Websecurity - Веб безпека

Виявлена проблема з перевіркою сертифікатів у багатьох браузерах.

Уразливі продукти: Microsoft Internet Explorer 6, 7 і 8 під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server та Windows 7, Mozilla Firefox 3.6, Nokia QT 4.7.

Дозволено маски в сертифікатах по IP-адресам.

• Multiple Browser Wildcard Cerficate Validation Weakness (деталі)

Виявлена можливість пошкодження пам’яті в Google Chrome.

Уразливі версії: Google Chrome 6.0.

Пошкодження пам’яті при обробці подій пов’язаних з фокусом.

• Google Chrome Focus Processing Memory Corruption Vulnerability (деталі)

Виявлена Directory Traversal уразливість в libwww-perl (LWP).

Уразливі версії: libwww-perl 5.834.

Зворотний шлях у каталогах при збереженні файлів у lwp-download.

• Vulnerability in libwww-perl (деталі)

Можлива підміна діалогу завантаження файлу в браузері Opera.

Уразливі версії: Opera 10.50, Opera 10.60.

Можливо помістити вікно поверх вікна завантаження і забрати його перед кліком користувача.

• Opera “Download” Dialog File Execution Security Issue (деталі)

P.S.

Що цікаво, дану уразливість в Opera дослідники з Secunia виявили через пів місяця після того, як я оприлюднив File Download атаку проти різних браузерів, в тому числі й Opera .

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2882 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2880 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2864 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2869 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2881 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability - CVE-2010-2868 (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Director File FFFFFF88 Record Processing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director tSAC Chunk Parsing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director rcsL Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director PAMI Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player Director File FFFFFF45 Record Processing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director mmap Trusted Chunk Size Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director tSAC Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave TextXtra Allocator Integer Overflow Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Director rcsL Chunk Pointer Offset Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave CSWV Chunk Memory Corruption Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave tSAC Chunk Invalid Seek Memory Corruption Remote Code Execution Vulnerability (деталі)
• Security update available for Shockwave Player (деталі)

19.06.2010

Виявлена можливість витоку інформації через mod_proxy_http в Apache.

Уразливі версії: Apache 2.2.

За певних умов відповідь сервера може бути відправлена іншому клієнту.

• httpd Timeout detection flaw (mod_proxy_http) (деталі)

29.08.2010

Додаткова інформація.

• Vulnerability in Apache (деталі)

Виявлені Directory Traversal уразливості у панелі адміністрування Adobe Coldfusion.

Уразливі версії: Adobe ColdFusion MX 7.0, ColdFusion MX 8.0.

Численні можливості зворотного шляху в каталогах.

• Unauthenticated File Retrieval (traversal) within ColdFusion administration console (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 9.0, Flash Player 10.1, AIR 2.0.

Численні пошкодження пам’яті.

• Adobe Flash Player LocalConnection Memory Corruption Remote Code Execution Vulnerability (деталі)
• Security update available for Adobe Flash Player (деталі)

Виявлені уразливості безпеки в Microsoft .Net і Silverlight.

Уразливі продукти: Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Пошкодження пам’яті, виконання коду.

• Critical Vulnerabilities in the Microsoft .NET Common Language Runtime and in Microsoft Silverlight Could Allow Remote Code Execution (2265906) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, міжсайтовий доступ.

• Microsoft Security Bulletin MS10-053 - Critical Cumulative Security Update for Internet Explorer (2183461) (деталі)