Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 13.0, Thunderbird 13.0, SeaMonkey 2.10.

Численні пошкодження пам’яті, виконання коду, підміна даних, міжсайтовий скриптінг, витік інформації.

• Mozilla Firefox nsHTMLSelectElement Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2012-41 (деталі)
• Mozilla Foundation Security Advisory 2012-42 (деталі)
• Mozilla Foundation Security Advisory 2012-43 (деталі)
• Mozilla Foundation Security Advisory 2012-44 (деталі)
• Mozilla Foundation Security Advisory 2012-45 (деталі)
• Mozilla Foundation Security Advisory 2012-46 (деталі)
• Mozilla Foundation Security Advisory 2012-47 (деталі)
• Mozilla Foundation Security Advisory 2012-48 (деталі)
• Mozilla Foundation Security Advisory 2012-49 (деталі)
• Mozilla Foundation Security Advisory 2012-50 (деталі)
• Mozilla Foundation Security Advisory 2012-51 (деталі)
• Mozilla Foundation Security Advisory 2012-52 (деталі)
• Mozilla Foundation Security Advisory 2012-53 (деталі)
• Mozilla Foundation Security Advisory 2012-54 (деталі)
• Mozilla Foundation Security Advisory 2012-55 (деталі)
• Mozilla Foundation Security Advisory 2012-56 (деталі)

14.07.2012

Виявлені численні уразливості безпеки в Python.

Уразливі версії: Python 2.7.

DoS, міжсайтовий скриптінг, витік інформації.

• Vulnerabilities in Python (деталі)

21.08.2012

Додаткова інформація.

• Vulnerabilities in python-pycrypto (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Переповнення в _php_stream_scandir, обхід open_basedir у функціоналі SQLite.

• Vulnerabilities in PHP (деталі)

Виявлені численні уразливості безпеки в Microsoft Sharepoint.

Уразливі продукти: Microsoft Office SharePoint Server 2007 SP2 і SP3, Windows SharePoint Services 3.0 SP2, SharePoint Foundation 2010 Gold і SP1.

Міжсайтовий скриптінг, перенаправлення URL.

• Microsoft Security Bulletin MS12-050 - Important Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2695502) (деталі)

Виявлена можливість обходу захисту в Apache mod_security. Це черговий обхід захисту в mod_security. Подібні методи постійно виявляються, сам розробив чимало методів обходу WAF, в тому числі mod_security. Тобто це звичайна ситуація для WAF, що їх захисні фільтри обходяться (не кажучи, що вони апріорі не захищають від всіх атак).

Уразливі версії: Apache mod_security 2.6.

Можливо обійти перевірки при одночасному використанні Content-Disposition: attachment і Content-Type: multipart.

• libapache-mod-security security update (деталі)

Виявлена Cross-Site Scripting уразливість в Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 2012.

Міжсайтовий скриптінг при відображенні URL.

• Microsoft Security Bulletin MS12-040 - Important Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100) (деталі)

Виявлені уразливості безпеки в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 1.0, IIS 2.0, IIS 3.0, IIS 4.0, IIS 5.0, IIS 5.1, IIS 6.0, IIS 7.0, IIS 7.5.

Флуд запитами з тільдою в імені файлу чи каталогу приводить до відмови сервера. Дозволений доступ по іменах формату 8.3, що полегшує підбір імені схованих папок чи файлів.

• IIS Short File/Folder Name Disclosure by using tilde ~ character (деталі)
• .Net Framework Tilde Character DoS (деталі)

Виявлена можливість підміни URL в Opera (URL Spoofing).

Уразливі версії: Opera 11.61.

Можливо перехопити подію переходу на інший сайт і підмінити вміст сторінки.

• opera website spoof (деталі)

16.06.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-037 - Critical Cumulative Security Update for Internet Explorer (2699988) (деталі)

11.07.2012

Додаткова інформація.

• Microsoft Internet Explorer “CollectionCache” Remote Use-after-free (MS12-037) (деталі)
• Microsoft Internet Explorer “GetAtomTable” Remote Use-after-free (MS12-037 / CVE-2012-1875) (деталі)
• Microsoft Internet Explorer “Col” Element Remote Heap Overflow (MS12-037 / CVE-2012-1876) (деталі)
• Microsoft IE Developer Toolbar Remote Code Execution Vulnerability (деталі)
• Microsoft IE Same ID Property Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Fixed Table Colspan Remote Code Execution Vulnerability (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 12.0, Thunderbird 12.0, SeaMonkey 2.9.

Переповнення буфера, пошкодження пам’яті, use-after-free, виконання коду, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2012-34 (деталі)
• Mozilla Foundation Security Advisory 2012-35 (деталі)
• Mozilla Foundation Security Advisory 2012-36 (деталі)
• Mozilla Foundation Security Advisory 2012-37 (деталі)
• Mozilla Foundation Security Advisory 2012-38 (деталі)
• Mozilla Foundation Security Advisory 2012-39 (деталі)
• Mozilla Foundation Security Advisory 2012-40 (деталі)