«БЕЗОПАСНЫЕ» НОВОСТИ

[Dmitry Paleev]

Программа: QIP 2005 8082, возможно другие версии.
Опасность: Средняя
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.
Уязвимость существует из-за ошибки при обработке ICQ сообщений. Удаленный пользователь может с помощью специально сформированного ICQ сообщения в RTF формате заставить приложение потреблять все доступные ресурсы процессора.
Решение: Способов устранения уязвимости не существует в настоящее время.

Источник

[Dmitry Paleev]

Как показывает многолетний опыт компании Positive Technologies по проведению работ по тестированию на проникновение и аудитов информационной безопасности - уязвимости в Web-приложениях по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Другие часто встречающиеся проблемы - это низкая осведомленность сотрудников в вопросах ИБ, слабая парольная политика или повсеместное ее несоблюдение, недостатки в процессах управления обновлениями ПО, использование небезопасных конфигураций, и как это может показаться парадоксальным, не эффективное межсетевое разграничение доступа.

Данная публикация содержит обзорную статистику уязвимостей Web-приложений, полученную из двух источников:

• В ходе работ по тестированию на проникновение, аудитов безопасности и других работ, выполненных экспертами компании Positive Technologies в 2008 году.
• По итогам повышения безопасности сайтов клиентов Хостинг-Центра РБК в рамках услуги "Проверка Безопасности Сайта", осуществляемая на основе системы MaxPatrol (модуль Pentest) компании Positive Technologies.

Всего в статистике участвуют данные о 10459 Web-приложениях. Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.

Источник

[Dmitry Paleev]

19 февраля компания Adobe выпустила бюллетень безопасности APSA09-01, в котором сообщила о наличии уязвимости в ее продуктах Adobe Reader и Acrobat в версиях 8.x и 9.x. Уязвимость активно эксплуатируется злоумышленниками в настоящее время.

По данным Shadowserver, эксплоит использует уязвимость в функции, не относящейся к JavaScript, хотя злоумышленники используют JavaScript для подготовки динамической памяти к эксплуатации (heap spray). Эксплоит успешно работает на версиях 8.1.1, 8.1.2, 8.1.3 и 9.0.0.

Отключение JavaScript не устранит уязвимость, но позволит предотвратить выполнение произвольного кода.

Для отключения JavaScript следует выполнить следующие действия:
Edit->Preferences->JavaScript и снять галочку с пункта «Enable Acrobat JavaScript»

Производитель планирует выпустить исправление к уязвимости 11 марта 2009 года.

О наличии эксплоита известно с 12 февраля – это Trojan.Pidief.E (по версии Symantec) или TROJ_PIDIEF.IN (Trend Micro).

UZ-CERT рекомендует пользователям отключить использование JavaScript, не открывать PDF документы неизвестного происхождения и не посещать потенциально опасные сайты.

[Dmitry Paleev]

Выпущенные Microsoft обновления (MS08-065, MS08-067 и MS09-001) устраняют уязвимости в службах Server и Message Queuing, успешная эксплуатация которых может позволить злоумышленнику скомпрометировать целевую систему. Уязвимость MS08-067 активно эксплуатируется злоумышленниками в настоящее время. Самым известным червем для этой уязвимости является Conficker/Downadup в различных его реализациях.

Компания Positive Technologies выпустила сетевую утилиту для проверки наличия исправлений, описанных в бюллетенях безопасности MS08-065, MS08-067 и MS09-001. Утилита работает в режиме «pentest», что позволяет без наличия прав администратора идентифицировать узлы, «выпавшие» из процесса управления обновлениями безопасности.



С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.

Загрузить утилиту можно по следующему адресу:
http://www.ptsecurity.ru/freeware.asp

[Dmitry Paleev]

Около трети всех пользователей используют всего один пароль для доступа почти ко всем своим учетным записям на компьютерах, в социальных сетях, почтовых ящиках и др. Об этом свидетельствуют результаты опроса, проведенного компанией Sophos. Также опрос показал наличие более чем 33% пользователей с одним паролем.
Всего 19% пользователей никогда не используют один и тот же пароль дважды.

"Три года назад 41% пользователей использовали один и тот же пароль. Лишь 8% пользователей используют по-настоящему сложные пароли, которые невозможно подобрать простым перебором", - отмечают специалисты Sophos.

По словам старшего технического консультанта Sophos Грэгема Клули, хотя за три года определенные изменения и произошли, пока они явно недостаточны. Слишком много пользователей используют чрезвычайно простые пароли для всех своих учетных записей. Также следует отметить, что за последние три года у пользователей стало гораздо больше учетных записей, выросло и число хакеров, постоянно охотящихся за чужой информацией".

[Dmitry Paleev]

Mozilla в течение прошлого года сообщала о большем количестве различных уязвимостей в своем браузере Firefox, чем было найдено в Internet explorer, safari и Opera вместе взятых. Однако Mozilla также и быстрее устраняла эти уязвимости, говорится в новом исследовании компании Secunia.

В течение 2008 года в Firefox было обнаружено 115 уязвимостей, что почти в четыре раза больше, чем в любом другом популярном браузере, и почти в два раза больше, чем в продуктах Microsoft и Apple вместе взятых. Например, Microsoft в течение прошлого года сообщила о 31 уязвимости в Internet Explorer, Apple — о 32 в Safari, а Opera — о 30 в своем браузере.

Но специалисты Secunia отмечают, что Mozilla по сравнению с Microsoft намного быстрее устраняла уязвимости, о которых сообщала публично. Уязвимости «нулевого дня» раскрывают различную информацию, которая может быть использована хакерами для создания эксплоитов. Таким образом, чем больше времени у разработчиков браузера занимает выпуск очередного патча, тем дольше пользователи рискуют безопасностью своей системы.

Secunia сообщает о шести случаях, когда Microsoft публично сообщила о таких уязвимостях, причем опасность двух из них была определена как «высокая» или «умеренно высокая». В то же время, у Mozilla было три подобных случая, однако опасность всех уязвимостей была «менее критической» или «некритической» по версии Secunia.

Для выпуска патчей, закрывающих две наиболее серьезные уязвимости, Microsoft понадобилось 110 дней, тогда как Mozilla разобралась со своими тремя уязвимостями за 43 дня. При этом одна из достаточно серьезных уязвимостей Internet Explorer оставалась открытой 294 дня в течение 2008 г.

[Dmitry Paleev]

Компания Positive Technologies и специализированный портал в области информационной безопасности SecurityLab.ru анонсируют концепцию экпресс-сканера безопасности Webspider.

Webspider – это инструмент, позволяющий за считанные секунды проанализировать защищенность наиболее часто используемых злоумышленниками программных продуктов. Система ориентирована на экпресс-тестирование защищенности пользователей Internet- и Intranet- приложений, систем электронной коммерции и клиентов Интернет-провайдеров.

Текущая версия способна определить наличие уязвимости в популярных ActiveX компонентах и плагинах, браузерах Mozilla Firefox, Opera, приложениях Java и Adobe Flash, а также наличие на системе исправлений MS07-042, MS08-069 и MS09-002.

Одним из базовых механизмов средств анализа защищенности являются так называемые "баннерные проверки", сопоставляющие версию ПО со списком уязвимостей. Данный механизм легко реализуем с помощью AJAX и может быть использован для проверки ПО, механизм обновления которого основан на изменении версии.

Для того, чтобы пройти тест, необходимо перейти по ссылке:
http://www.securitylab.ru/addons/web...fast_check.php

[Dmitry Paleev]

Исследователи из DroneBL несколько недель назад, борясь с нацеленной на их сервис DDoS-атакой, наткнулись на необычный ботнет.Тщательно изучив ботнет, исследователи пришли к выводу, что червь под названием psyb0t захватывает исключительно роутеры и DSL-модемы, при этом игнорируя обычные компьютеры.

Заражению подвержены любые маршрутизаторы на базе Linux/MIPS, доступ к администрированию которых производится через службы SSHd или telnetd, при условии, что сами устройства находятся в демилитаризованной зоне DMZ.

Как выяснилось, первые упоминания об этой вредоносной программе появились ещё в декабре прошлого года. Тогда речь шла только об ADSL-модемах Netcomm NB5 и аналогичных аппаратах, а для захвата управления над ними червь использовал значения логина и пароля по умолчанию. При этом уязвимость, которой пользовался тогда psyb0t, существует только в определённой версии прошивки устройства, и в более поздних версиях уже устранена.

Однако, специалисты из DroneBL имели дело с более поздней версией червя, которая для взлома маршрутизаторов использовала перебор пар логин-пароль по списку. Кроме того, раньше не было замечено, чтобы зомби-роутеры получали какие-либо инструкции из координирующего центра, хотя такая возможность и была предусмотрена посредством одного из IRC-каналов. Однако специалисты DroneBL считали, что ботнет использовался для проведения распределённой DoS-атаки на их серверы.

После того, как в блоге DroneBL появилось подробное описание червя, поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Вирусописатель уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.

Пока точно неизвестно, действительно ли автор червя, некий DRS, решил прекратить работу над червем. Поэтому специалисты DroneBL предлагают немедленно принять меры по лечению зараженных роутеров. Для этого устройство следует сбросить к установкам по умолчанию, установить на него последнюю версию прошивки и защитить каким-нибудь устойчивым к подбору паролем.

[Dmitry Paleev]

Компания «Доктор Веб» представила обзор вирусной активности в марте 2009 года. В прошедшем месяце было отмечено большое количество новых случаев мошенничества с использованием вредоносных программ. Бот-сети продолжили своё качественное развитие, их авторы стали применять более агрессивные методы их распространения и эксплуатации, а количество заражённых компьютеров-ботов продолжает стремительно увеличиваться. В тематике спама преобладает реклама самих массовых рассылок писем.

Подробнее

[Dmitry Paleev]

Компания Panda Security подвела итоги анализа ситуации с безопасностью в Интернете в первом квартале текущего года.
Согласно представленным данным, самыми распространенными типами вредоносного интернет-ПО продолжают оставаться трояны и рекламные модули. Так, доля первых в общих показателях инфицирований в период с января по март включительно составила почти 32%, а на приложения, демонстрирующие рекламу, пришлось около 21%. Тем не менее, одной из главных тенденций, отмеченных в отчете, является рост количества программ-шпионов, доля которых за первые три месяца нынешнего года увеличилась с 2,5% (данные по четвертому кварталу 2008 года) до 13,15%.

“За первый квартал 2009 года мы наблюдали существенный рост общего количества программ-шпионов, целью которых, возможно, является «загрузка» антивирусных лабораторий и дальнейшее заражение огромного количества пользователей”, - говорит Луис Корронс, технический директор PandaLabs.

В некоторых случаях, кибер-преступники были успешны, как, например, в случае со шпионской программой Virtumonde, которая заразила больше компьютеров, чем любой другой вредоносный код в первом квартале 2009 года. Эта вредоносная программа сочетает в себе элементы рекламного ПО и программы-шпиона, которая отслеживает Интернет-активность пользователей, подделывая результаты поисковиков, отображая рекламные баннеры, всплывающие окна и прочее.

Подробнее