122 dropbox

Облачный сервис Dropbox исправил уязвимость, позволявшую посторонним пользователям видеть ссылки на документы, которые им не предназначались.

«Баг» в Dropbox был связан со ссылками на загруженные на сервис файлы и документы. Такие ссылки пользователи могут генерировать автоматически нажатием одной кнопки. После того, как ссылка сгенерирована, ее можно отравить получателю, который, в свою очередь, может просмотреть в браузере предназначенный ему документ или скачать его.

Если в отправленном документе содержится внутренняя ссылка на какой-либо сторонний сайт, администратор этого сайта может при желании получить доступ ко всему отправленному через Dropbox файлу, пишет tjournal.ru.

144 ESET

Компания ESET представила отчет о наиболее активных угрозах апреля 2014 года.

В глобальном рейтинге угроз не произошло существенных изменений. Рост активности испытала троянская программа Win32/Bundpil, а также вредоносные элементы веб-страниц JS/Kryptik.I и HTML/ScrInject. Эти элементы используются злоумышленниками для перенаправления пользователя на мошеннические ресурсы и площадки, с которых производится установка вредоносного кода. В апреле отмечено появление новой 0day уязвимости CVE-2014-1776, которая присутствует во всех версиях браузера Internet Explorer 6-11 в операционных системах от Windows XP до Windows 8/8.1. Обнаруженный эксплойт для этой уязвимости нацелен на компрометацию IE версий 8-11.

Атакующие использовали специальным образом сформированную веб-страницу с JavaScript и объект Flash Player для создания необходимых условий эксплуатации этой use-after-free уязвимости в браузере (файл mshtml.dll). Антивирусные продукты ESET NOD32 детектируют этот эксплойт как Win32/Exploit.CVE-2014-1776. Корпорация Microsoft закрыла данную уязвимость внеплановым обновлением MS14-021, которое распространяется на все ОС, включая Windows XP.

Компания Digital Security сообщает о появлении критичной уязвимости в Apache Struts2, Java-фреймворке с открытым исходным кодом.

Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации. 24 апреля 2014 на китайских форумах появилось сообщение о 0-day-уязвимости в Apache Struts2. Основная ее опасность в том, что она может привести к отказу в обслуживании, а в некоторых условиях может вызвать произвольное выполнение кода.

Пользователям Apache Struts2 срочно необходимо обновить конфигурацию Struts, следуя официальному заявлению разработчиков по ссылке до выхода обновления, которое будет доступно в течение 72 часов.

Власти США и Великобритании посоветовали своим гражданам отказаться от использования браузера Internet Explorer в связи с обнаруженной в нем уязвимостью, передает РБК.

Впервые об уязвимости браузера стало известно 27 апреля, когда о нем сообщила группа компьютерной безопасности FireEye. Уязвимость связана с работой плагина Adobe Flash и позволяет хакерам устанавливать вредоносное программное обеспечение на компьютере.

Компания Symantec обнаружила брешь, которая касается браузера Internet Explorer. Данную уязвимость пока не устранили эксперты по безопасности из Microsoft. Проблема в том, что поддержка Windows XP прекратилась и патча для данной ОС ждать не стоит.

Пока создатели Windows выпустили только рекомендации по борьбе с проблемой, которая используется в небольшом количестве хакерских атак. Для бреши еще нет патча, а корпорация не сказала, когда состоится его релиз. Тесты фирмы Symantec подтвердили, что брешь ломает работу Internet Explorer на ОС Windows XP. Это первая подобная уязвимость для данной операционной системы, которую не станут устранять, пишет anti-malware.ru.

Microsoft выпустила уведомление безопасности, которое описывает уязвимость нулевого дня в браузере Internet Explorer ( CVE-2014-1776 ).

Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе с привилегиями пользователя, запустившего браузер. Согласно информации компании, уязвимость эксплуатируется злоумышленниками в настоящее время. Уязвимости подвержены все поддерживаемые версии браузера Internet Explorer: 6.x, 7.x, 8.x, 9.x, 10.x и 11.x, пишет securitylab.ru.

Как пишут американские СМИ, президент США Барак Обама разрешил Агентству национальной безопасности умалчивать об обнаружении уязвимостей в интернет-протоколах для того, чтобы агентство могло использовать их в собственных целях.

В большинстве случаев АНБ было предписано публично сообщать о найденных уязвимостях. Это помогало устранять "дыры" как можно скорее, чтобы никто не мог их использовать с целью шпионажа и для проведения кибератак.

Но Обама сделал исключение, разрешив сохранять уязвимости в тайне и использовать их для взлома каналов связи и разработки кибероружия, если эти уязвимости будут представлять «очевидный интерес для служб национальной безопасности и органов исполнительной власти», пишет CNews.

Эксперты в области безопасности призвали пользователей не паниковать из-за найденной в протоколе OpenSSL уязвимости — Heartbleed. По словам представителя Institution of Engineering and Technology, рекомендации постоянно менять пароли можно игнорировать до тех пор, пока интернет-сервисы не применят патчи, закрывающие уязвимость.

По мнению экспертов, Heartbleed является одной из самых серьезных уязвимостей в системе IT- безопасности, возникших за последние годы. Согласно ранее опубликованной информации, OpenSSL, обеспечивающий безопасность данных при их передаче, мог быть использован для перехвата личной информации.

По данным Google Security и компании Codenomicon, уязвимость в OpenSSL существует более двух лет, пишет Onliner.by.

Криптографический пакет OpenSSL содержит уязвимость, которая позволяет получать доступ к оперативной памяти компьютеров.

Уязвимость обнаружена в версии OpenSSL 1.0.1, которая вышла в марте 2012 года. Таким образом, в течение более чем двух лет злоумышленники имели возможность похищать информацию, используя данную брешь в безопасности, оставаясь при этом незамеченными. Воспользовались ли хакеры этой возможностью, неизвестно. На сегодняшний день уязвимая версия OpenSSL работает на многих почтовых серверах в интернете, веб-серверах Apache и Nginx, в программах для обмена сообщениями и так далее, пишет «Российская газета».

127 facebook

Владельцы американской соцсети Facebook в 2013 году заплатили хакерам и программистам около $1,5 млн за проведение независимых исследований.

Как отмечается, работа российских специалистов оказалась наиболее успешной. Они не отличились по количеству выявленных багов и ошибок в работе социальной сети, но добились значительных успехов в устранении наиболее серьезных и значимых уязвимостей, пишет runews24.ru.

276 Word

Microsoft исследует вновь обнаруженную уязвимость в Microsoft Word, позволяющую злоумышленнику удаленно исполнить на компьютере жертвы произвольный код.

Уязвимость (CVE-2014-1761) содержится во всех последних версиях популярного текстового редактора: Word 2013, Word 2010, Word 2007 и Microsoft Word 2003, а также в приложении Microsoft Word Viewer и в Microsoft Word, входящем в состав пакета Office for Mac 2011. Чтобы заразить систему, пользователю любой из указанных версий Word достаточно открыть RTF-файл со встроенным в него вредоносным кодом. RTF - это популярный кроссплатформенный формат хранения текстовых документов.

Для того чтобы избежать заражения, в Microsoft рекомендуют отключить просмотр документов в формате RTF в Microsoft Word и просматривать почтовые письма в простом текстовом виде, пишет CNews.

277 WhatsApp

Android-версия популярного мессенджера WhatsApp содержит в себе уязвимость, которая оставляет чат-истории открытыми для просмотра другими приложениями, установленными на смартфоне. Об этом говорится в блоге ИТ-консультанта Баса Бошерта.

Там он разместил демо-код, который позволяет потенциальному вредоносному приложению похищать историю чатов пользователя и передавать ее на удаленный сервер под управлением организатора атаки. Эксперт говорит, что передать можно файл, в котором содержатся данные чатов.

Дешифровать этот файл не составляет большого труда, говорит Бошерт. По его словам, программу-эксплоит можно встроить в какое-то привлекательное приложение, например, в игру, а затем эксплоит будет в фоновом режиме красть данные переписки по WhatsApp, пишет cybersecurity.ru.

343 Samsung

Разработчики открытой ОС Replicant (создана на базе Android) сообщили, что им удалось обнаружить опасную уязвимость, затрагивающую некоторые модели смартфонов Samsung из линейки Galaxy, а также планшеты компании. Брешь позволяет удаленно получить доступ к файловой системе уязвимого устройства.

В число подверженных угрозе моделей входят: Nexus S, Galaxy S, Galaxy S 2, Galaxy Note, Galaxy Nexus, Galaxy Tab 2, Galaxy SIII и Galaxy Note 2. При этом, по заверениям исследователей, этот список может быть дополнен при более детальном изучении проблемы. Уязвимость существует из-за ошибки в программном компоненте, предназначенном для обеспечения связи между ОС Android и радиомодемом, пишет securitylab.ru.

172 WhatsApp

Специалисты по информационной безопасности говорят о том, что в популярном мобильном мессенджере WhatsApp присутствует уязвимость, благодаря которой 450 млн пользователей потенциально могут стать жертвами шпионажа или хакеров. В консалтинговой компании Praetorian говорят, что в WhatsApp присутствуют несколько слабостей в реализации протокола криптографии.

Среди серьезных проблем мессенджера они называют метод, по которому WhatsApp использует технологию SSL 2.0. Данная версия подвержена ряду хорошо известных атак, которые позволяют отслеживать соединения между двумя конечными точками, а также дешифровать и в некоторых случаях манипулировать проходящим трафиком, пишет cybersecurity.ru.

185 Windows 8

Количество уязвимостей, обнаруженных в 2013 г. в операционных системах Windows 7 и Windows XP, вдвое превысило число «дыр», зарегистрированных в них в 2012 году, сообщает компания Secunia. Так, в минувшем году число уязвимостей в Windows 7 составило 102 против 50 в 2012 году, а в Windows XP - 99 против 49 годом ранее.

Однако самой «дырявой» из актуальных в 2013 г. систем оказалась Windows 8 со своими 156 уязвимостями. Эксперты Secunia отмечают, что такое количество «дыр» непосредственно связано с Flash Player, встроенным в браузер Internet Explorer. На этот плагин приходится 55 проблем безопасности из 156, обнаруженных в Windows 8, пишет CNews.

96 Apple

Apple выпустила обновление для OX Mavericks, устраняющее уязвимость в системе шифрования. Пользователи Mac должны установить его, как можно скорее, поскольку эксплоит для бреши уже появился в открытом доступе.

OS X 10.9.2 является первым обновлением с середины декабря прошлого года и устраняет 32 уязвимости в различных версиях OS X, в том числе шесть брешей в медиа-плеере QuickTime, и еще четыре, позволяющие обойти песочницу – специальную технологию, сводящую к минимуму ущерб от вредоносного ПО, пишет securitylab.ru.

158 Microsoft

Корпорация Microsoft подтвердила информацию об активных атаках и установке вредоносного программного обеспечения на компьютеры под управлением полностью обновленного интернет-браузера Internet Explorer 10.

Эксплоит нулевого дня обслуживался на сайте vfw.org, являющегося сайтом американской ассоциации Veterans of Foreign Wars. Впервые об опасности заявила секьюрити-компания FireEye. Здесь заявляли, что люди, стоящие за атакой, скомпрометировали сайт VFW и встроили в него вредоносный фрейм, который подгружал вредоносный контент со стороннего сервера.

В FireEye не идентифицировали сторонний сервер-вредонос, однако в израильской компании Seculert заявили, что этим сервером является alistatus.com, пишет cybersecurity.ru.

99 SAP

Разработчики компании SAP сообщили об устранении ряда опасных уязвимостей в своих мобильных продуктах.

При этом часть брешей была обнаружена российскими исследователями безопасности из Digital Security. По данным последней, подробное описание, раскрывающее технические детали данных уязвимостей, «вскоре будет доступно». Вместе с тем уже известно, что обнаруженные отечественными экспертами бреши, включали ошибку при обработке XML и отсутствие проверки авторизации.

При этом потенциальный злоумышленник мог получить доступ к важным данным, а также к некоторым функциям Message Server без авторизации, пишет securitylab.ru.

85 SAP

Компания Digital Security сообщает о множественных уязвимостях в мобильных приложениях SAP, связанных со здравоохранением. Это первый случай закрытия уязвимостей в мобильных приложениях SAP, найденных сторонней компанией.

Данные уязвимости были обнаружены в двух мобильных приложениях SAP Дмитрием Евдокимовым, директором исследовательского центра Digital Security. Среди них были такие, как неавторизованный доступ (Unauthorized access), вшитые в коде пароли (Hardcoded password for key store) и раскрытие критичной информации (Information Disclosure). Описание найденных уязвимостей было направлено SAP от имени ERPScan, дочерней международной компании Digital Security, в апреле этого года.

«SAP закрыл обозначенные „дыры“ недавно, выпустив обновление, присвоив ему номер SAP Note 1864518 в корпоративной классификации. Долгосрочные партнерские отношения с SAP и имеющиеся договоренности не позволяли нашей компании сообщить о найденных уязвимостях, пока они не будут закрыты», — говорится в сообщения.

Компания Positive Technologies опубликовала результаты своего ежегодного аналитического исследования, посвященного уязвимостям веб-приложений. В статистику попали недостатки безопасности, обнаруженные специалистами в 2012 году в сайтах крупнейших российских организаций из государственной и промышленной отраслей, сферы IТ и телекоммуникаций.

Предметом исследования стали 67 ресурсов, протестированных в ходе анализа защищенности. Большинство этих веб-приложений можно назвать критически важными: это порталы самообслуживания сотовых операторов, сайты электронного правительства, веб-решения для контроля и управления промышленными объектами и др.

Согласно полученным результатам, все исследованные веб-приложения содержат те или иные уязвимости, при этом в 45% рассмотренных систем обнаружены уязвимости высокой степени риска. Кроме того, 9 из 10 ресурсов содержат уязвимости среднего уровня риска, что близко к результатам прошлых двух лет.