisco и крупнейшим, совершенным ею в области компьютерной безопасности.

Кроме того, компания постарается обеспечить свой рост за счет предприятия, которое дополнит основную деятельность компании – производство роутеров и свичей для направления интернет-трафика. Как сказано в заявлении Cisco, пятое по величине приобретение в истории компании позволит ей предложить клиентам более широкий диапазон продукции. IronPort Systems имеет хорошую репутацию на рынке корпоративных пользователей и получила прозвище "фильтр репутации", производя при отсеивании спама детальный сбор и анализ сведений об отправителе, освобождая работников от необходимости тратить время на бесполезные сообщения.  

Аппаратное обеспечение IronPort, служащее для управления средствами защиты и обеспечения безопасности при работе с электронной почтой и Интернетом, войдет в состав решения Cisco Self-Defending Network, уже включающего технологию Network Admission Control. Аналитики прогнозируют, что приобретение Cisco даст компании возможность на равных соперничать в области фильтрации сообщений с таким гигантом, как Symantec

IronPort основана в 2000 г. и имеет 408 сотрудников. Cisco, на протяжении последних четырех лет использовавшая оборудование серии C этой фирмы для защиты электронной почты, рассчитывает что коллектив и технологии IronPort станут частью ее Security Technology Group под управлением вице-президента Ричарда Палмера (Richard Palmer).

 

Источник: cnews.ru

Брайан Кребс, обозреватель Washington Post, специализирующийся на освещении технологических и компьютерных тем, посчитал, что в прошлом году браузер Internet Explorer был уязвим в течение 284 дней.

В течение 284 дней (более 9 месяцев) эксплоиты для известных, неисправленных критических уязвимостей в Internet Explorer были доступы в Интернет.  Также в течение 98 дней отсутствовали исправления для уязвимостей, которые активно эксплуатировались сетевыми преступниками, чтобы украсть личные и финансовые данные пользователей.

При этом, как отмечает автор исследования, для браузера Mozilla Firefox, основного конкурента IE, в прошлом году наблюдалась принципиально иная картина - за весь год наблюдался лишь единственный подобный случай, когда в течение девяти дней существовал опубликованный в Интернете эксплоит, для которого не был выпущен патч. Однако следует отметить, что суммарно в Mozilla Firefox было обнаружено в 2 раза больше критических уязвимостей, чем в Internet Explorer.

В прошлом году было обнаружено 10 уязвимостей в IE, исправление к которым появились после того, как публично была опубликована информация об уязвимости.

Преступники, специализирующиеся в интернет-мошенничестве, получали большую часть своих доходов эксплуатируя уязвимости в браузере Internet Explorer в прошлом году.  В 2006 году компания Microsoft опубликовала 5 исправлений для 0day уязвимостей (уязвимости, о которых производитель узнал в момент их активной эксплуатации преступниками).

Источник: webplanet.ru

Ведущий журнала: dean777
e-mail: dj-dean777@mail.ru
ICQ: 865-810
Skype: dean-777

Портал: скоро будет