Недавно выпущенная версия Skype 5.5, по заявлению эксперта информационной безопасности Дэвида Вейра-Курза (David Vieira-Kurz), содержит серьезную XSS-уязвимость в технологии интеграции Facebook в Skype.

Нововведение позволяет пользователям Skype установить привязку к своему аккаунту Facebook, что обеспечивает возможность мониторинга активности социальной сети, без необходимости посещать её веб-сайт. Однако, недостаточная проверка входных данных на стороне Skype стала причиной возникновения очередной уязвимости.

Эксперт в области информационной безопасности Levent Kayan обнаружил в популярном клиенте службы мгновенного обмена сообщениями ICQ и на официальном сайте www.icq.com опасные XSS-уязвимости которые могут быть использованы для кражи пользовательских куки.

Левент Каян предупреждает, что программное обеспечение обмена мгновенными сообщениями ICQ для Windows не защищает от внедрения javascript-кода в статус-сообщения пользователя. Данная XSS-уязвимость в клиенте ICQ означает, что этот javascript код может быть запущен на компьютере жертвы при условии, если она откроет статус-сообщение с ловушкой используя уязвимый ICQ клиент.

Популярная VoIP программа Skype содержит уязвимость, которая может позволить получить атакующему доступ к аккаунту. Levent Kayan, нашедший XSS-уязвимость, в своем обзоре указал, что в некоторых случаях возможно получить доступ к системе пользователя.

Атакующий может внедрить javascript в поле мобильного телефона или поле «о себе». Эти поля недостаточно фильтруется, и когда кто-либо из контакт листа атакующего заходит в Skype внедренный код автоматически выполняется. Таким образом атакующий может сменить чей-либо пароль в Skype или изменить какие-либо другие данные.

Администрация сервиса микроблогов Twitter опубликовала официальное объяснение о активной XSS-уязвимости в Twitter — так называемой уязвимости ”onmouseover”, которая вчера поразила веб-сайт Twitter.com.

В официальном сообщении Боб Лорд, член группы безопасности Twitter, сообщает о хронологии атаки, ее исходных причинах и охвате.

Злонамеренные пользователи, используя межсайтовый скриптинг (XSS-уязвимость), автоматически перенаправляли блогеров на другие веб-сайты, а также автоматически рассылали приглашения другим пользователям с целью их привлечения на сайт Twitter.

Сегодя знаменитый сервис микроблогов Twitter, который насчитывает более 145 млн зарегистрированных аккаунтов, подвергся эпидемии вредоносных постов. «Сегодня в социальной сети Twitter была обнаружена активная XSS-уязвимость. Ее использование началось несколько с относительно безобидного раскрашивания страниц пользователей в разные цвета. Уязвимость быстро стала использоваться и поражать новых пользователей», — сообщил GZT.RU главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

По данным BBC, автором эксплойта (программного кода, использующего уязвимость) стал некий программист Магнус Холм (Magnus Holm), который заявил изданию, что создал червя ради шутки, не предполагая нанести реальный вред. Как, в свою очередь передает, РИА «Новости», источником атаки мог быть пользователь RainbowTwtr, который опубликовал первый зараженный пост. Он состоял из ссылки на профиль пользователя, символов "#@", после был размещен код, который раскрашивал запись полностью в тот или иной цвет.

«Топ 25 самых опасных ошибок программирования» — это список самых опасных ошибок программирования, которые могут привести к серьезным уязвимостям в программном обеспечении. Они нередки, их легко найти и ими легко воспользоваться. Они опасны, потому что зачастую позволяют злоумышленнику полностью взять под контроль программу, украсть данные или вообще не дать программе функционировать.

Этот список — результат сотрудничества между SANS Institute, MITRE и многих экспертов по информационной безопасности в США и Европе. Список использует опыт, полученный при составлении «Top 20 attack vectors» институтом SANS и «Common Weakness Enumeration (CWE)» корпорацией MITRE.

MITRE поддерживает сайт, посвященный CWE, при поддержке «Национального центра кибербезопасности США» предоставляющий детальные описания 25-ти главных ошибок программирования вместе с авторитетными рекомендациями, как их смягчить и избежать. Сайт CWE также содержит данные по более чем 700 другим ошибкам программирования, проектирования и архитектуры, которые могут привести к уязвимостям.

Основная цель этого списка — устранить уязвимости прямо в зародыше, обучая программистов тому, как исключать наиболее общие ошибки еще до того, как программного обеспечение выпускается. Список будет средством для обучения и осведомления, которое поможет программистам предотвратить те виды уязвимостей, которыми поражена индустрия разработки ПО.

Потребители ПО могут пользоваться тем же списком, чтобы предъявлять более высокие требования к безопасности программного обеспечения. Наконец, менеджеры проектов и CIO (Chief Information Officer) могут использовать данный ТОП 25 для измерения успехов в обеспечении безопасности своих программ.

Как и в прошлом году, список самых опасных ошибок, возглавляют XSS-уязвимости (межсайтовый скриптинг), SQL-инъекции и проблемы связанные с переполнением буфера. Эти и другие ошибки ПО стали причиной взломов миллионов систем, включая недавнюю атаку на Google, поэтому приведённый контрольный список, всегда стоит держать под рукой не только новичкам:

Securelist.com разрабатывается Лабораторией Касперского. На сайте есть блог, в котором постяться сотрудники ЛК, а простые пользователи, зарегистрировавшись, могут их комментировать. У комментраиев есть рейтинг.

Как только рейтинг всех комментариев пользователя становится >=100, то пользователь получает статус блоггера и может постить в блог. И однажды я там зарегистрировался...

[Disclaimer]
Все действия, описанные ниже, представлены исключительно для ознакомения. Администрация портала была поставлена в известность обо всех уязвимостях, найденных на сайте. Для снятия некоторых скриншотов сайта я воспользовался сервисом peeep.us хабрапользователя snusmumrik. Отдельное спасибо команде портала R3AL.RU за помощь и поддержку.

Организация Mozilla представила тестовую альфа-версию браузера Firefox 3.7, снабженного новой технологией защиты от веб-атак.

Фреймворк Content Security Policy (CSP) защищает от межсайтового скриптинга (XSS). Кроме того, поддерживающие CSP браузеры предусматривают наличие защиты от клик-джекинга и мониторинга пакетов.

Спецификация CSP описывает структуру нового HTTP-заголовка, в котором веб-мастер указывает, какие из сценариев разрешены для выполнения в рамках домена и к каким внешним ресурсам может обращаться код веб-страницы в случае необходимости вставки элементов (к примеру, баннеров или новостных блоков).

XSS (межсайтовый скриптинг) это тип уязвимости компьютерной системы который заключается в том, что вместо непосредственной атаки сервера, злоумышленники используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве.

Сейчас XSS составляют около 15% всех обнаруженных уязвимостей, но долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако, это мнение ошибочно: в некоторых случаях с помощью XSS удаётся получить идентификатор сессии администратора или организовать DoS-атакy.

Точно такая же уязвимость была найдена на сайте знаменитой компании BitDefender в Румынии (www.bitdefender.ro) и опубликована на сайте www.hackersblog.org:

За субботу и воскресенье социальная сеть Twitter была атакована, по меньшей мере, тремя червями. Руководство службы микро-блогов пообещало пользователям исправить ошибки кода. Ответственность за проведенные атаки взял на себя 17-летний Майкл Муни (Michael Mooney), известный также под именем Mikeyy.

По словам Микко Хиппонена (Mikko Hypponen) из компании F-Secure, в субботу некоторые пользователи сервиса начали жаловаться на то, что от их имени создаются записи, рекламирующие сайт StalkDaily.com. Их друзья, которые прошли по ссылке попадали на действующий по этому адресу javascript, который использовал XSS уязвимость для заражения их профилей на Twitter.

После этого сообщения с рекламой StalkDaily.com начинали автоматически рассылаться от вновь зараженных профилей. Более того, заразиться пользователи Twitter могли, просто просмотрев страничку с инфицированным профилем.

Программа:
DataLife Engine 7.х (теоретически во всех версиях)

Опасность:
средняя

Описание:
XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость, с помощию каторого можно:
- вставить на сайте невидимый IFRAME
- перенаправлять посетителей на другой сайт(фейк)
- размещять всплывающих окон
- загрузить разные вирусы, файлы и др.