PaleMoon

Интернет
Правила форума
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Версия ОС вместе с разрядностью. Пример: LM 18.1 x64, LM Sarah x32 2. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 3. Какое железо. (достаточно вывод inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 4. Суть. Желательно с выводом консоли, логами. 5. Скрин. Просьба указывать 1, 2 и 3 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот

asa
Сообщения: 426
Зарегистрирован: 19 авг 2018, 07:45
Решено: 3
Благодарил (а): 108 раз
Поблагодарили: 203 раза

PaleMoon

Сообщение asa » 12 июл 2019, 18:40

Автор браузера Pale Moon раскрыл сведения о компрометации сервера archive.palemoon.org, на котором хранился архив прошлых выпусков браузера до версии 27.6.2 включительно. В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows. По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

В настоящее время проблемный сервер отключен для проведения разбирательства. Сервер, с которого распространялись актуальные выпуски Pale Moon, не пострадал, проблема затрагивает только старые Windows-версии, установленные из архива (выпуски перемещаются в архив по мере выхода новых версий). Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM. Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения пока не ясно.
После получения доступа атакующие выборочно инфицировали все exe-файлы, связанные с Pale Moon (инталляторы и самораспаковывающиеся архивы), троянским ПО Win32/ClipBanker.DY, нацеленным на кражу криптовалюты через подмену bitcoin-адресов в буфере обмена. Исполняемые файлы внутри архивов zip не поражены. Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256. Используемое вредоносное ПО также успешно выявляется большинством актуальных антивирусов.

26 мая 2019 года в процессе активности на сервере злоумышленников (не ясно те же это атакующие, что при первом взломе или другие), нормальная работоспособность archive.palemoon.org была нарушена - хост не смог перезагрузиться, а данные были повреждены. В том числе были потеряны системные логи, которые могли включать более детальные следы, свидетельствующие о характере атаки. В момент данного сбоя администраторы не подозревали о компрометации и восстановили работу архива, используя новое окружение на основе CentOS и заменив загрузку через FTP на HTTP. Так как инцидент не был замечен, на новый сервер были перенесены файлы из резервной копии, которые уже были инфицированы.

Разбирая возможные причины компрометации предполагается, что атакующие получили доступ подобрав пароль к учётной записи персонала хостинга, получив прямой физический доступ к серверу, выполнив атаку на гипервизор для получения контроля за другими виртуальными машинами, взломав web-панель управления, перехватив сеанс удалённого обращения к рабочему столу (использовался протокол RDP) или эксплуатировав уязвимость в Windows Server. Вредоносные действия были произведены локально на сервере с использованием скрипта для внесения изменений в уже имеющиеся исполняемые файлы, а не путём их повторной загрузки извне.

Автор проекта уверяет, что только он имел доступ администратора в системе, доступ был ограничен одним IP-адресом, а базовая ОС Windows была обновлена и защищена от внешних атак. При этом для удалённого доступа использовались протоколы RDP и FTP, а также на виртуальной машине запускалось потенциально небезопасное ПО, что могло стать причиной взлома. Тем не менее, автор Pale Moon склоняется к версии, что взлом был совершён из-за недостаточной защиты инфраструктуры виртуальных машин у провайдера (например, в своё время через подбор ненадёжного пароля провайдера при помощи штатного интерфейса управления виртуализацией был взломан сайт OpenSSL).
https://www.opennet.ru/opennews/art.shtml?num=51071


Sergei K.
Сообщения: 254
Зарегистрирован: 09 дек 2016, 21:59
Благодарил (а): 52 раза
Поблагодарили: 45 раз

PaleMoon

Сообщение Sergei K. » 12 июл 2019, 21:58

x230 писал(а):
03 июл 2019, 07:28
(28.6.0) Значок поменяли ...
Да вроде всё правильно. Ведь Pale Moon - Бледная Луна. Раньше значёк был синим, а теперь, как положено, стал наконец бледным. :-D
Изображение

В сети
Аватара пользователя

x230
Сообщения: 1589
Зарегистрирован: 02 сен 2016, 19:07
Решено: 5
Откуда: Курилы/Сахалин/Кубань
Благодарил (а): 279 раз
Поблагодарили: 406 раз

PaleMoon

Сообщение x230 » 25 июл 2019, 19:58

Релиз 28.6.1 (2019-07-25)
Примечания к выпуску
Это обновление безопасности и исправления ошибок.
● Улучшенная обработка загрузки ресурсов FTP (позволяет сохранять как и обслуживать некоторые просмотры на основе FTP).
● Добавлен параметр (security.block_ftp_subresources), позволяющий пользователям полностью обходить блокировку субресурсов FTP, если это требуется для их среды, если улучшения, сделанные в этом выпуске, недостаточны.
● По умолчанию добавлена ​​блокировка аутентифицированных заблокированных подисточников изображений с исходным изображением для предотвращения ложных запросов аутентификации.
Предпочтение (network.auth.subresource-http-img-XO-auth) было добавлено, чтобы позволить пользователям обходить эту блокировку, если это требуется для их среды.
● Изменено поведение файла: URI для обработки каждого URI как уникального источника. Это предотвращает кросс-файловый доступ от сценариев.
Предпочтение (security.fileuri.unique_origin) было добавлено, чтобы позволить пользователям ослабить это ограничение, если это требуется для их среды.
● Реализована пересмотренная версия http2PressedStream для решения некоторых проблем безопасности потоков.
● Согласованное поведение браузера с основным потоком относительно поведения внутреннего окна при манипулировании доменом.
● Отменено исправление 28.5. *, Которое вызывало множество проблем в пользовательском интерфейсе и веб-контенте.
● Обновлен NSS до 3.41.2 (по выбору), чтобы получить несколько исправлений для вышестоящих версий.
● Исправлена ​​ошибка путаницы типов в массивах JavaScript. (DiD)
● Добавлено исправление для межпоточного доступа Necko. (DiD)
● Добавлена ​​проверка безопасности порта для альтернативных сервисов.
● Внедрены исправления для применимых проблем безопасности: CVE-2019-11719, CVE-2019-11711, CVE-2019-11715, CVE-2019-11717, CVE-2019-11714 (DiD), CVE-2019-11729 (DiD), CVE -2019-11727 (DiD), CVE-2019-11730 (DiD), CVE-2019-11713 (DiD) и ряд угроз безопасности для сетей и памяти, которые не имеют номеров CVE.
Intel Core i3-3210 / 4GB / VGA - на борту:
1) Kubuntu 18.04.3 / KDE Plasma 5.12.8 / 5.0.0-25 / Pale Moon 28.* / SlimJet 23.*
2) Linux Mint 18.3 / Cinnamon 3.6.7 / 4.15.0-52 / Pale Moon 28.* / SlimJet 23.*

Вернуться в «Работа с сетью»