Websecurity - Веб безпека

Виявлена можливість обходу обмежень обмеженого середовища (sandbox) в Java.

Уразливі продукти: Oracle JDK 7, JRE 7.

Існує кілька способів обходу обмежень і виконання привілейованого коду з аплета.

• New security issue affecting Java SE 7 Update 7 (деталі)
• Oracle Java 7 Security Manager Bypass Vulnerability (деталі)
• Information regarding recently discovered Java 7 attack (деталі)

Виявлені численні уразливості безпеки в Apple Safari, WebKit, Google Chrome.

Уразливі продукти: Apple Safari 6.0, WebKit, Google Chrome 20.0.

Витік інформації, пошкодження пам’яті.

• APPLE-SA-2012-09-19-3 Safari 6.0.1 (деталі)

12.09.2012

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 10.0, Thunderbird ESR 10.0, Firefox 14, Thunderbird 14, SeaMonkey 2.12.

Підвищення привілеїв, численні пошкодження пам’яті, переповнення буфера, використання після звільнення.

• Mozilla Foundation Security Advisory 2012-57 (деталі)
• Mozilla Foundation Security Advisory 2012-58 (деталі)
• Mozilla Foundation Security Advisory 2012-59 (деталі)
• Mozilla Foundation Security Advisory 2012-60 (деталі)
• Mozilla Foundation Security Advisory 2012-61 (деталі)
• Mozilla Foundation Security Advisory 2012-62 (деталі)
• Mozilla Foundation Security Advisory 2012-63 (деталі)
• Mozilla Foundation Security Advisory 2012-64 (деталі)
• Mozilla Foundation Security Advisory 2012-65 (деталі)
• Mozilla Foundation Security Advisory 2012-66 (деталі)
• Mozilla Foundation Security Advisory 2012-67 (деталі)
• Mozilla Foundation Security Advisory 2012-68 (деталі)
• Mozilla Foundation Security Advisory 2012-69 (деталі)
• Mozilla Foundation Security Advisory 2012-70 (деталі)
• Mozilla Foundation Security Advisory 2012-71 (деталі)
• Mozilla Foundation Security Advisory 2012-72 (деталі)

20.09.2012

Додаткова інформація.

• Mozilla Firefox “nsHTMLEditRules” Remote Use-after-free (CVE-2012-3958 / MFSA 2012-58) (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.3, AIR 3.3.

Пошкодження пам’яті, цілочисленні переповнення, витік інформації.

• VUPEN - Adobe Flash Player “Matrix3D” Integer Overflow Code Execution (APSB12-19) (деталі)
• Security updates available for Adobe Flash Player (деталі)

23.03.2012

Виявлені численні уразливості в Apple WebKit, iTunes, iPhone, Safari, Google Chrome.

Уразливі продукти: Apple WebKit, iTunes 10.5, iPhone OS 5.1, Safari 5.1, Google Chrome 15.0.

Більше 70 різних уразливостей пов’язаних з пошкодженням пам’яті, міжсайтовий скриптінг, витік інформації.

Як і нещодавні уразливості в Google Chrome (і всі попередні), зазначені численні уразливості в WebKit, який використовує Chrome, наочно демонструють дірявість браузера Гугла (щоб вони не розповідали). Так само як і Apple Safari.

• APPLE-SA-2012-03-07-1 iTunes 10.6 (деталі)

10.04.2012

Додаткова інформація.

• Apple Safari on iOS 5.1 - Adressbar spoofing vulnerability (деталі)

01.09.2012

Додаткова інформація.

• WebKit ContentEditable swapInNode Use-After-Free Remote Code Execution Vulnerability (деталі)

Виявлена можливість підвищення привілеїв у PostgreSQL.

Уразливі версії: PostgreSQL 8.3, PostgreSQL 8.4, PostgreSQL 9.1.

Різні підвищення привілеїв через розширення XML2.

• PostgreSQL vulnerabilities (деталі)

22.02.2012

Виявленні численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 6, JDK 7.

Виявлено 14 різних уразливостей.

• Oracle Java Web Start Command Argument Injection Remote Code Execution (деталі)

20.07.2012

Додаткова інформація.

• Regarding Oracle’s Critical Patch Update for Java SE (деталі)
• Oracle Java OpenAL Library Pointer Manipulation Remote Code Execution Vulnerability (деталі)
• Oracle Java GlueGen Arbitrary Native Library Loading Remote Code Execution Vulnerability (деталі)
• Oracle Java SE Critical Patch Update Advisory - February 2012 (деталі)
• Oracle Java SE Critical Patch Update Advisory - June 2012 (деталі)

30.08.2012

Додаткова інформація.

• Oracle Java WebStart Browser Argument Injection Remote Code Execution Vulnerability (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Пошкодження пам’яті, цілочисленні переповнення, перезапис вказівника на функцію.

• Internet Explorer Script Interjection Code Execution (деталі)
• Microsoft Security Bulletin MS12-052 - Critical Cumulative Security Update for Internet Explorer (2722913) (деталі)
• Microsoft Security Bulletin MS12-056 - Important Vulnerability in JScript and VBScript Engines Could Allow Remote Code Execution (2706045) (деталі)

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle Java Runtime Environment, Java Web Start та JavaFX.

Виявлені численні пошкодження пам’яті, що дозволяють віддалене виконання коду.

• Oracle Java True Type Font IDEF Opcode Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Java Web Start java-vm-args Command Argument Injection Remote Code Execution (деталі)
• Oracle Java JavaFX Arbitrary Argument Remote Code Execution Vulnerability (деталі)
• Oracle Java Web Start JNLP Double Quote Remote Code Execution Vulnerability (деталі)
• Oracle Java Runtime Environment readMabCurveData Integer Overflow Remote Code Execution Vulnerability (деталі)

Виявлена можливість підміни DLL в Google Chrome (DLL Hijacking).

Уразливі версії: Google Chrome 19.0.

Небезпечний виклик metro_driver.dll.

• Google Chrome 19 metro_driver.dll mishandling (деталі)