https://bugtraq.ru/review/archive/2017/28-02-17.html

Google продолжила обнародовать неисправленные уязвимости в Windows; Коллизии в SHA-1 портят репозитарии SVN; Уязвимость Cloudflare подставила пользователей множества сайтов; Google продемонстрировала коллизию в SHA-1; Microsoft выпустила внеочередной патч для Flash.

#384, 28.02.2017

Google продолжила обнародовать неисправленные уязвимости в Windows
dl // 28.02.17 02:46
Неделю спустя обнародованной уязвимости в GDI Google вытащила на свет уязвимость в Internet Explorer 11 и Microsoft Edge, о которой сообщила Microsoft еще 25 ноября. Уязвимость позволяет выполнить произвольный код, подсунув подготовленную комбинацию CSS и JavaScript. Образец из полутора десятка строк прилагается.
Источник: Ars Technica

Коллизии в SHA-1 портят репозитарии SVN
dl // 25.02.17 15:32
Недавняя демонстрация коллизий в SHA-1 внезапно потянула за собой ряд крайне практических (и неприятных) последствий.

Дело в том, что популярная система контроля версий Apache SVN использует именно хэши SHA-1 для контроля уникальности файлов. И, как выяснили на себе владельцы репозитария WebKit, заливка двух разных pdf с одинаковыми хэшами приводит к полной неработоспособности репозитария, после чего svn-сервер прекращает принимать коммиты. Пока не вполне понятно, как справиться с проблемой, кроме как откатиться на последний работоспособный бэкап, так что желающим срочно проверить баг лучше держать себя в руках.
Источник: Ars Technica

Уязвимость Cloudflare подставила пользователей множества сайтов
dl // 24.02.17 18:17
Популярный CDN-провайдер Cloudflare, услугами которого пользовались многие сайты в целях снижения нагрузки и противодействия DDoS-атакам, почти полгода внедрял случайные фрагменты оперативной памяти своих серверов в содержимое веб-страниц, отдаваемых пользователям. При определенном усердии в течение этого времени можно было накапливать отдаваемую информацию в поисках критичной информации - в первую очередь сессионных ключей, паролей, номеров кредиток и прочих данных, передаваемых как по http, так и по https (последнее особенно неприятно).

Уязвимость уже закрыта, но список потенциальных пострадавших насчитывает более 4 миллионов сайтов, включая authy.com, uber.com, medium.com, thepiratebay.org, pastebin.com. Собственно говоря, часть данных до сих пор может просто лежать в кэшах поисковиков. В сообщении Clodflare говорится, что уже обнаружено и вычищено 770 подобных страниц.

В ближайшие дни ожидается масса призывов срочно сменить пароли от пострадавших сервисов и слова утешения от тех, кто не был затронут (насчет 1Password, например, уже поспешили заверить, что не рассчитывали на безопасность ssl/tls).
Источник: Gizmodo

Google продемонстрировала коллизию в SHA-1
dl // 23.02.17 21:43
Google представила методику по генерации коллизий для алгоритма хэширования SHA-1 (в блоге почему-то утверждается "10 years after of SHA-1 was first introduced", хотя самому алгоритму в два с лишним раза больше лет, а теоретическое описание атаки, требующей 2^69 вычислений хэш-функции, было представлено в 2005). Новая атака снизила порог до жалких 2^63 (или 9 с лишним квинтиллионов) вычислений, что эквивалентно 6500 годам вычислений на обычном процессоре либо 110 годам вычислений на GPU.

Демонстрацией успешности проведенной атаки стали два отличающихся на 62 байта pdf-файла с одинаковым хэшем SHA-1. На том же сайте предлагается проверить любой файл на наличие набора данных, характерных для коллизии.

Кроме того, начиная с версии 56, вышедшей в январе 2017, Chrome перестал считать безопасными сайты, использующие сертификаты с SHA-1.
Источник: Google Online Security Blog

Microsoft выпустила внеочередной патч для Flash
dl // 22.02.17 13:36
Несмотря на перенос февральских патчей, Microsoft пришлось выпустить срочное исправление патч для уязвимости в Flash, затрагивающей все актуальные версии IE и Edge.
Источник: The Verge