Уязвимость во всех версиях Internet Explorer; Демонстрация уязвимости в механизме обновления Dr.Web; Образцово-показательный взлом через OpenSSL за три часа; Прощальные патчи для XP и Office 2003; Критичная уязвимость в OpenSSL.

#353, 27.04.2014

Уязвимость во всех версиях Internet Explorer
dl // 27.04.14 17:27
Microsoft предупреждает об уязвимости в IE, приводящей к возможному удаленному исполнению кода из-за попытки работы с уже удаленными объектами. Согласно обнаружившей уязвимость компании FireEye, она присутствует во всех версиях с 6 по 11, однако обнаруженная атака ориентирована на версии с 9 по 11 и основана на взаимодействии с Flash.

Исправления еще нет, пока предлагается ограничить использование скриптов и ActiveX, переведя уровень безопасности для зоны Internet в состояние High. В серверных ОС этот уровень выставлен по умолчанию.
Источник: Microsoft Security Advisory

Демонстрация уязвимости в механизме обновления Dr.Web
dl // 23.04.14 12:17
В опубликованной на Хабре статье описывается процесс использования процедуры обновления антивируса Dr.Web для атаки на клиентскую систему. Поскольку обновления идут по чистому http, любая атака с перенаправлением трафика позволяет подсунуть апдейтеру любые модули, причем он не распознает подмену (в старых версиях проверяется только целостность модулей на основе контрольной суммы). Отметившийся в комментариях сотрудник Dr.Web настаивает на том, что современные версии продукта используют корректную проверку валидности компонентов, которую нельзя обойти простой подменой, хотя и признал, что продемонстрированная в статье несработавшая проверка - это ошибка конкретной версии.
Источник: habrahabr

Образцово-показательный взлом через OpenSSL за три часа
dl // 12.04.14 14:26
11 апреля в блоге CloudFlare была опубликована успокаивающая заметка, рассказывающая о малой вероятности успешного использования Heartbleed для извлечения приватного ключа. Сама CloudFlare получила раннее предупреждение об уязвимости и пропатчила свои серверы пару недель назад, процесс перевыпуска ключей запущен, не о чем волноваться, расходимся.

На всякий случай CloudFlare объявила награду в 10 тысяч долларов за извлечение приватного ключа со специально подготовленного для этого конкурса сервера.

Победитель определился уже через 9 часов. Первым к финишу пришел Федор Индутный, которому для извлечения ключа потребовалось 3 часа и 2.5 миллиона запросов. Еще через 50 минут с задачей справился Илкка Маттила (Ilkka Mattila) со ста тысячами запросов.
Источник: CloudFlare

Прощальные патчи для XP и Office 2003
dl // 08.04.14 23:48
Прощание в день прекращения поддержки XP получилось довольно скромненьким - четыре патча, 11 уязвимостей. Два критичных закрывают три удаленных исполнения кода в Office (включая недавнее с rtf-файлами) и шесть в IE. И еще два важных закрывают удаленное исполнение кода в MS Publisher и при обработке cmd/bat (требующее довольно изощренного сценария удаленное исполнение кода).
Источник: Microsoft Security Bulletin Summary

Критичная уязвимость в OpenSSL
dl // 08.04.14 16:52
Внесенная в декабре 2011 года при реализации расширения Heartbeat (RFC6520) для протокола TLS/DTLS уязвимость позволяет атакующему получить доступ к 64к памяти атакуемого сервиса. При определенной настойчивости это может привести к утечке массы критичной информации; в качестве очевидного примера - к утечке приватных ключей и полной дешифровке защищаемого трафика.

Уязвимости подвержены версии OpenSSL с 1.0.1 по 1.0.1f, вышедшая вчера версия 1.0.1g ее устраняет. Ветки 1.0.0 и 0.9.8 не затронуты.

Фактически это означает, что в течение двух с лишним лет кто угодно мог тихо накапливать приватные ключи и прослушивать трафик как бы защищенных соединений. Теперь администраторам предстоит увлекательная работа по отзыву и перевыпуску всех ключей, использованных в сочетании с OpenSSL 1.0.1, а также тщательному перетряхиванию всей критичной информации, которую это могло зацепить.

Что самое неприятное, атака может привести к утечке чего угодно, что находится в этот момент в памяти сервера - хэши, пароли, личные сведения и т.п., при этом в логах не останется никаких следов. С учетом того, что OpenSSL используется в Apache, Tor, nginx, возможный ущерб пока просто не поддается оценке. Уже слышны рассказы про две трети всех существующих сайтов; в реальности все не так печально, хоть по иронии судьбы больше всего пострадали те, кто больше заботился о безопасности.

А есть ведь еще куча домашних роутеров, пользователи которых вообще не представляют, что там используется и как это исправлять, даже если производители спохватятся относительно быстро. В целом, ощущения от случившегося и возможных последствий - катастрофа с большой буквы П (как написал Шнайер, 11 по шкале от 1 до 10).
Источник: The Heartbleed Bug