Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 15.0.

Виконання коду, підвищення привілеїв, DoS.

• Численні уразливості безпеки в Google Chrome (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.3.

Міжсайтовий скриптінг, виконання коду, пошкодження пам’яті, витік інформації.

• Mozilla Foundation Security Advisory 2011-46 (деталі)
• Mozilla Foundation Security Advisory 2011-47 (деталі)
• Mozilla Foundation Security Advisory 2011-48 (деталі)
• Mozilla Foundation Security Advisory 2011-49 (деталі)
• Mozilla Foundation Security Advisory 2011-50 (деталі)
• Mozilla Foundation Security Advisory 2011-51 (деталі)
• Mozilla Foundation Security Advisory 2011-52 (деталі)

P.S.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS, про яку я писав ще в березні 2009 (тоді ж я писав і про кодування EUC-JP, що вони досі не виправили). Тобто моє повідомлення Мозілі та публікацію 03.03.2009 вони проігнорували, а лише через 2,5 роки, 08.11.2011, вони виправили одну з декількох повідомлених мною уразливостей. Що говорить про несерйозність Mozilla.

01.11.2011

Виявлені численні уразливості в Oracle Java.

Уразливі продукти: Oracle JRE 1.4, JRE 5, JDK 5, JRE 6, JDK 6, JRE 7, JDK 7, JavaFX 2.0, JRockit 28.1.

Щоквартальне оновлення закриває 20 різних уразливостей.

• Oracle Java MixerSequencer.nAddControllerEventCallback Remote Code Execution Vulnerability (деталі)
• Oracle Java IIOP Deserialization Type Confusion Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Rhino Script Engine Remote Code Execution Vulnerability (деталі)
• DNS Poisoning via Port Exhaustion (деталі)

18.11.2011

Додаткова інформація.

• Java for Mac OS X 10.7 Update 1 and Java for Mac OS X 10.6 Update 6 (деталі)

Численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Director File Parsing data of rcsl chunk multiple DOS vulnerabilities (деталі)
• Adobe Shockwave Player Director File Parsing PAMM memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)

Виявлена можливість підвищення привілеїв в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Підвищення привілеїв через керуючий додаток.

• Apache Tomcat - Privilege Escalation via Manager app (деталі)

11.10.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті з можливістю виконання коду.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

21.10.2011

Додаткова інформація.

• Microsoft Internet Explorer Object Handling Memory Corruption Vulnerability (деталі)
• Two Remote Code Execution Vulnerabilities in Internet Explorer (деталі)

03.11.2011

Додаткова інформація.

• Microsoft Internet Explorer “X-UA-COMPATIBLE” Use-after-free Vulnerability (деталі)
• Internet Explorer Select Element Cache Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Select Element Insufficient Type Checking Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer swapNode Handling Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer SetExpandedClipRect Remote Code Execution Vulnerability (деталі)

14.10.2011

Виявлені численні уразливості безпеки в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Виконання коду, міжсайтовий скриптінг, DoS.

• Microsoft Security Bulletin MS11-079 - Important Vulnerabilities in Microsoft Forefront Unified Access Gateway Could Cause Remote Code Execution (деталі)

02.11.2011

Додактова інформація.

• Client-side remote file upload & command execution in Microsoft Forefront UAG Remote Access Agent (деталі)

Виявлені численні уразливості безпеки в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, WebLogic Portal 9.2, WebLogic Server 9.2, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9 та інші продукти Oracle.

Чергове щоквартальне оновлення закриває більше 50 уразливостей у всіх основних продуктах.

• Oracle DataDirect Multiple Native Wire Protocol ODBC Drivers HOST Attribute Stack Based Buffer Overflow Vulnerability (деталі)
• Buffer Overflow in Oracle Database (CTXSYS.DRVDISP.TABLEFUNC_ASOWN function) (деталі)
• Database Vault Account Management Vulnerabilites (деталі)
• SQL Injection Vulnerability in Oracle DROP INDEX for spatial datatypes (деталі)
• Oracle Critical Patch Update Advisory - October 2011 (деталі)

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі продукти: Apple Safari 5.1, WebKit.

Міжсайтовий скриптінг, виконання коду, численні пошкодження пам’яті.

• APPLE-SA-2011-10-12-4 Safari 5.1.1 (деталі)

Виявлена можливість несанкціонованого доступу до внутрішньої мережі через Apache mod_proxy.

Уразливі версії: Apache 1.3, Apache 2.0, Apache 2.2.

Некоректно обробляються URI зі знаком @.

• Vulnerability in Apache (деталі)