День начался как и все остальные ничем не приметные дни. Придя на работу и выпив чашечку капучино от китайской кофе машины сел шерстить сайты. Вот напоровшись на одного из них, долго изучая исходный код наткнулся на разметку, характерную для широко известного WYSIWYG редактора — FCK. Кто хоть раз сталкивался с проблемами подобного рода редакторов наверняка хорошо его знают.

Собственно сам продукт ничем по себе не интересен и полезен только администраторам сайта, т.к. позволяет редактировать наглядно страницы на сайте. Но меня он заинтересовал с точки зрения — на сколько безопасно его внедрение в CMS, особенно в связи с тем что он обладает набором функционала по UPLOAD'у картинок на сайты.

И о чудо, разработчики CMS на ровном месте совершили сразу несколько критических ошибок, сразу предоставив доступ к выполнению исходного кода на сайте!

Итак, что они же натворили?

Доброго всем времени суток!

Недавно делая сайт на Yii обнаружили такую вот дыру в загрузке файлов на сервер с помощью CMultiFileUpload (за что отдельное спасибо Mx21): есть возможность взять файл с произвольным расширением, дописать в конец имени что-то вроде .jpg и потом залить на сервер виджетом CMultiFileUpload. Даже не смотря на то, что свойство 'accept' имеет, к примеру, значения 'jpeg|jpg|gif|png', т.е. не должно аплоадить ничего кроме такого рода картинок, происходило следующее: файл без проблем закачивался на сервер, причем .jpg в конечном файле обрезалось и на сервере оказывался исходный файл с тем расширением какое оно было до того как мы его переименовали.
Используемая нами версия фреймворка 1.1.8.

Лечится следующим образом:
В файле /framework/web/js/jquery.multifile.js нужно исправить строки 222-223:

          if(MultiFile.accept && v && !v.match(MultiFile.rxAccept))//{
            ERROR = MultiFile.STRING.denied.replace('$ext', String(v.match(/\.\w{1,4}$/gi)));

вернее заменить их на следующий код:

			var str=this.value;
			var pattern='\.';
			var pos = str.indexOf(pattern);
			for (var count = 0; pos != -1; count++)
				pos = str.indexOf(pattern, pos + pattern.length);
          
          
          if((MultiFile.accept && v && !v.match(MultiFile.rxAccept)) || count>1)//{
            ERROR = MultiFile.STRING.denied.replace('$ext', String(v.match(/\.\w{1,4}$/gi)));

Т.е. добавили проверку на количество точек в имени загружаемого файла, если более одной точки получаем сообщение об ошибке «Invalid file type».

Выполнение произвольного кода путём посылки специально сконструированного потока UDP-пакетов на закрытый порт.

Подвержены все 32 и 64 битные версии:
* Windows 7
* Windows Vista
* Server 2008 (в т.ч. R2)

Подробнее здесь: technet.microsoft.com/en-us/security/bulletin/ms11-083

По роду своей профессиональной деятельности мне часто приходится давать различного рода экспертные оценки для СМИ о кибер-атаках и безопасности компьютерных систем. Совсем недавно мне позвонили из «Голоса России» и попросили прокомментировать безопасность портала Госуслуги.рф.

Данный пост является критикой существующего подхода к обеспечению безопасности в современных операционных системах. Помимо критики будут предложены пути решения данных вопросов. Рассмотрен будет Linux, но думаю что ситуация настолько же плачевна в BSD и прочих Unix, включая MacOS, на Windows это тоже распространяется. Этот пост является выражением личного мнения, формировавшегося последние несколько лет пользования различными дистрибутивами Linux и Windows, Mac OS X.

Что мне собственно не нравится? А не нравится мне система пользователей. Она, конечно, лучше чем ничего, но очень слаба. Все ограничения, права и прочие штуки по безопасности происходят от того что мы не доверяем программному обеспечению: мы не доверяем браузерам, для которых есть эксплоиты, PDF вьюверам, не говоря уже о новом программном обеспечении полученном из недостоверного источника. Получено оно в бинарном виде или в исходниках не особо влияет на ситуацию. Скомпрометированная версия исходников программы тоже опасна.

Как и обещал, читатели хабра первыми узнают о появлении обновления:)

Буквально пару минут назад мы опубликовали обновление, закрывающее уязвимость во всех версиях Internet Explorer. Скачать можно обновление можно через Центр обновления Microsoft (Microsoft Update) или загрузить его вручную через Центр загрузки

Напоминаем, чтобы для повышения безопасности компьютера мы рекомендуем обновить ваш браузер до Internet Explorer 8.

ЗЫ И не отключайте автообновление в Windows, это позволит вам регулярно получать последние обновления безопасности

Узнать техническую информацию об узвимости можно здесь: www.microsoft.com/rus/technet/security/advisory/979352.mspx + информация на английском здесь: www.microsoft.com/technet/security/bulletin/ms10-002.mspx

Многие уже написали об уязвимости, наденной в большинстве версий Internet Explorer (раз пост на хабре, два пост).

Буквально пару минут назад мне пришла коммуникация из корпорации, в которой коллеги анонсируют выпуск обновления завтра в 21-00 по Москве (10 часов утра в Редмонде). Кроме закрытия уязвимости(о ней можно больше прочитать тут), о которой все так много говорят, в него войдут и другие важные обновления, касающиеся Internet Explorer.

О появлении заплатки можно будет узнать на хабре, в блоге корповой команды или же у меня в блоге.

Не забудьте загрузить обновления завтра!

И не забывайте, что атаки не затронули пользователей Internet Explorer 8, так что обновляйте ваши браузеры:)

Компания Microsoft поменяла своё первоначальное решение и объявила о выпуске внеочередного патча, закрывающего последнюю уязвимость в браузере IE. Патч появится в ближайшие дни.

Как известно, с помощью этой дыры была проведена недавняя атака на Google и сайты 33 других коммерческих компаний (операция «Аврора»). В прошлый четверг вредоносный код был опубликован в открытом доступе, а эксплойты для IE6 были включены в различные хакерские инструменты, включая Metasploit. Эксперты предупреждали, что аналогичные эксплойты скоро появятся и для IE7, и для IE8, но представители Microsoft недооценили угрозу и планировали включить патч только в плановое обновление безопасности, назначенное на 9 февраля. По этой причине и Германия, и Франция сочли необходимым предупредить пользователей об опасности и призвали отказаться от использования браузера Internet Explorer.

Эксплойт для IE7 под Windows Vista (при отключенном DEP [data execution prevention]) действительно появился на этой неделе, а даже есть сообщения об эксплойте для IE8 с включенным DEP (код пока не выложен в открытый доступ), так что Microsoft была вынуждена признать реальность угрозы и поменять планы по выпуску патчей.

Доброго времени суток, уважаемые.
Хочу поделится найденой мною дырой позволяющей слушать Ласт.Фмовское радио «практически» на шару:) Я весьма привязан к этому радио и спрыгивать из-за платности я не планировал. Заплатил разово за месяц… Прошло почти два, а еще слушаю:) Как? После перечисление денег я получил статус «подписчик», и этот статус не исчезает по исчерпыванию средств. Слушаю я радио через мою любимый фубарчик. Вот в нем все и дело. Музыка играет и скроблится, но проверяет только статус подписчика, а не наличие средств. Поэтому все пока работает. Я помню еще после введения платности перестало и грать только после того как я прослушал песенку через сайт. Вот этого делать нельзя! Вот и все. Всем удачи.

ЗЫ. Должно работать и с другими плейерами сторонних разработчиков.
ЗЗЫ. Недеюсь после моего топика эта лавочка не закроется:)

Думаю не все знают об этом баге в линейке Windows NT. А именно о коде C4C4, который ненадолго подвешивает систему систему (открываем HEX-редактор, вписываем код B8 13 00 CD 10 C4 C4 00 и сохраняем как *.com).
В общем, подобный батник может быть смертелен. Под XP у меня срабатывал (впрочем и под Windows 2000 тоже).