uinC NewsLetter #01, 2005


Приветствуем!

Новости из Security Мира

3/01/2005 10:29 Commodore продали американцам
Голландской компании Tulip, пообещавшей несколько лет назад вернуть к жизни торговую марку Commodore, удалось сбагрить эту слишком уж тяжелую ношу американской конторе Yeahronimo Media Ventures. Цена сделки, как пишет The Register, составила всего 24 миллиона евро. Любопытно, что всего полгода назад Tulip начала поставки свежей модели C64 Direct-to-TV, уповая в своих планах на шестимиллионную базу "лояльных" поклонников торговой марки Commodore. Компьютер, внешне напоминающий обычный джойстик с встроенным эмулятором CBM64, должен был стать первой ласточкой "в целой серии развлекательных продуктов, использующих имя и эмблему Commodore". Возможно, что генеалогическое древо почтенного лейбла еще действительно сможет дать пару-тройку отростков, но уже ясно, что произойдет это уже без участия Tulip.
Internet.Ru

3/01/2005 11:37 Россия обсуждает присоединение к европейской конвенции по киберпреступности
Федеральное агентство по печати и массовым коммуникациям провело в Москве конференцию, посвященную присоединению России к европейской конвенции по киберпреступности. В конференции приняли представители МВД и ФСБ России, Правительства Москвы, компании IBM и других организаций. Участники предлагают оценить риски, связанные с киберпреступностью и определить меры противодействия. Как сообщает Reuters в 2004 году наиболее часто в спамовых рассылках рекламировалось лекарство от артрита, поддельные удостоверения личности и информация фондовых рынков. Реклама порнографии уступила лидирующее положение. Провайдеры активно развивают фильтрацию спама, а спам порнографического содержания фильтры отсекают достаточно эффективно.
Crime-research.Ru

3/01/2005 12:22 За шпионские программы будут штрафовать
С начала нового года в Калифорнии вступил в силу закон, определяющий ответственность для изготовителей программ, тайно собирающих информацию о том, что делают пользователи компьютеров у себя дома. Подобные программы, получившие название spyware, используются и коммерческими компаниями, и злоумышленниками. Этот закон предполагает суровые штрафы для разработчиков математического обеспечения, отсылающего своим авторам данные о работе компьютера, установленных программах, интернет-привычках и иногда даже паролях и банковских данных пользователя. Эксперты считают, что подобного рода слежка будет одной из главных угроз компьютерной безопасности в наступившем году. Недавнее исследование, проведенное компаниями Earthlink и Webroot обнаружило, что 9 из 10 компьютеров заражены такими программами. В среднем на каждом обследованном компьютере содержалось 28 программ spyware. Чем дальше, тем изощреннее становится подобный шпионаж. Spyware может маскировать себя под вполне легальные программы, менять конфигурацию, "зарываться" вглубь программных папок. Часто отследить и удалить такое обеспечение почти невозможно. Конгресс США обсуждает законы о борьбе со spyware уже давно, однако Калифорния решила действовать первой. Закон штата "О защите потребителя от Spyware" запрещает установку программ, которые контролируют деятельность удаленного компьютера. Он также обязывает компании и руководство интернет-сайтов сообщить, используют ли они какие-либо приложения, занимающиеся сбором информации.
BBC

3/01/2005 12:49 Книга "Knowing Knoppix"
Как сообщает linux.org.ru, 30 декабря вышла книга на английском (формат PDF 128 страниц) "Knowing Knoppix" для новичков Linux. Обсуждается процесс восстановления файлов на Windows-PC, работа с различными приложениями. Книгу начали писать во времена версии 3.3.
Скачать

3/01/2005 13:46 Датчане придумали пиво в открытых исходниках
Как сообщает журнал Ingenioren, группа студентов из технического университета в Копенгагене (Дания) разработала пиво в открытых исходниках, получившее название Vores Ol. Напиток описывается студентами как «первое в мире open-source пиво». В его основу заложены классические традиции пивоварения, но с добавлением гуараны для получения естественного прилива энергии при употреблении. «Версия 1.0 — пиво средней крепкости (6%) с темным золотисто-красным цветом и оригинальным, но знакомым вкусом». Рецепт и сам сорт пива опубликован под лицензией Creative Commons License, что дает каждому право использовать его по назначению и создавать производные от оригинала сорта, но при условии публикации нового рецепта под той же лицензией со ссылкой на источник.
Nixp.Ru

4/01/2005 10:46 Обход защиты во многих фаерволах (protection bypass)
Большинство персональных фаерволов не требуя пароля по умолчанию позволяют пользователю, либо программе производить управляющие действия - настройки фаерволла, включение/отключение правил и т.д. Программа, эмулируя нажатия кнопок и клики мышью может управлять фаерволлом без ведома пользователя. Фактически, любой троян, или червь, в котором реализована данная функция, может легко обойти персональный фаервол. Уязвимые продукты: ZoneAlarm / ZoneAlarm Pro (версия 4.5.538.001 и младше), Kerio (все версии), Agnitium Outpost Firewall (все версии), Kaspersky Anti-Hacker (все версии), Look 'n' Stop (все версии), Norton Personal Firewall (все версии), Panda Platinum Internet Security (все версии), Omniquad Personal Firewall (все версии). Производители были уведомлены 28.08.2004, но уязвимость исправлена только в ZoneAlarm / ZoneAlarm Pro (версии 5 и выше). Как пишет автор уязвимости (Ferruh Mavituna) уязвимости, исследованные им, подобны тем, о которых писали наши соотечественники ЗАРАЗА и offtoppic (им дано название shattering attacks), одко используются другие методы, названные автором - Sending Key Method and Mouse Control. Выпущены образцы эксплоитов на VBS и VB.NET.
Подробности
Подобные исследования проводил уважаемый 3APA3A из security.nnov.ru
Подробности

4/01/2005 11:23 Обратный путь в каталогах при загруке файла в Microsoft Internet Explorer (directory traversal)
При загрузке файла с FTP-сервера не проверяется имя файла на наличие в нем "../", следовательно, злонамеренный FTP-сервер может изменить имя файла таким образом, что файл окажется в любом месте (например в "C:Documents and settingsAll UsersStartMenuProgramsStart"). Хотя Internet Explorer и показывает полностью имя файла с символами "../", может возникнуть ситуация, при которой пользователь не обратит внимания на это.
Источник

4/01/2005 12:03 СПАМ - "Грязная дюжина 2004"
Компания Sophos обнародовала "Грязную дюжину 2004" ("Dirty Dozen") – список стран, являющихся ведущими "производителями" спама – незапрашиваемой электронной почты. России в этом хит-параде нет, а первое место занимает Америка. Старший аналитик Sophos Грегг Масторас считает, что спамерское лидерство США объясняется "несовершенным законодательством и отсутствием интереса среди агентств, которые должны преследовать спамеров". Консультант фирмы Грэхем Клюли отметил, что за 40% мирового спама ответственны так называемые компьютеры-зомби. Это машины ни в чем не повинных пользователей, которые используются хакерами или вирусописателями для рассылки спама.
"Грязная дюжина 2004":
1. Соединенные Штаты – 42,11%
2. Южная Корея – 13,43%
3. Китай (включая Гонконг) – 8,44%
4. Канада – 5,71%
5. Бразилия – 3,34%
6. Япония – 2,57%
7. Франция – 1,37%
8. Испания – 1,18%
9. Великобритания – 1,13%
10. Германия – 1,03%
11. Тайвань – 1,00%
12. Мексика – 0,89%
Остальные страны – 17,8%
Crime-Research.Ru

4/01/2005 13:27 Internet Explorer уже потерял 30% рынка браузеров
Под таким заглавием появилась статья на lockergnome.com заявление основывается на собственной статистике masternewmedia.org более 600,000 посетителей из 180 стран(10 web сайтов, 200000 уникальных пользователей, 500000 просмотров за месяц), Internet Explorer контролирует немногим более 70% рынка браузеров, когда только 12 месяцев назад у него было 91%. Разумеется, необходимо учитывать несколько факторов. Во-первых, насколько популярен сам сайт, чтобы на основании его строить среднестатические данные. Во-вторых, есть достаточно много ПО, которое позволяет изменять заголовок используемого типа браузера (как пример, та же Mozilla и Opera).
Подробности

4/01/2005 14:26 Apple представит новый офис — iWork '05
По сообщению Think Secret, на грядущей конференции Macworld Expo компания Apple представит свой новый офисный набор iWork '05. В программное обеспечение, получившее кодовое название «Sugar», войдет Keynote 2 и новое приложение Pages. Пока еще точно не известно, будет ли Pages только текстовым процессором или сможет работать и с электронными таблицами. Разговоры о iWork, позже названном iWorks, который призван стать наследником AppleWorks, впервые появились почти два года назад, но до сих пор пользователям работать приходилось с AppleWorks 6, представленным Стивом Джобсом (Steve Jobs) на конференции Macworld Expo в Сан-Франциско еще в далеком 2000 году.
Из требований, предъявляемых iWork '05, указывается процессор в 500 МГц и Mac OS X 10.3.6
Nixp.Ru

5/01/2005 20:49 Множественные уязвимости в 3com 3CDaemon
3CDaemon - бесплатная популярная TFTP, FTP и Syslog программа для Win32 платформ оказалась подвержена отказу в обслуживании, переполнению буфера, неверной обработке имени пользователя и командной строки, раскрытию закрытой информации (локальный путь). Производитель извещен, реакции пока не последовало.
Подробности

5/01/2005 21:37 Опубликован эксплоит MyBB SQL Injection (member.php)
Используя SQL-инъекцию в параметре uid файла member.php можно получить хэш пароля администратора, затем, отредактировав cookie, получить доступ к администраторской панели.
Подробности

5/01/2005 22:07 Ожидается скорое появление червя, использующего уязвимость WINS
Всем системным администраторам, еще не успевшим залатать дыры в серверном ПО и на клиентских местах рекомендуется срочно обновиться. На этот раз софтверный гигант среагировал как никогда быстро, в рекордные сроки выпустив критическое обновление. Как сообщает zdnet.co.uk со ссылкой на SANS, зарегистрирована повышенная активность в исследовании данной уязвимости. Невовремя обновившиеся системы очень сильно рискуют.
Zdnet.co.uk

6/01/2005 09:40 Сотрудник КГБ Белоруссии заплатил 1000 долларов за сводничество в Интернете
Сотрудник центрального аппарата КГБ Белоруссии был осужден за сводничество в сети Интернет. Об этом "Интерфаксу" в среду сообщил неназванный источник в правоохранительных органах страны. По его словам, лейтенант белорусской спецслужбы, который являлся сотрудником подразделения, занимающегося обеспечением информационной безопасности страны, прикрываясь служебным положением, предложил двум проституткам разместить в Сети рекламные объявления своих услуг. Как рассказали информагентству в правоохранительных органах Белоруссии, "получив согласие проституток, лейтенант разместил эти объявления на различных сайтах знакомств и порностраницах". Когда об этом стало известно, сотрудник КГБ был немедленно уволен со службы, а белорусский суд приговорил его к штрафу в размере 100 базовых величин - более 1000 долларов США.
"Интерфакс"

6/01/2005 10:09 Cерия уязвимостей в IBM DB2
Английская компания NGSSoftware, периодически обнаруживающая уязвимости в различном ПО на сей раз сообщила о целом букете уязвимости в СУБД DB2 от IBM. Их насчитывается 9 штук (в различных компонентах и библиотеках этой СУБД). IBM, после сообщения об уязвимости, был выпущен патч (фикспак) для различных версий DB2 (v8.1 и v7.x). Как сообщает компания для проверки наличия уязвимостей в сервере DB2 ей была выпущена специальная утилита под названием NGSSQuirreL for DB2.
Подробности

6/01/2005 10:57 Документ о примерах атаки SQL Injection
Stephen J Friedl, консультант по безопасности Tustin (Калифорния, США) написал довольно полезный и любопытный документ под названием "SQL Injection Attacks by Example", посвящённый, как следует из названия, описанию различных атак с применением технологии внедрения SQL.
Статья

6/01/2005 11:05 Хакеры на службе террористов
Арестованный итальянской полицией хакер подозревается в финансировании террористов анархистского толка. Андреа Куомо был арестован в среду в курортном городке Римини на побережье Адриатического моря. Как сообщило агентство Адн Кроносо, полиция давно следила за 38-летним компьютерным экспертом, подозревая, что он не просто консультирует различные банки в сфере информационных сетей, но при этом занимается хакерством с целью наживы. Подозрения подтвердились после того, как полицейский агент, выдав себя за потенциального клиента, убедился, что Куомо легко преодолевает защиту банковской электронной сети и без проблем перемещает деньги со счета на счет. Компьютерщика арестовали, и при обыске у него нашли доказательства того, что он давно и успешно "раздевал" некоторые кредитные учреждения, снимая деньги с чужих счетов, в том числе и через банкоматы. Но кроме доказательств "электронного мошенничества" полиция обнаружила в доме у Кумомо и кое-что посерьезнее. А именно - химреактивы, которые используются для производства взрывчатых веществ и скачанные из Интернета "учебники" по производству бомб. Учитывая, что там же нашли и пропагандистскую литературу организаций "революционных анархистов", которые в последние годы "отметились" в различных районах страны серией терактов, полиция сейчас пытается выяснить, в какой мере арестованный хакер мог принимать участие в этой преступной деятельности, и не занимался ли он "электронными кражами" для ее финансирования.
РИА "Новости"

6/01/2005 11:21 Хактивизм – глобализация в Интернете
В настоящее время практически любой политический конфликт, затрагивающий интересы нескольких стран или непримиримо настроенных друг к другу политических сил, порождает всплеск активности хакеров. В сентябре 2001 года американские хакеры устроили настоящую войну против арабского Интернета: на следующий день после терактов было совершено огромное количество компьютерных атак на серверы провайдеров и крупные информационные сайты Пакистана, Палестины, Саудовской Аравии и других арабских стран. Наиболее удачной и известной антитеррористической акцией российских хакеров был взлом в августе 2001 года сайта Taleban.Com – на главной странице сайта взломщик написал проклятия не только в адрес самого движения "Талибан", но и в адрес всех наиболее известных чеченских полевых командиров. Настоящий киберджихад за Кашмир ведут друг против друга хакеры Пакистана и Индии. Имеет место и еще один киберконфликт – между хакерами материкового Китая и Тайваня. В киберпространстве постепенно сложилось целое движение, аналогичное движению антиглобалистов в офлайне. Хакеры-антиглобалисты предпочитают атаковать сайты либо крупных транснациональных компаний, либо правительственных структур, в первую очередь Пентагона. Свою лепту вносят и идеологически подкованные хакеры. В отличие от своих криминально либо вандалистски настроенных коллег эти компьютерные асы (например, движение «Хактивист») свою деятельность ведут в виде диверсий против транснациональных компаний. Это может быть взлом официальных сайтов компаний, размещение на них антиглобалистской пропаганды. Так, во время одного из форумов в Давосе были легализованы номера кредитных карточек всех его участников, включая Билла Клинтона и Билла Гейтса (последнего, несмотря на его широкую благотворительную кампанию, хакеры-антиглобалисты не любят и всячески стараются ему навредить).
Более подробно

6/01/2005 11:56 Бесконтрольный доступ к интернету мешает воспитательной и идеологической работе
Такое мнение выразила заместитель министра образования Беларуси Татьяна Ковалева на последней коллегии Министерства образования прошлого года. Чиновницу беспокоит тот факт, что молодежь практически не читает общеполитических газет и периодики, отдавая предпочтение сугубо профессиональным изданиям и интернету, сообщает газета "Рэспублiка". На взгляд Т.Ковалевой, бесконтрольный доступ к интернету явно не идет на пользу воспитательной и идеологической работе. Если в вузах можно проконтролировать общение студентов со всемирной паутиной, то в общежитиях, где владельцами компьютерных клубов являются коммерческие структуры, сделать это достаточно сложно. Поэтому, по мнению замминистра, правильнее было бы заменить коммерсантов на образовательных провайдеров. Продолжим рассуждения пользуясь логикой госпожи Ковалевой и предположим, что контроль за интернет-пользователями в жилых помещениях можно возложить на ЖЭСы, а в больницах и на транспорте на Министерство здравоохранения и Министерство транспорта соответственно.
SecurityLab

6/01/2005 12:55 VisiFone: VoIP добирается до домашних телефонов
В рамках выставки CES 2005 компании Texas Instruments и Viseon объявили о совместной разработке так называемого Digital Home Telephone, то есть, домашнего цифрового телефона VisiFone, основной особенностью которого можно считать поддержку интернет-телефонии - Voice over Internet Protocol (VoIP). Предполагается, что с помощью VisiFone можно будет осуществлять VoIP звонки, в том числе, в режиме видеотелефона. В основе новинки - разработанный в TI специальный интегрированный VoIP-процессор TNETV1050 на базе DSP-ядра TMS320DM64x. Пока-что VisiFone демонстрируется, если не ошибаюсь, всего лишь в виде образца. Однако уже объявлено о том, что VisiFone будет первоначально предлагаться провайдером Vonage на территории США.
Mobile-Review

7/01/2005 09:02 Гейтс открыл выставку новейшей электроники
В Лас-Вегасе открылась ежегодная выставка потребительской электроники Consumer Electronics Show, на которой будут представлены новые телевизоры, игровые приставки, плоские экраны, а также технологии хранения и воспроизведения цифрового видео и аудио. Всего посетители выставки смогут увидеть около 50 тысяч новинок, сообщает BBC News. Глава компании Microsoft Билл Гейтс, выступая на открытии выставки, объявил о наступлении эпохи "максимального творчества". По его словам, усилия Microsoft по объединению компьютера с масс-медиа и средствами связи начинают окупаться. Гейтс отметил рост популярности новой платформы Windows XP Media Center, которая подключается к телевизору и позволяет смотреть фильмы, слушать музыку и просматривать фотографии с компьютера с помощью дистанционного управления. Как сообщил глава Microsoft, в 2004 году продажи Media Center возросли более, чем вдвое, и достигли полутора миллионов копий. На выставке Гейтс неожиданно обошел тему разработки новой модификации игровой приставки Xbox. Гейтс заявил лишь, что Xbox по качеству изображения будет сравнима с телевизором высокого разрешения.
Lenta.Ru

7/01/2005 09:29 Билл Гейтс о браузере Firefox
В своем недавнем интервью Билл Гейтс (Bill Gates) затронул тему популярного в последнее время web-браузера Firefox - главного современного конкурента Internet Explorer от Microsoft: "... Когда люди говорят, что Firefox был закачан на пользовательские системы, это, несомненно, правда, но IE тоже остается установленным на этих системах. Firefox нов, и люди с ним знакомятся. Возникает большой процентный показатель людей, которые пробуют его, ведь скачать программу очень просто."
Nixp.Ru

7/01/2005 09:44 Создатель червя "Sasser" ответит в суде
В прошлом году он запугал миллионы интернет-пользователей по всему миру - в этом году ему самому нужно бояться: изобретатель интернет-червя "Sasser", 18-летний школьник из маленького села Waffensen в Нижней Саксонии, предстанет перед судом предположительно этой весной. Он обвиняется в "компьютерном саботаже и изменении данных" (всего 170 пунктов). В начале мая 2004 "Sasser" распространился с невероятной скоростью. Только за первые майские выходные он заразил более 100 000 компьютеров. Он использовал уязвимость в ОС Windows XP и 2000 и выводил компьютеры из строя. Прокуратура насчитала убытков на сумму 130.000 евро в одной только Германии. А по всему миру цифра составила более 1 миллиона евро.
SecurityLab

7/01/2005 10:11 Turion - новое имя мобильных процессоров AMD
Компания AMD объявила торговую марку, под которой отныне будет продвигать свои процессоры для легких ноутбуков. Итак, знакомьтесь: Turion. В целом, сама платформа теперь будет называться The AMD Turion 64 Mobile Technology, и будет нацелена, как сообщается в официальном сообщении, для рынка тонких и легких (thin and light) ноутбуков, в то время как для полноформатных портативуных ПК по-прежнему будут предлагаться процессоры AMD Mobile AMD Athlon 64. Как объясняют представители AMD, свежевыдуманное слово "turion" весьма созвучно с понятием вроде юного стебелька, однако в компании новое слово слышится как производное от "tour" (путешествие, странствие) с намеком на начало нового пути. Впрочем. в компании подчеркнули, что словарное толкование будет добавлено несколько позже, в рекламных проспектах. Ожидается, что первые ноутбуки с логотипом Turion появятся в продаже ближе к середине года. Пока что ни цен, ни моделей компанией не представлено. Честно говоря, если бы не сообщение Reuters, про новый бренд и вовсе бы ничего не узнать, потому как официально про этот бренд на сайте AMD также ни слова. Turion... звучит, по крайней мере, не хуже чем Centrino, хотя, AMD с ее 9% рынка ноутбуков пока что тягаться с Intel весьма нелегко. Сколь удачной окажется новая марка - покажет лишь время.
Mobile-Review

7/01/2005 10:27 Уязвимость в Norton AntiVirus
Rafel Ivgi сообщает об обнаружении уязвимости в популярном антивирусном ПО от Symantec - Norton AntiVirus 2004. Одна из динамических библиотек, инсталлируемых этим антивирусом, "ccErrDsp.dll" (инсталлируется в C:Program FilesCommon FilesSymantec Shared) регистрирует в системе COM (Component Object Model) - объект "CcErrDsp.ErrorDisplay.1". После того, как AntiVirus 2004 был использован, этот объект может быть создан как локально, так и удалённо (например, при помощи такой конструкции - Set symkiller = CreateObject("CcErrDsp.ErrorDisplay.1" )). При исследовании этого объекта Rafel обнаружил уязвимость в параметре "sProduct" функции "DisplayError" этого объекта. Задав большое значение этого параметра (например, передав строку вида 'A'>521950), можно вызвать переполнение буфера в стеке. Автор приводит пример кода, который, будучи выполнен при посещении определённой Вэб-страницы, вызовет отказ в работе антивируса. Как сообщил представитель Symantec, в настоящее время компания исследует уязвимость и работает над исправлением.
Описание уязвимости

7/01/2005 11:47 Новый троянец Backdoor.Tjserv.C
Symantec сообщает о появлении нового троянца под названием Backdoor.Tjserv.C. После того, как он был запущен (не без участия пользователя, естественно) - открывает в системе HTTP и SOCKS 5 прокси-сервер на случайно выбранном порту. Также добавляет значение "tjstartup" = "[path to executable]" в традиционный ключ автозапуска HKLMSoftwareMicrosoftWindowsCurrentVersionRun. Номера открываемых портов содержатся в ключах: HKCUSOFTWARE jserverssp_socks5, HKCUSOFTWARE jserverssp_http. После заражения компьютер посылает GET-запрос на сервер badescape.biz на порт 2080 для внесения IP-адреса заражённого компьютера в базу данных вида:
GET /tenge/hit.php?port=XXX&hport=YYY HTTP/1.0,
где XXX-порт SOCKS 5 - прокси, а YYY-порт HTTP-прокси. Распространяется среди всех видов Windows.
Описание троянца

7/01/2005 20:04 MS запустила бета-тестирование AntiSpyware
Как и обещалось, менее чем через месяц после покупки Giant Microsoft объявила о доступности бета-версии Microsoft Windows AntiSpyware, представляющей собой по сути перепакованный вариант Giant AntiSpyware, cообщает Bugtraq.ru. Бета-версия распространяется бесплатно и не требует регистрации (хотя при скачивании и проверяет систему на легальность). Столь быстрый выпуск довольно любопытен - после аналогичной покупки румынской антивирусной компании прошло уже полтора года, но сроки выпуска антивируса от MS пока остаются очень предположительными. Как сообщает дальше Дмитрий Леонов на bugtaq.ru, первое впечатление от программы очень неплохое. Сканирование идет немного с перестраховкой, в качестве возможных угроз могут, к примеру, опознаваться p2p-клиенты и ftp-cерверы. Впрочем, при этом дается исчерпывающее описание возможной угрозы, предлагаемые по умолчанию действия вполне разумны, так что люди, установившие подозрительный с точки зрения сканера софт, должны быть в состоянии адекватно отреагировать на сообщения программы, к тому же при последующих сканированиях реакцию на них можно отключить. Порадовала очень подробная настройка системного мониторинга, позволяющего следить за полусотней с лишним событий, разбитых на три группы (Internet, System, Applications) - от модификаций списка программ, стартующих вместе с системой, до изменений параметров tcp/ip.
Подробнее о программе

8/01/2005 10:34 Уязвимость в Mozilla
В период, когда вся передовая российская общественность "наслаждается" внезапно образовавшимся 10-дневным праздником, наши европейские коллеги на почве компьютерной безопасности трудятся, не покладая рук. Так, Luca Ercoli из Италии, опубликовал сообщение об обнаружении уязвимости в популярном браузере Mozilla. Уязвимость присутствует в механизме обработки графических файлов формата XBM(X BitMap). Данные этих файлов содержатся в памяти в ASCII-формате, при этом файл начинается с оператора '#define', один из которых (#define file_name_width XX) определяет ширину рисунка (в пикселях), а второй (#define file_name_height XX) - высоту. При открытии файла Mozilla размещает эти данные в памяти, чтобы поместить в ней весь рисунок. Как обнаружил автор, в случае задания очень больших значений этих данных можно вызвать аварийное завершение приложения. Уязвимость может быть вызвана как через E-mail (при помощи мейл-клиента Mozilla), так и при посещении специальным образом оформленной Вэб-страницы. Уязвимость проверена в версии 1.6 для Windows. Версия для Linux уязвимости не подвержена. Автором подготовлена страница с демонстрацией уязвимости.
Демонстрационная страница

8/01/2005 11:49 Уязвимости в Exim
О существовании уязвимостей в популярном MTA Exim сообщает английская компания iDEFENSE, Inc. Первая уязимость имеет локальный характер и присутствует в механизме обработки элементов, передаваемых этой функцией для размещения в массиве фиксированной длины. Параметры, передаваемые функции могут быть вызваны из командной строки. использование уязимости позволяет получить полномочия пользователя, от имени которого вызывается MTA. Несмотря на то, что Exim выполняется с SUID, уязвимость не позволяет получить права суперпользователя, поскольку эти полномочия сбрасываются до выполнения уязвимого кода. Вторая уязвимость имеет уже удалённый характер и связана с использованием функции auth_spa_server(), в которой не проверяется длина вводимых данных функции spa_base64_to_bits(), которая декодирует строку, закодированную в BASE64, в буфер фиксированной длины. В этом случае, атакующий может получить удалённый доступ с UID пользователя, от имени которого запускается MTA. Тем не менее, уязвимость имеет место только в том случае, если в мейк-файле (Local/Makefile) при сборке пакета был задан параметр AUTH_SPA=yes, задающий метод аутентификации SPA. Уязвимость присутствует в версиях 4.40, 4.41, 4.42. Чтобы обнаружить, обладает ли MTA уязвимостью, необходимо подключиться к 25-му порту почтового сервера (SMTP) и выдать команду: EHLO localhost. В случае наличия в выходных данных AUTH NTLM сервер уязвим. Разработчиками выпущен патч для версии 4.23. Также утерждается, что в планируемой к выпуску версии 4.50 уязимость будет убрана.
Первая уязимость
Вторая уязвимость

8/01/2005 13:11 Самые маленькие p2p-приложения
Дмитриq Леонов (Bugtraq.Ru) cообщает на своём сайте о самых маленькие p2p-приложения - одно на Питоне, второе - на Перле. Приложение на Питоне уместилось в 15 (!) строчек кода и обеспечивает функциональность сервера либо клиента, для передачи данных использует стандартные протоколы HTTP и XML-RPC (и, соответственно, кучу стандартных библиотек, но все равно результат впечатляет). Написано в качестве демонстрации простоты создания p2p-приложений и, соответственно, бессмысленности их запрета. Альтернативный пример на Perl - MoleSter 0.0.4, в два побил TinyP2P, не используя при этом ничего кроме чистых сокетов.
Приложение на Питоне
MoleSter
MoleSter в более читабельном виде

8/01/2005 13:27 Локальная уязвимость в ядрах Linux
Paul Starzetz из польской iSEC Security Research сообщает об обнаружении уязвимости в ядрах Linux (до 2.4.29-pre3 и 2.6.10). Уязвимость присутствует в функции sys_uselib(), используемой в ядре загрузчиком для загрузки библиотек в зависимости от типа применяемых бинарных форматов файлов (более старый - a.out и более новый - ELF) - тип и стриуктура преобразования описываются в файле binfmt_elf.c. Используя код эксплоита, который также опубликован Полем, можно повысить полномочия в системе до суперпользователя. Попутно автор обвинил Stefan Esser из немецкой группы Ematters в плагиате - тот, якобы опубликовал исходный код эксплоита, автором которого на самом деле является Поль (или Павел).
Описание уязвимости

8/01/2005 15:05 Анализ червя, использующего уязвимость WINS
Червь, который использует уязвимость, обнаруженную в службе WINS (MS04-045), обнаружен в диком виде и назван антивирусной компанией Troj/Winser-A. Stephen J Friedl проанализировал исходный код червя и поделился с остальным секьюрити-сообществом результатами своего анализа. Файл, заражающий компьютер имеет название ccEvtMngr.exe (139КБ), маскируется в системе под именем ccevtmgr, службой, под именем которой обычно выступает Symantec Event Manager Service. Заражённые машины управляются с IRC-сервера irc.bel3c.com, с которым заражённая машина соединяется, выходя на канал #shhplz с паролем nono. С более подробным анализом, а также с файлами трояна желающие могут ознакомиться, посетив приведённую ниже ссылку.
Анализ трояна

8/01/2005 16:16 Интернет-банки грабили с помощью компьютерного вируса
Четверо учащихся средней школы в Сиднее (Австралия) обвиняются в международном интернетовском мошенничестве, которое затеяли русские хакеры. Они украли онлайновые банковские пароли нескольких человек и "перекачали" их наличные средства на счета в Восточной Европе, говорится в сообщении полиции. Полиция штата Новый Южный Уэльс отказывается назвать имена несовершеннолетних мошенников по юридическим причинам. Известно лишь, что все они в возрасте 15-17 лет. Этим четырем учащимся были обещаны проценты от прибыли за то, чтобы они позволили воспользоваться их счетам в банке для отмывания средств, полученных незаконным путем. Деньги воровались из Интернет-банков с помощью компьютерного вируса, который тайно делал записи паролей, отмечает полиция. По их словам, 13 австралийцев, включая учащихся, обвиняются в ограблении предположительно 61-го человека. Пока доказано воровство, по меньшей мере, 600.000 австралийских долларов (457.000 долларов США). Общая сумма может, в конечном счете, составить несколько миллионов, подчеркивает представитель полиции. В ближайшие несколько недель ожидаются новые аресты.
Crime-Research.Ru


Архив рассылки новостей:
http://uinc.ru/news/archive/


На этом пока все.
Всем удачи.
uinC Team
http://uinc.ru

P.S. Все предложения, замечания и просьбы оставлять здесь:
http://uinc.ru/news/sendnews.php

Любые материалы с нашего сайта или рассылки не могут быть скопированы без разрешения автора или администрации сервера uinC.ru