Adobe вновь выпустила обновление для Flash Player, третье за последние полтора месяца. Оно закрывает 2 критические уязвимости и содержит новый механизм установки обновлений, способный работать в фоновом режиме.

Уязвимости CVE-2012-0772 и CVE-2012-0773 могут привести к отказу и при успешной эксплуатации позволяют злоумышленнику через порчу памяти установить контроль над атакуемой системой. Эти бреши актуальны для всех платформ. Обеим присвоен приоритет 2, т.е. заплатки следует установить в течение месяца. Пользователям Flash Player 11.1.102.63 и более ранних версий, работающих под Windows, Macintosh и Linux, рекомендуется скачать с сайта Adobe новейшую версию 11.2.202.228, для Solaris ― 11.2.202.223. Пользователи Flash Player 11.1.111.7 и ниже для Android 2.x/3.x могут загрузить версию 11.1.111.8 через Android Marketplace. Flash Player 11.1.115.7 или ниже для Android 4.x обновления не требует.

Пользователи Windows и Flash Player 10.3.183.16 и выше для Macintosh могут также установить патч через штатный механизм обновления. Google Chrome, как всегда, обновит Flash в автоматическом режиме. Для тех, кто не имеет возможности установить 11.2.202.228, Adobe подготовила пропатченную версию Flash Player 10.3 ― 10.3.183.18, которую можно скачать из соответствующего раздела на сайте компании. Кстати, с выпуском этой версии компания прекращает поддержку IE 6 ― из солидарности с Microsoft, однако не будет блокировать установку последующих выпусков 10.3 в системы с этим браузером.

Главный хит Flash Player 11.2 ― новая система обновления, поддерживающая опцию автоматической установки всех последующих обновлений. По словам разработчиков, новый апдейтер аналогичен тому, что с успехом используется в Google Chrome. Отныне в системах с несколькими браузерами обновляться смогут все и сразу. Исключение составит лишь Chrome, который будет по-прежнему загружать обновления через штатный механизм. При выборе автоматического режима первоначальная проверка на наличие обновлений будет производиться каждый час, пока с серверов Adobe не придет отрицательный ответ. После этого срок подачи запросов увеличится до 24 часов.

Автоматический режим установки обновлений пока доступен лишь пользователям Windows, версия для Mac находится в стадии разработки. Режим установки обновлений можно сменить через менеджер, зайдя в Панель управления и выбрав «Управление параметрами Flash Player» (вкладка «Дополнительно»). Разработчики отмечают, что любые обновления, меняющие дефолтные настройки Flash (такие, например, как нынешнее), затребуют подтверждение на установку даже в том случае, если пользователь выбрал фоновой режим.

Не прошло и месяца, как Adobe вновь выпустила обновления для Flash Player, закрывающие критические дыры.

По свидетельству разработчиков, обе новые уязвимости могут вызвать сбой и позволяют злоумышленнику установить контроль над системой. Уязвимость CVE-2012-0768 в случае успешной эксплуатации дает злоумышленнику возможность выполнить произвольный код через повреждение памяти в методах обработки Matrix3D. Уязвимость CVE-2012-0769 через целочисленное переполнение буфера приводит к раскрытию внутренней информации приложения. Обе бреши найдены сотрудниками Google и пока не вызвали нежелательной активности в Сети.

Новые уязвимости актуальны для всех платформ. Пользователям Adobe Flash Player 11.1.102.62 и более ранних версий для Windows, Macintosh, Linux и Solaris рекомендуется установить новейшую версию 11.1.102.63, загрузив обновление с сайта компании. Adobe подготовила также пропатченную версию Flash Player 10.x ― 10.3.183.16, которую можно скачать из раздела архивов. Пользователям Flash Player 11.1.115.6 и ниже для Android 4.x , а также 11.1.111.6 и ниже для Android 3.x и 2.x следует обновить продукт до версий 11.1.115.7 и 11.1.111.7 соответственно, зайдя на Android Marketplace. Как заметил наш старый знакомый Брайан Кребс, тем, кто пользуется несколькими браузерами на одном устройстве, возможно, придется устанавливать апдейт, поочередно используя каждый из этих браузеров. Chrome обычно обновляет Flash в автоматическом режиме вскоре после официальной публикации.

Следует отметить, что Adobe недавно ввела новую систему оценки уязвимостей, которая призвана облегчить жизнь системным администраторам. Отныне, помимо уровня опасности, разработчики будут указывать также срочность установки патча. Если при выпуске обновления указан приоритет № 1, это говорит о наличии itw-эксплойтов для уязвимости в конкретном продукте, работающем на конкретной платформе. Патч надлежит установить как можно быстрее, например, в течение 3-х суток. Приоритет № 2 присваивается в том случае, когда эксплойтов еще нет и в ближайшее время не предвидится, но сам продукт постоянно привлекает внимание злоумышленников. Такие патчи следует устанавливать в течение месяца. Приоритет № 3 самый низкий и означает, что продукт не популярен у киберкриминала; подобные патчи можно устанавливать по своему усмотрению. Согласно новой классификации, свежему обновлению для Flash Player назначен приоритет № 2.

В Adobe Reader/Acrobat обнаружена критическая брешь, которую разработчики обещают залатать для версий 9.х на следующей неделе.

CVE-2011-2462 обусловлена ошибкой при обработке U3D-данных, которая может привести к сбою. При успешной эксплуатации данная уязвимость позволяет злоумышленникам установить полный контроль над системой. По данным Adobe, новая лазейка уже используется itw, но пока в ограниченном объеме: все известные случаи ― целевые атаки против версии 9.4.6 под Windows. Тем не менее, эксперты предупреждают, что CVE-2011-2462 актуальна для всех версий Reader/Acrobat и для всех платформ, кроме Android. Adobe Flash Player она не затрагивает.

Соответствующий патч для Adobe Reader 9.x и Acrobat 9.x, установленных на платформе Windows, будет выпущен на следующей неделе. Версии Х снабжены «песочницей», способной предотвратить выполнение эксплойта, посему заплатки для них будут включены в очередной пакет обновлений. Он появится после новогодних праздников, 10 января. Пользователям Reader/Acrobat X рекомендуется удостовериться, что в этих приложениях включен повышенный уровень защиты (Edit > Preferences > Security (Enhanced)), а защищенный режим включается при запуске (Edit > Preferences > General).

Поскольку специфических атак на Macintosh и UNIX не зарегистрировано, патчи для них выйдут тоже в январе.

Компания Sony сообщила о ряде попыток взлома аккаунтов пользователей некоторых своих сетей. В заявлении на сайте компании говорится: «Sony Network Entertainment International LLC и Sony Online Entertainment (SOE) зарегистрировали большое количество попыток неавторизованного доступа к сервисам PlayStation®Network (PSN), Sony Entertainment Network (SEN) и Sony Online Entertainment (SOE)».

Всего было взломано почти 93000 аккаунтов. В качестве ответной меры Sony эти аккаунты заблокировала. Позже компания сообщила, что в зоне риска не находятся данные ни одной из кредитных карт, а также о том, что «в этих хакерских атаках, по-видимому, использовались данные, полученные из одной или более взломанных баз других компаний, сайтов или ресурсов».

Примечательно, что Sony стала более открыто и быстро уведомлять общество и своих пользователей о попытках хакерских атак. Напомним, что в апреле компания реагировала на действия злоумышленников слишком медленно, в результате чего пострадали более 70 миллионов пользователей. Различные сети и базы данных Sony взламывали уже как минимум 19 раз, и каждый из этих взломов негативно влиял на репутацию компании. Судя по всему, в этот раз Sony пытается свою репутацию сохранить.

О том, что их аккаунты заблокированы, и им необходимо сменить пароль, Sony будет сообщать владельцам атакованных аккаунтов по электронной почте. Пользователей сети Playstation мы просим быть внимательными, отвечая на уведомления от Sony, поскольку мошенники могут воспользоваться ситуацией для сбора логинов и паролей, чтобы затем получить доступ к аккаунтам. Если у вас есть хоть малейшие подозрения в том, что ваш аккаунт был взломан, немедленно смените пароль.

После относительно спокойного патч-вторника, о котором в прошлом месяце написал мой коллега Роул Шоуэнберг, количество патчей, выпущенных в июне, значительно по любым меркам. Компания Microsoft выпустила 16 бюллетеней с заплатами для 34 уязвимостей, с MS11-037 по MS11-053. Обновлены как минимум восемь различных продуктов Microsoft. Кроме того, Adobe также выпустил обновления для Reader, Acrobat, Shockwave и Flash.

Итак, выпущены патчи для следующих программ: Microsoft Windows, Microsoft Office, Internet Explorer, .NET, SQL, Visual Studio, Silverlight, ISA и Adobe Reader, Acrobat, Shockwave и Flash player. Более половины уязвимостей, для которых выпущены патчи, присутствуют в программных компонентах Internet Explorer и Microsoft Excel, часто используемых в ходе drive-by атак и для целевого фишинга.

Наибольший интерес представляет MS11-050, единый патч, закрывающий 11 различных уязвимостей в Internet Explorer, некоторые из которых приводят к утечке данных (cookiejacking), нарушению целостности данных в памяти и удаленному выполнению кода: CVE-2011-1250, CVE-2011-1251, CVE-2011-1252, CVE-2011-1254, CVE-2011-1255, CVE-2011-1256, CVE-2011-1260, CVE-2011-1261, CVE-2011-1262. Дополнительный патч MS11-052 для VML закрывает еще одну уязвимость в Internet Explorer – CVE-2011-1266.

Представители Microsoft уже заявили, что проблема cookiejacking не представляет особой опасности, поскольку этот прием сравнительно нечасто используется для проведения атак. Есть более эффективные техники социальной инженерии, позволяющие киберпреступникам добиться схожих результатов. Данные заявления вполне могут соответствовать действительности, однако в силу того, что об этих приемах сейчас много говорят, вероятность их использования злоумышленниками возрастает.

Восемь уязвимостей в различных версиях Microsoft Excel, о которых в частном порядке сообщили пользователи, закрыты одним патчем – MS11-045. Каждая из них допускает возможность удаленного выполнения кода. В настоящее время мы выясняем, почему этот патч обозначен как «важный», а не «критический».

Особое значение имеют патчи, закрывающие уязвимости в Internet Explorer, Office и Silverlight, которые допускают удаленное выполнение кода. Недавние атаки, направленные на отдельных пользователей и организации, в том числе многочисленные успешные целевые фишинговые и APT-атаки, делают эти патчи особенно актуальными.

Для серверов, расположенных в «облаке», Microsoft закрывает уязвимость, которая позволяет злоумышленникам осуществлять DoS-атаки изнутри «облака». Патч MS11-047 для версий Windows 2008 обозначен как «важный» и закрывает брешь в Hyper-V, позволяющую гостевому пользователю послать специальным образом сформированный пакет данных в VMBus, что приводит к отказу в обслуживании на сервере. MS11-039 – патч для Silverlight, закрывающий уязвимость, которая может использоваться не только для удаленного выполнения кода на стороне клиента, но и для удаленного выполнения произвольного кода на уязвимых веб-серверах IIS.

По крайней мере восемь из девяти патчей, обозначенных как «критические», после установки требуют перезапуска системы, поэтому будьте готовы к перерыву в работе. Как обычно, мы рекомендуем не медлить с установкой всех патчей, выпущенных в этом месяце.

В этом месяце Microsoft выпускает 17 бюллетеней, закрывающих 63 уязвимости в различных продуктах Windows. Из этих уязвимостей 12 обозначены как «критические», 51 отмечена как «важная».

Около половины уязвимостей закрываются бюллетенем MS11-034. Это уязвимости вида Elevation of Privilege в ядре Windows.

Уязвимости Elevation of Privilege получили широкое распространение с ростом популярности Windows 7 и «песочниц» (sandboxes). Такие уязвимости могут использоваться для обхода контроля учетных записей (UAC), что позволяет программе без ведома пользователя получить полные привилегии администратора.

В последнее время наметилась тенденция: количество EoP-уязвимостей в новых продуктах Microsoft превосходит количество уязвимостей вида Remote Code Execution. Высока вероятность того, что в ближайшие месяцы эта тенденция сохранится.

В этом месяце Microsoft также выпустит две рекомендации по безопасности для Windows и Office.

Очередная вторничная порция ежемесячных патчей Microsoft состоит из трех бюллетеней, закрывающих четыре уязвимости. Два бюллетеня касаются Windows, третий имеет отношение к Office. Уязвимости Windows касаются всех клиентских операционных систем, поддерживаемых в настоящий момент. Единственная критическая уязвимость месяца – в Windows Media. Вредоносный MS-DVR-файл позволяет осуществлять удаленное выполнение кода.

Затронутые продукты – Windows Media, Groove and Remote Desktop (удаленный рабочий стол). Исправлены две уязвимости в Windows Media. Все три продукта страдают от хорошо известной к настоящему времени уязвимости "Insecure Library Loading" (загрузка небезопасной библиотеки), которую мы много раз наблюдали за последнее время. Учитывая то, какие программы оказались затронуты и как они работают, маловероятно, что данные уязвимости станут массово эксплуатироваться.

Эта уязвимость имеет отношение к тому, как программы загружают DLL во время выполнения. Вместо того, чтобы загружать библиотеки из заранее заданного местонахождения, продукты вначале пытаются найти библиотеки в папке, где находится файл, который они пытаются прочесть. Поместив вредоносную библиотеку с заранее определенным именем в (удаленную) папку, где лежит файл, ассоциированный с соответствующей программой, киберпреступник может выполнить код.

Чтобы такие атаки были успешными, пользователь должен вручную запустить файл, ассоциированный с этими программами, например файл DVR-MS в случае Windows Media или файл RDP в случае Remote Desktop. Эти уязвимости, связанные с загрузкой небезопасных библиотек, отмечены как важные.

В данной порции патчей не были закрыты некоторые хорошо известные уязвимости; так, не было патча для CVE-2011-0096 и патча для уязвимости в протоколе Windows Browser. Хотя CVE-2011-0096 – это «всего лишь» XSS-уязвимость, ее не стоит недооценивать. Хотя эти уязвимости нечасто используются в массовых атаках, их несомненно используют в таргетированных атаках. Будем надеяться, что Microsoft сможет закрыть эту уязвимость в следующем месяце. Уязвимость в протоколе Windows Browser крайне сложно успешно эксплуатировать, и Microsoft может понадобиться провести серьезную работу, чтобы закрыть ее. Так что неудивительно, что заплата для этой уязвимости не вошла в выпуск патчей этого месяца.

Как всегда, мы рекомендуем установить патчи как можно быстрее.

Недавно я решил подготовить очередную презентацию, посвященную web-уязвимостям, в частности, XSS-атакам. Для этого мне нужно было изучить некоторые особенности современных систем фильтрации.

В качестве целевого сайта для тестирования я выбрал самый посещаемый сайт Рунета – vkontakte.ru. Мое внимание привлекла обновленная система статусов.

Код HTML-странички в месте, где происходит редактирование статуса, выглядит следующим образом:

Как видно, фильтр расположен непосредственно в функции infoCheck(). Сам же статус располагается в этой строке:

В данном случае имеем двухступенчатую фильтрацию. Первая ступень – непосредственно фильтрация у пользователя при вводе статуса. Вторая – преобразование введенного статуса в текст и возвращение его на страницу в том виде, в котором статус увидят другие пользователи.

В то время как вторая ступень работает безусловно хорошо, и превратить введенное пользователем в активную XSS явно не удалось бы, с первой не все так гладко. Именно о первой ступени и пойдет речь.

Как и предполагалось, простой <script>alert()</script> не сработал, статус остался пустым. Вариации на «околоscript-ные» темы тоже не прошли – судя по всему, конкретно эта последовательность фильтруется явным образом.

Однако, для выполнения скрипта вовсе не обязательно наличие тега <script>. Первая уязвимость на пользовательской машине достигается использованием тега <img>: введя в статус строку <img src=1.gif onerror=some_function>, мы добьемся выполнения этой самой функции. Для наглядности можно вызвать функцию profile.infoSave(), вызываемую с пустым аргументом при очистке статуса, с нашим аргументом. Так, введя <img src=1.gif onerror=profile.infoSave('XSS')>, получаем в статусе строчку “XSS”:

Вторая забавная уязвимость фильтра – в отсутствии фильтрования тега <A>. Вводим в статус <A HREF="//www.google.com/">XSS</A> и получаем… гиперссылку, по клику на которой открывается окно для редактирования статуса, а мгновением позже – сайт google.com!

Как мы помним, XSS = cross site scripting, поэтому в следующей уязвимости я решил использовать сторонний сайт с загруженным туда скриптом. Помимо отсутствия фильтрации вышеуказанных тегов, проходит фильтр и тег <iframe>. Таким образом, введя в статусную строку <iframe src="yoursite.com" width="100%" height="300">, получаем iframe с запуском того самого загруженного скрипта. Пример такого “айфрейма”:

Эта уязвимость является более серьезной, чем две предыдущие. Один из способов эксплуатации – составление URL для изменения статуса пользователя и последующий клик пользователя по этому URL жертвой. Еще до того, как статус будет опубликован, скрипт успеет выполниться на странице пользователя. Таким образом, получаем классическую пассивную XSS.

Уязвимости были актуальны с 01.08.2010 - с момента введения новой системы статусов. 01.03.2011 мы сообщили администрации сети ВКонтакте об обнаруженных уязвимостях, и 03.03.2011 уязвимости были закрыты.

Во вторник Microsoft выпустил пачку новых патчей – двенадцать, если быть точным. Из них два наиболее интересных закрывают уязвимости в Internet Explorer.

Первая из двух уязвимостей в Internet Explorer - CVE-2011-0096 – это уязвимость, связанная с ошибкой в коде браузера, приводящей к таким же результатам, что и уязвимости типа XSS (межсайтовый скриптинг). Интересную информацию об уязвимости на английском языке можно найти здесь.

Описание уязвимости, сделанное пользователем d4rkwind, было опубликовано в 5-м выпуске китайского интернет-журнала "Ph4nt0m Webzine 0x05" - за 24 дня до выпуска патча.

Как говорится в описании уязвимости на сайте CVE, «реализация формата MHTML в Microsoft Windows XP SP2 и SP3, Windows Server 2003 SP2, Windows Vista SP1 и SP2, Windows Server 2008 Gold, SP2 и R2, и Windows 7 приводит к некорректной обработке MIME-формата в запросе на блоки данных внутри документа, что позволяет осуществлять XSS-атаки с помощью специально созданного веб-сайта, открываемого в Internet Explorer».

Компания Microsoft опубликовала Информационное сообщение (не бюллетень по безопасности) 28 января 2011 года.

Блогпост, в котором уязвимость описывалась как "внедрение MHTML-скрипта", появился в Microsoft Security Research and Defense blog 28 января. «Проблема может затронуть любой сервис, позволяющий отображать введенные пользователем данные. При этом результат внедрения скрипта в сервис зависит от того, как этот сервис реализован. Таким образом, ситуация аналогична проблеме с серверным межсайтовым скриптингом с той разницей, что уязвимость находится на стороне клиента».

В то же время Microsoft выпустила инсталлятор утилиты (a “Fix It tool), которая позволяет частично решить проблему уязвимости. 27 января инсталлятор был подписан цифровой подписью, 28-го числа опубликован. Размер файла MicrosoftFixit50602.msi составляет 649 КБ. Файл автоматически устанавливает настройки, ограничивающие применение протокола MHTML. Это позволяет блокировать выполнение скриптов, таких как javascript, во всех зонах в пределах MHTML-документа. Работа утилиты вызывает небольшие проблемы. Установленные настройки влияют на работу всех приложений, использующих MHTML. На выполнение скрипта в стандартных HTML-файлах они не влияют.

Теперь, когда патч выпущен, те, кто еще не установил утилиту, могут сразу установить патч.

Также интересна уязвимость парсера каскадных таблиц стилей (CSS) в Internet Explorer. Об этой уязвимости еще в конце ноября (если не раньше) сообщил китайский исследователь.

Уязвимость эксплуатируется новым набором эксплойтов Eleonore Exploit Pack release, v1.6.3a. Этот набор включает 0day-эксплойт, еще несколько новых эксплойтов, а также инструмент, препятствующий исследованию функционала вредоносной программы антивирусными компаниями. На киберкриминальном рынке этот Exploit Pack стоит более $2000.

PS. Пока этот пост готовился к публикации, Adobe также выпустила несколько крупных патчей. Добро пожаловать в клуб!

В начале декабря экспертами Лаборатории Касперского были обнаружены экземпляры вредоносной программы TDL4 (обновление TDSS), которые используют 0-day уязвимость для повышения привилегий в системах Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888 ). Данная уязвимость первоначально была обнаружена во вредоносной программе Stuxnet.