Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Oracle Java та OpenJDK.

Уразливі продукти: Oracle JRE 6, JDK 6, JRE 7, JDK 7.

Знайдено 30 різних уразливостей.

• HP-UX Running Java, Remote Indirect Vulnerabilities (деталі)
• Oracle Java Font Processing Glyph Element Memory Corruption Vulnerability (деталі)
• Oracle Java Font Processing “maxPointCount” Heap Overflow Vulnerability (деталі)
• Oracle Java SE Critical Patch Update Advisory - October 2012 (деталі)

24.09.2012

Виявлені можливості пошкодження пам’яті в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Уразливість use-after-free активно використовується для встановлення шкідливого програмного забезпечення.

• Microsoft Releases Patch for Internet Explorer Exploit (деталі)
• Microsoft Security Advisory for Internet Explorer Exploit (деталі)
• Microsoft Security Advisory (2757760) (деталі)
• Microsoft Security Bulletin MS12-063 - Critical Cumulative Security Update for Internet Explorer (2744842) (деталі)

29.10.2012

Додаткова інформація.

• Microsoft Internet Explorer “scrollIntoView” Use-After-Free Vulnerability (MS12-063) (деталі)
• Microsoft Internet Explorer “OnMove” Use-After-Free Vulnerability (MS12-063) (деталі)

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 10.0, Thunderbird ESR 10.0, Firefox 15, Firefox 16, Thunderbird 15, Thunderbird 16, SeaMonkey 2.12, SeaMonkey 2.13.

Витік інформації, численні пошкодження пам’яті, переповнення буфера, міжсайтовий скриптінг, тощо.

• Mozilla Foundation Security Advisory 2012-73 (деталі)
• Mozilla Foundation Security Advisory 2012-74 (деталі)
• Mozilla Foundation Security Advisory 2012-75 (деталі)
• Mozilla Foundation Security Advisory 2012-76 (деталі)
• Mozilla Foundation Security Advisory 2012-77 (деталі)
• Mozilla Foundation Security Advisory 2012-78 (деталі)
• Mozilla Foundation Security Advisory 2012-79 (деталі)
• Mozilla Foundation Security Advisory 2012-80 (деталі)
• Mozilla Foundation Security Advisory 2012-81 (деталі)
• Mozilla Foundation Security Advisory 2012-82 (деталі)
• Mozilla Foundation Security Advisory 2012-83 (деталі)
• Mozilla Foundation Security Advisory 2012-84 (деталі)
• Mozilla Foundation Security Advisory 2012-85 (деталі)
• Mozilla Foundation Security Advisory 2012-86 (деталі)
• Mozilla Foundation Security Advisory 2012-87 (деталі)
• Mozilla Foundation Security Advisory 2012-88 (деталі)
• Mozilla Foundation Security Advisory 2012-89 (деталі)
• Mozilla Foundation Security Advisory 2012-90 (деталі)

Виявлені уразливості в Microsoft Fast Search Server.

Уразливі версії: Microsoft FAST Search Server 2010.

Численні уразливості у вбудованих бібліотеках Oracle Outside In.

• Microsoft Security Bulletin MS12-067 - Important Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2742321) (деталі)

Виявлена можливість обходу обмежень в Ruby.

Уразливі версії: Ruby 1.8.

Можлива модифікація рядків.

• Ruby vulnerabilities (деталі)

Виявлені Cross-Site Scripting уразливості у багатьох веб-додатках Microsoft.

Уразливі продукти: Microsoft SharePoint Server 2007, InfoPath 2007, InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Lync 2010, Microsoft Communicator 2007, Office Web Apps 2010, Groove Server 2010, Windows SharePoint Services 3.0.

Недостатня валідація HTML-даних.

• Microsoft Security Bulletin MS12-066 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2741517) (деталі)

Виявлена XSS уразливість в Microsoft SQL Server.

Уразливі продукти: Microsoft SQL Server 2000 Reporting Services, SQL Server 2005, SQL Server 2008, SQL Server 2012.

Міжсайтовий скриптінг в SQL Server Report Manager.

• Microsoft Security Bulletin MS12-070 - Important Vulnerability in SQL Server Could Allow Elevation of Privilege (2754849) (деталі)

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Підвищення привілеїв через динамічні бібліотеки, міжсайтовий скриптінг у mod_negotiation.

Раніше вже були XSS і HTTP Response Splitting уразливості у mod_negotiation, а зараз знайдена нова дірка в цьому модулі.

• Vulnerabilities in Apache (деталі)

Виявлені численні уразливості безпеки в IBM SDK Java Technology Edition.

Уразливі версії: IBM SDK Java Technology Edition 6.0, IBM SDK Java Technology Edition 7.0.

Понад 10 різний уразливостей з виходом з обмеженого середовища.

• Security vulnerabilities in IBM Java (деталі)

Виявлена проблема символьних лінків у Config::IniFiles.

Уразливі версії: Perl libconfig-inifiles 2.70.

Проблема символьних лінків при створенні тимчасових файлів.

• Config-IniFiles vulnerability (деталі)