Websecurity - Веб безпека

Виявлені уразливості в cURL.

Уразливі продукти: cURL 7.41, libcurl 7.41.

Витік інформації, DoS.

• curl vulnerabilities (деталі)
• Vulnerabilities in cURL (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.5, Firefox 36, Thunderbird 31.5, SeaMonkey 2.34.

Обхід перевірки сертифіката, виконання коду, обхід обмежень, пошкодження пам’яті, перехоплення курсору.

• MFSA 2015-30 Miscellaneous memory safety hazards (деталі)
• MFSA 2015-31 Use-after-free when using the Fluendo MP3 GStreamer plugin (деталі)
• MFSA 2015-32 Add-on lightweight theme installation approval bypassed through MITM attack (деталі)
• MFSA 2015-33 resource:// documents can load privileged pages (деталі)
• MFSA 2015-34 Out of bounds read in QCMS library (деталі)
• MFSA 2015-35 Cursor clickjacking with flash and images (деталі)
• MFSA 2015-36 Incorrect memory management for simple-type arrays in WebRTC (деталі)
• MFSA 2015-37 CORS requests should not follow 30x redirections after preflight (деталі)
• MFSA 2015-38 Memory corruption crashes in Off Main Thread Compositing (деталі)
• MFSA 2015-39 Use-after-free due to type confusion flaws (деталі)
• MFSA 2015-40 Same-origin bypass through anchor navigation (деталі)
• MFSA 2015-41 PRNG weakness allows for DNS poisoning on Android (деталі)
• MFSA 2015-42 Windows can retain access to privileged content on navigation to unprivileged pages (деталі)
• MFSA 2015-43 Loading privileged content through Reader mode (деталі)
• MFSA 2015-44 Certificate verification bypass through the HTTP/2 Alt-Svc header (деталі)
• MFSA 2015-45 Memory corruption during failed plugin initialization (деталі)

Виявлена можливість обходу перевірок SSL в Ruby.

Уразливі версії: Ruby 1.8, Ruby 2.0.

Некоректна реалізація перевірки імені сервера.

• Vulnerability in Ruby (деталі)

Виявлений витік інформації в Perl модулі XML::LibXML (через XXE атаку).

Уразливі версії: Perl XML::LibXML до 2.0119.

Розкриття інформації при роботі з entity.

• XML::LibXML vulnerability (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті при розборі архівів, виконання коду в apache2handler.

• Vulnerabilities in PHP (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11.2 і 12.1, MySQL 5.6, Oracle Java SE 8, Solaris 10 і 11.2, WebLogic Server 12.1, E-Business Suite 12.2, JRockit 28.3, GlassFish Server 3.1, iPlanet Web Proxy Server 4.0, iPlanet Web Server 7.0 та інші продукти Oracle.

Більше 90 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Outside In ibpsd2.dll PSD File Processing Buffer Overflow Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - April 2015 (деталі)

Виявлені уразливості безпеки в PHP і libgd.

Уразливі продукти: PHP 5.5, libgd 2.1.

Переповнення буфера, звернення по нульовому вказівнику.

• libgd2 security update (деталі)

Виявлені уразливості в Microsoft Windows у компонентах HTTP.sys і XML Core Services. В першому випадку атака відбувається через відправлення HTTP запиту веб серверу з ОС Windows, а в другому випадку атака відбувається через Internet Explorer.

Уразливі продукти: Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Виконання коду, міжсайтовий скриптінг, витік інформації.

• Microsoft Security Bulletin MS15-034 - Critical Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553) (деталі)
• Microsoft Security Bulletin MS15-039 - Important Vulnerability in XML Core Services Could Allow Security Feature Bypass (3046482) (деталі)

Виявлені уразливості в Microsoft .NET Framework і VBScript для різних версій Windows. Атака на дірку в VBScript відбувається через Internet Explorer.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, VBScript 5.6, VBScript 5.7, VBScript 5.8.

Витік інформації в .NET Framework та виконання коду в VBScript.

• Microsoft Security Bulletin MS15-019 - Critical Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3040297) (деталі)
• Microsoft Security Bulletin MS15-041 - Important Vulnerability in .NET Framework Could Allow Information Disclosure (3048010) (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

Звертання по нульовому вказівнику, ассерти, пошкодження пам’яті.

• OpenSSL Security Advisory (деталі)
• Security Audit Notes: OpenSSL d1_srvr.c Overflow (деталі)