Дыры в персональных брандмауэрах Norton Personal Firewall и BlackICE - Безопасность

Shanker · 17.03.2004, 17:35

Компания eEye Digital Security опубликовала несколько новых сообщений о дырах в популярных программных продуктах. На этот раз проблемы возникли у двух поставщиков персональных брандмауэров - программ, призванных оградить пользователей персональных компьютеров от нежелательных вторжений из интернета. Однако, как оказалось, и сами брандмауэры могут стать мишенью для хакеров, знающих уязвимые места данных программ.

Сообщение о дырах в программах RealSecure и BlackICE компании Internet Security Systems (ISS) было опубликовано 8 марта. Пока ISS не выпустила заплатку для дыры, на сайте eEye доступно лишь базовое описание уязвимости. В нем говорится, что дыра может использоваться анонимно и удаленно, что приводит к получению хакером наивысшего уровня доступа к системе. Уязвимость актуальна для всех версий RealSecure и BlackICE. По классификации eEye, дыра имеет высокую опасность.

9 марта eEye опубликовала информацию и о дырах в пакетах интернет-безопасности от компании Symantec. Брешь имеется в брандмауэре Norton Personal Firewall 2004 и включающих его пакетах Norton Internet Security 2004 и Norton Internet Security 2004 Professional. Дыра позволяет злоумышленнику удаленно организовывать DoS-атаку на уязвимую машину. Данная уязвимость также является высокоопасной. Подробности о ней станут известны после выпуска необходимой заплатки.

Ссылка

SinClaus · 18.03.2004, 20:59

Новость через неделю - старость... Кстати, я писал, в чем заключается дыра в BlackIce (точнее мне писали, а я скопировал сюда).

Shanker · 20.03.2004, 10:24

Ты запостил такую тему? Тады дай линк на неё!

SinClaus · 21.03.2004, 14:39

Про Нортона подробностей не публиковали пока, а про ЧерныйЛед http://imho.ws/showthread.php?s=&threadid=52352

Добавлено днем позже

Разобрался с дырой в Нортоне. Если суммировать, то это опять социальная инженерия - дыра в ActiveX, что бы сработала, нужно заманить юзера на специальный сайт или прослать письмо с вредным HTM кодом.

Мораль - не использовать мелкософтные майлеры (себе дороже), И НЕ БЫТЬ ДОВЕРЧИВЫМ!!!

SinClaus · 22.03.2004, 11:38

А вот и описание дыры в BlacIce:

Появление нового червя - Witty.
После сообщения об уязвимости в продуктах ISS, использующих протокол ICQ (RealSecure, Proventia, BlackICE), о которой мы сообщали вчера, тут же появился новый червь использующий эту уязвимость. Антивирусные компании назвали его Witty (другие названия - Blackworm, Black Ice). Подробнейший анализ червя был сделан компанией LURHQ, позже об этом черве написали F-Secure, также анализ провёл господин Johannes Ullrich (или госпожа - не суть важно) из института SANS. Червь распространяется от произвольного IP-адреса (заражённой машины, естественно) от имени порта 4000/UDP (что естественно - именно по этому протоколу идёт обмен с ICQ-сервером). Червь является исключительно сетевым и не распространяется посредством почты. После заражения червь посылает себя по 20000 случайным IP-адресам. UDP-пакет, посылаемый червем содержит 1025 байт, однако информационную нагрузку несут первые 470 байт (тело червя), остальное - содержимое памяти, содержащееся после выполнения переполнения буфера. После отсылки своего текста червь перезаписывает 65К случайных данных на жёстком диске заражённой машины. Примечательно, что червь не записывает свой код на диск и уничтожается из памяти после перезагрузки системы. Что касается поведения BlackIce, то после заражения пользователю не удастся отключить его через опции иконки в системном трэе. Вместо этого выводится сообщение "Operation could not be completed. Access is denied". Выпущены правила для Snort для определения деятельности червя. Особую опасность представляет случай порчи данных на жёстком диске, что может привести к невозможности дальнейшего функционирования системы. Для предотвращения паразитного трафика в сетях рекомендуется перекрыть входящий трафик с портом источника 4000. Удручает, что пока ни одна российская антивирусная компания на своём сайте не сообщила об этом черве.

*helldomain* · 27.03.2004, 19:48

Wikidiwaem wse eto na pomoiku, stawim prawilnij firewall...

SinClaus · 27.03.2004, 21:56

Правильный - это многослойный: первым - какой-либо юниксовый (т.н. железные в конечном счете относятся сюда же), потом - тот, который нравится на виндовой машине. И злой админ должен всегда незримо присутствовать!

Shanker · 28.03.2004, 00:02

Хелл
А какой правильный?

17.03.2004, 17:35	# 1
Shanker Banned Регистрация: 27.10.2002 Адрес: Питер Сообщения: 1 893	Дыры в персональных брандмауэрах Norton Personal Firewall и BlackICE Компания eEye Digital Security опубликовала несколько новых сообщений о дырах в популярных программных продуктах. На этот раз проблемы возникли у двух поставщиков персональных брандмауэров - программ, призванных оградить пользователей персональных компьютеров от нежелательных вторжений из интернета. Однако, как оказалось, и сами брандмауэры могут стать мишенью для хакеров, знающих уязвимые места данных программ. Сообщение о дырах в программах RealSecure и BlackICE компании Internet Security Systems (ISS) было опубликовано 8 марта. Пока ISS не выпустила заплатку для дыры, на сайте eEye доступно лишь базовое описание уязвимости. В нем говорится, что дыра может использоваться анонимно и удаленно, что приводит к получению хакером наивысшего уровня доступа к системе. Уязвимость актуальна для всех версий RealSecure и BlackICE. По классификации eEye, дыра имеет высокую опасность. 9 марта eEye опубликовала информацию и о дырах в пакетах интернет-безопасности от компании Symantec. Брешь имеется в брандмауэре Norton Personal Firewall 2004 и включающих его пакетах Norton Internet Security 2004 и Norton Internet Security 2004 Professional. Дыра позволяет злоумышленнику удаленно организовывать DoS-атаку на уязвимую машину. Данная уязвимость также является высокоопасной. Подробности о ней станут известны после выпуска необходимой заплатки. Ссылка

18.03.2004, 20:59	# 2
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 323	Новость через неделю - старость... Кстати, я писал, в чем заключается дыра в BlackIce (точнее мне писали, а я скопировал сюда). __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

21.03.2004, 14:39	# 4
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 323	Про Нортона подробностей не публиковали пока, а про ЧерныйЛед http://imho.ws/showthread.php?s=&threadid=52352 Добавлено днем позже Разобрался с дырой в Нортоне. Если суммировать, то это опять социальная инженерия - дыра в ActiveX, что бы сработала, нужно заманить юзера на специальный сайт или прослать письмо с вредным HTM кодом. Мораль - не использовать мелкософтные майлеры (себе дороже), И НЕ БЫТЬ ДОВЕРЧИВЫМ!!! __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении Последний раз редактировалось SinClaus; 22.03.2004 в 09:15.

22.03.2004, 11:38	# 5
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 323	А вот и описание дыры в BlacIce: Появление нового червя - Witty. После сообщения об уязвимости в продуктах ISS, использующих протокол ICQ (RealSecure, Proventia, BlackICE), о которой мы сообщали вчера, тут же появился новый червь использующий эту уязвимость. Антивирусные компании назвали его Witty (другие названия - Blackworm, Black Ice). Подробнейший анализ червя был сделан компанией LURHQ, позже об этом черве написали F-Secure, также анализ провёл господин Johannes Ullrich (или госпожа - не суть важно) из института SANS. Червь распространяется от произвольного IP-адреса (заражённой машины, естественно) от имени порта 4000/UDP (что естественно - именно по этому протоколу идёт обмен с ICQ-сервером). Червь является исключительно сетевым и не распространяется посредством почты. После заражения червь посылает себя по 20000 случайным IP-адресам. UDP-пакет, посылаемый червем содержит 1025 байт, однако информационную нагрузку несут первые 470 байт (тело червя), остальное - содержимое памяти, содержащееся после выполнения переполнения буфера. После отсылки своего текста червь перезаписывает 65К случайных данных на жёстком диске заражённой машины. Примечательно, что червь не записывает свой код на диск и уничтожается из памяти после перезагрузки системы. Что касается поведения BlackIce, то после заражения пользователю не удастся отключить его через опции иконки в системном трэе. Вместо этого выводится сообщение "Operation could not be completed. Access is denied". Выпущены правила для Snort для определения деятельности червя. Особую опасность представляет случай порчи данных на жёстком диске, что может привести к невозможности дальнейшего функционирования системы. Для предотвращения паразитного трафика в сетях рекомендуется перекрыть входящий трафик с портом источника 4000. Удручает, что пока ни одна российская антивирусная компания на своём сайте не сообщила об этом черве. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

27.03.2004, 19:48	# 6
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Wikidiwaem wse eto na pomoiku, stawim prawilnij firewall... __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

20.03.2004, 10:24	# 3
Shanker Banned Регистрация: 27.10.2002 Адрес: Питер Сообщения: 1 893	Ты запостил такую тему? Тады дай линк на неё!

27.03.2004, 21:56	# 7
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 323	Правильный - это многослойный: первым - какой-либо юниксовый (т.н. железные в конечном счете относятся сюда же), потом - тот, который нравится на виндовой машине. И злой админ должен всегда незримо присутствовать! __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

28.03.2004, 00:02	# 8
Shanker Banned Регистрация: 27.10.2002 Адрес: Питер Сообщения: 1 893	Хелл А какой правильный?