127 Paypal

Платежная система PayPal выплатила 3000 долларов за информацию, которая позволила устранить уязвимость работы с базой данных PayPal. Устраненная уязвимость позволяла проводить в отношении PayPal атаку типа SQL-инъекция, пишет cybersecurity.

Получателем вознаграждения стала компания Vulnerability Laboratory, которая впервые сообщила о критически опасном баге в PayPal еще в августе прошлого года, сейчас в этой компании говорят, что полностью проблема с базой данных была устранена в конце декабря, в свою очередь PayPal отмечает, что компания впервые выплачивала вознаграждение за помощь в поиске уязвимостей, связанных непосредственно с сайтом, а не с платежной платформой.

Компании говорят, что устраненная уязвимость позволяла атакующему выявить в коде emal пользователя, а также помогала выявить фильтры безопасности PayPal, при помощи которых можно было скомпрометировать бэкэнд-серверы и получить важную информацию о платежных операциях.

117 Java

Последняя стабильная версия Java для пользователей подвержена новой атаке, говорят независимые специалисты. По их словам, атака работает даже в том случае, если у пользователя выставлены максимальные настройки безопасности, а программное обеспечение полностью обновлено.

Напомним, что за последний месяц в Java уже были устранены две уязвимости "нулевого дня", однако по словам специалистов в Java по-прежнему есть проблемы с безопасностью. Сейчас эксперты говорят об уязвимостях в пакете Java 7 Update 10, выпущенном в декабре 2012 года.

По данным польской ИТ-компании Security Explorations, данная версия среды даже при максимальных настройках безопасности позволяет запускать злонамеренные Java-апплеты, представляющие опасность для компьютера, пишет cybersecurity.

102 Oracle

Компания Oracle выпустила обновление, закрывающее опасную уязвимость в программной платформе Java. Оно вышло через три дня после того, как эксперты подразделения министерства национальной безопасности США по противодействию киберугрозам (US-CERT) призвали пользователей отключить надстройку Java для браузеров ввиду опасности обнаруженной бреши.

Уязвимость использовала реальная троянская программа Mal/JavaJar-B, включенная в состав хакерских пакетов Blackhol и NuclearPack. Она атаковала системы на базе ОС Windows и Linux. Помимо уязвимости, о которой предупреждали специалисты US-CERT, обновление исправляет еще одну аналогичную ошибку в Java. Обе уязвимости позволяют злоумышленникам получить несанкционированный доступ к компьютеру, запустив на нем произвольный код.

Согласно заявлению компании, обновление меняет сам способ взаимодействия с апплетами: «применяемый по умолчанию уровень безопасности увеличен со «среднего» до «высокого». Это означает, что теперь каждый раз при запуске неподписанного Java-приложения будет запрашиваться санкция пользователя, сообщает anti-malware.ru.

Компания Microsoft опубликовала предварительное уведомление о том, что сегодня, 14 января, в 10:00 PST (22:00 мск), станет доступным обновление безопасности, которое устранит уязвимость нулевого дня в браузере Internet Explorer.

Ранее, 21 декабря неизвестные хакеры осуществили успешную атаку на сайт Совета по международным отношениям США (http://www.cfr.org) и разместили на его страницах эксплоит к ранее неизвестной уязвимости в Microsoft Internet Explorer. Впоследствии компания FireEye опубликовала в своем блоге анализ вредоносного ПО, которое использовалось злоумышленниками. Сотрудники Microsoft рекомендуют установить обновление безопасности в кратчайшие сроки.

«Обновление для Internet Explorer 6-8 будет доступным через Windows Update и остальные стандартные каналы распространения. Если у вас настроено автоматическое обновление, никаких действий предпринимать не требуется», - говориться в уведомлении производителя, пишет securitylab.

Уязвимости в программном обеспечении будут основной целью для киберпреступников в этом году. Луис Корронс, Технический директор PandaLabs, заявляет: «Несомненно, такой способ является предпочтительным способом незаметного заражения для нанесения ущерба компьютерным системам».

В 2012 году мы наблюдали, как Java, которая установлена на сотнях миллионов устройств, была неоднократно скомпрометирована и использовалась для активного заражения миллионов пользователей. На втором месте находится Adobe, а учитывая популярность его приложений (Acrobat Reader, Flash и другие) и его многочисленные бреши безопасности, он является одним из любимых инструментов для массового заражения пользователей, а также для целевых атак.

«Хотя может показаться, что домашние пользователи подвергаются наибольшему риску, помните, что обновление приложений, необходимых для защиты от подобного рода атак, является сложным процессом в компаниях, где обновления всех компьютеров должны быть скоординированы, – объясняет Луис Корронс. – В то же время, важно обеспечить корректную работу всех приложений, используемых в компании. Из-за этого процессы обновлений осуществляются достаточно медленно, в результате чего появляется «окно», которое используется для кражи информации в целом и запуска атак, нацеленных на поиск конфиденциальных данных».

384 Samsung

Участники авторитетного форума XDA Developers, посвященного мобильным устройствам, объявили о новом открытии. Пользователь под псевдонимом «alephzain» заявил, что обнаружил уязвимость сразу на нескольких аппаратах Samsung, причем она открывает приложениям доступ ко всей физической памяти устройства.

Опасность очень серьезная: злоумышленники могут использовать вредоносные приложения для уничтожения данных и превращения аппарата в бесполезный «кирпич». Другой, более вероятный сценарий, заключается в незаметном похищении секретных пользовательских данных, пишет soft.mail.ru.

Пользователь «Alephzain» сначала проверил наличие уязвимости на аппарате Samsung Galaxy S III, когда попытался получить Root-доступ. В дальнейшем оказалось, что аналогичные проблемы есть в аппаратах Samsung Galaxy S II, Samsung Galaxy Note II и Meizu MX. Строго говоря, проблема может проявить себя на любых аппаратах, использующих процессор Exynos (4210 и 4412) и код фирменного Android-ядра от Samsung.

Компания Samsung официально еще не отреагировала на сообщение об уязвимости

150 Opera

В обозревателе Opera 12.11 обнаружена уязвимость Write AV, которая проявляется при открытии GIF-файла и приводит к аварийному завершению работы браузера.

Теоретически, эту уязвимость браузера можно использовать для создания вредоносных эксплойтов, так что до исправления ошибки пользоваться этим браузером может быть небезопасно. Нужно заметить, что это уже не первая проблема с безопасностью в браузере Opera в последнее время. В начале октября 2012 года была обнаружена уязвимость Opera 12, которая позволяет с помощью картинки и специфических заголовков осуществлять редирект посетителя на другой сайт.

Атаке через эту уязвимость подверглись многие сайты Рунета, в том числе Rutracker, пишет xakep.ru.

176 Skype

В сервисе Skype обнаружили критическую уязвимость, которая позволяет взломать любой аккаунт. Для взлома необходимо знать только адрес электронной почты жертвы.

Схема взлома заключается в следующем: необходимо зарегистрировать новый логин Skype на e-mail жертвы (технически это возможно). После этого нужно войти в созданный аккаунт, удалить все файлы cookie и запросить восстановление пароля. После этого в окно Skype придет уведомление "Маркер пароля", в котором содержится ссылка.

Перейдя по этой ссылке, пользователь сможет выбрать, для какого логина Skype, зарегистрированного на данный адрес e-mail, он хочет сменить пароль. Среди этих логинов будет как тот, который пользователь только что зарегистрировал на чужой e-mail, так и логин владельца этой электронной почты. Таким образом, без доступа к чужому ящику и без знания старого пароля пароль своей жертвы можно поменять, сообщается в блоге "Хабрахабр".

119 facebook

В функции поиска Facebook обнаружена потенциальная брешь, позволяющая формировать пофамильные списки пользователей с указанными в социальной сети номерами мобильных телефонов.

Это становится возможным, поскольку мобильная версия Facebook не ограничивает количество операций поиска, которые можно выполнить в единицу времени, и требует обязательного ввода телефонного номера для включения некоторых функций социальной сети. При этом по умолчанию в настройках приватности "Кто может найти меня по номеру телефона"  указано "Все".

То есть, даже когда номер не виден в профиле, пользователя можно найти. Информация о потенциальной бреши безопасности в Facebook еще раз напоминает о поднятой экспертами eScan серьезной проблеме, связанной с безопасностью персональных данных в социальных сетях. Сегодня, пользуясь только той информацией, которую добровольно публикуют сами пользователи, можно достаточно быстро узнать множество данных о конкретном человеке, которые потом могут быть использованы и для неблаговидных целей.

Компания Mozilla убрала со своих серверов последнюю версию браузера Firefox. Тем, кто уже успел обновиться, разработчики советуют вернуться к предыдущей версии.

Как сообщили в Mozilla, в веб-обозревателе обнаружена опасная уязвимость, позволяющая злоумышленникам через специальный сайт получить доступ к списку ресурсов, на которые заходил пользователь. Разработчики уточнили, что не располагают информацией, успели ли злоумышленники воспользоваться уязвимостью. В настоящее время команда Mozilla работает над исправлением ошибки и выпуском соответствующего патча.

Компания eScan сообщила о том, что исследователи из MWR Labs наглядно продемонстрировали новую уязвимость мобильной платформы Android. Хакерская атака была произведена с использованием технологии «коммуникация ближнего поля» (Near Field Communication, NFC).

Через NFC-соединение специалистам MWR Labs удалось передать между двумя смартфонами Samsung Galaxy S III вредоносный файл, представляющий собой эксплойт нулевого дня. Самозапускающийся эксплойт позволил установить полный контроль над принимающим устройством. Хакер мог выполнить произвольный код и получил доступ к SMS-сообщениям, изображениям, контакт-листам и другой информации, хранящейся на смартфоне, говорится в сообщении eScan, передает safe.cnews.ru.

«NFC — технология бесконтактного обмена данными с малым (2-10 см) радиусом действия — становится всё более популярным методом платежей, легко превращая мобильное устройство в кредитную карту или электронный кошелек, — отметили в компании. — Для осуществления платежа через NFC нужно только поднести телефон к считывателю в турникете, киоске или просто в постере на стене».

81 Samsung

Компания Samsung оперативно исправила опасную уязвимость, характерную для устройств с фирменной оболочкой TouchWiz. Напомним, с помощью USSD-запроса злоумышленники могли вывести из строя смартфоны Galaxy S III, Galaxy Beam, S Advance, Galaxy Ace и Galaxy S II, удалив с них данные и испортив SIM-карту.

Дыра в безопасности имела отношение к аппаратам с прошивкой ниже версии 4.0.4. «Мы хотели бы заверить владельцев смартфонов в том, что проблема с безопасностью решена с помощью патча. Мы также просим установить последнюю версию прошивки», — прокомментировала ситуацию Samsung в отношении Galaxy S III. Пока неясно, обезопасила ли компания остальные устройства, пишет Onliner.by.

113 Samsung

Эксперт по информационной безопасности обнаружил в некоторых смартфонах Samsung серии Galaxy, включая флагман Galaxy S III, уязвимость, позволяющую хакерам удаленно уничтожать все данные на атакуемом устройстве. Уязвимость содержится в фирменной пользовательской оболочке TouchWiz, которая установлена на большинстве Android-смартфонов Samsung.

Эксперт Равви Боргаонкар написал специальный код, который при обработке в смартфоне автоматически провоцирует исполнение процедуры удаления всех данных с устройства и восстановления до заводских настроек, сообщил во вторник сайт The Next Web. Кроме того, код позволяет заблокировать SIM-карту, установленную в смартфоне жертвы.

Хакер может встроить такой код в любой веб-сайт, послать его жертве в SMS, закодировать в QR-коде или передать через NFC с помощью приложения для беспроводного обмена данными Android Beam — код начнет исполняться при загрузке зараженной страницы или файла. Случаев, когда хакеры использовали уязвимость в злонамеренных целях, не зафиксировано, пишет anti-malware.ru.

Поисковик "Яндекс" объявил о программе по поиску уязвимостей на веб-сервисах и в приложениях Яндекса для iOS и Android. Любой желающий может попробовать найти у них проблемы в безопасности и получить за это денежный приз. Он составит от 3 000 до 30 000 рублей в зависимости от серьезности обнаруженной уязвимости.

Принять участие в программе могут пользователи из любой страны. "Поле деятельности огромно. Искать уязвимости можно на сервисах Яндекса в доменах .yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net, yandex.st, .ya.ru, .moikrug.ru (кроме сервиса Народ). В список мобильных приложений вошли Яндекс.Карты, Навигатор, Музыка, Такси, Почта, Маркет, Метро, Фотки, Электрички и Диск. Яндекс уже привлекал к поиску уязвимостей своих пользователей", - говорится в сообщении компании.

В прошлом году был объявлен конкурс, который проходил в течение месяца. В нем приняли участие около полусотни человек, победители получили денежное вознаграждение.

121 Windows 8

Исследователи безопасности обнаружили изъян системы безопасности Windows 8, который позволяет установить на систему руткит. Итальянская консалтинговая компания ITSEC обнаружила брешь безопасности после анализа Unified Extensible Firmware Interface (UEFI), который в Windows 8 заменяет BIOS.

Как заявляют в компании, Microsoft портировала в UEFI многие элементы BIOS, в том числе загрузочную запись MBR. Старшему исследователю безопасности в ITSEC Андреа Аллиеви (Andrea Allievi) удалось сконструировать первый известный вирус, который поражает загрузочную запись в Windows 8.

Разработанный Аллиеви вирус может переписать в Windows 8 загрузчик UEFI и обойти все механизмы безопасности ОС, которые существуют на сегодняшний день. «Наш загрузчик подключился к механизму I/O в UEFI, и перехватил процесс загрузки ядра Windows 8, таким образом наш bootkit подменил ядро путем отключения функций безопасности, использованных Windows для предотвращения загрузки неподписанных драйверов», - пояснил Марко Джулиани, пишет SecurityLab.

Microsoft признала ошибку в работе браузера Internet Explorer, из-за которой компьютер пользователя может стать легкой добычей хакеров.

Ранее специалисты по безопасности обнаружили, что благодаря уязвимости в обозревателе у злоумышленника появляются те же права, что и у пользователя. Уязвимость обнаружена в Internet Explorer версий 7, 8 и 9 на всех поддерживаемых браузерами версиях ОС Windows.

Microsoft порекомендовала своим клиентам установить специальное ПО, которое временно сможет повысить безопасность системы. Утилита Enhanced Mitigation Experience Toolkit, затрудняющая использование уязвимостей для хакеров, доступна для скачивания на сайте техблога компании.

Microsoft не сообщила, сколько ей потребуется времени для выпуска обновления. Пользователи Internet Explorer должны загрузить утилиту EMET, установить ее на свой ПК, а затем вручную настроить систему для защиты данных. По мнению ряда экспертов, клиентам системы Windows лучше временно не использовать Internet Explorer, а работать с браузерами Google Chrome, Mozilla или Opera.

Поучаствовать в обсуждении этой новости можно в блоге Клерк.Ру.

115 Microsoft

По словам студента и разработчика программного обеспечения Надима Кобесси, операционная система Windows 8 содержит уязвимость, которая позволяет корпорации Microsoft отслеживать каждую установленную пользователем программу.

Кобесси отметил, что брешь присутствует в функции SmartScreen, которой оснащена новая операционная система. По словам эксперта, каждый раз, когда пользователь устанавливает новую программу или приложение, операционная система отправляет информацию об установленном продукте в Microsoft.

Этой информации достаточно для того, чтобы сотрудники компании идентифицировали приложение, а также для того, чтобы сопоставить полученные данные с IP-адресом пользователя и сформировать статистику о том, кто и какие приложения устанавливает. Кроме того, Кобесси отметил, что сервер, на который отправляется информация, использует небезопасный протокол SSLv2.

Пресс-секретарь Microsoft отметила, что компания не занимается формированием баз данных пользовательских IP-адресов. «Мы можем подтвердить, что, IP-адреса, необходимые для подключения к нашим сервисам периодически удаляются. Кроме того, мы принимаем все необходимые меры для того, чтобы защитить конфиденциальность пользователей. Что касается рисков использования небезопасного протокола SSL2.0, то операционная система Windows 8 не будет его использовать», - цитирует представителя securitylab.

29 Yahoo!

Интернет-компания Yahoo сообщила, что ее специалисты устранили уязвимости, которые ранее позволили хакерам украсть более 450 000 пользовательских логинов и паролей. Одновременно с этим, Yahoo представила больше информации о паролях, которые были скомпрометированы.

"Мы устранили уязвимости и развернули дополнительные меры безопасности, касающиеся пострадавших в результате утечки пользователей", - заявили в Yahoo. Также компания заявила, что предприняла некие дополнительные меры, направленные на оповещение пользователей и предотвращение подобных инцидентов в будущем.

В то же время, в Yahoo отказались сообщать какие-либо конкретные детали, касающиеся атаки, а также того, когда и кем она могла быть проведена, пишет cybersecurity.

Ссылки по теме:

Сайты по теме:

Yahoo!

137 Microsoft

Компания Microsoft опубликовала сообщение, в котором рекомендует ради обеспечения безопасности отказаться от использования гаджетов в Windows 7 и Vista.

По словам специалистов, мини-программы могут быть использованы злоумышленниками для запуска вредоносного кода в операционной системе, особенно если пользователь использует учетную запись с правами администратора.

При установке вредоносного гаджета хакеры могут использовать учетную запись пользователя с правами администратора для того, чтобы взять компьютер под свой полный контроль — производить любые операции с данными, устанавливать и удалять ПО и т. д., передает Onliner.by.

Ссылки по теме:

198 Windows

Корпорация Microsoft выпустила очередное ежемесячное исправление безопасности, в котором устраняются несколько уязвимостей в программных продуктах Windows, Office и Internet Explorer.

Среди прочих, Microsoft особенно обращает внимание на исправление для критической уязвимости в операционной системе Windows, при помощи которого потенциальные злоумышленники могут обманным путем вынудить пользователя запустить на компьютере специально сконструированный файл, открывающий несанкциоинрованный доступ к файловой системе компьютера.

В корпорации говорят, что особую опасность указанному багу придает то обстоятельство, что в интернете уже активно распространяется эксплоит для использования уязвимости. Как сообщили в корпорации пользователей могут вынудить обманным путем запустить вредоносный сайт с какого-либо сайта в виде ссылки, либо под видом офисного электронного документа, передает cybersecurity.ru.

Ссылки по теме: