Websecurity - Веб безпека

Вивлена можливість обходу захисту в Google Chrome.

Уразливі версії: Google Chrome 3.0.

Не видається повідомлення про потенційну небезпеку деяких видів вмісту - файлів. mht, .mhtml, .svg та інших.

• Using Blended Browser Threats involving Chrome to steal files on your computer (деталі)

Виявлена закладка в Apache Tomcat для Windows.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

При установці створюється обліковий запис admin з порожнім паролем.

• CVE-2009-3548 Apache Tomcat Windows Installer insecure default administrative password (деталі)

Виявлена можливість несанкціонованого доступу через PHP.

Уразливі версії: PHP 4.4, PHP 5.1.

Зміни mbstring.func_overload в .htaccess застосовуються до всього серверу в цілому.

• Vulnerability in PHP (деталі)

Виявлена можливість обходу захисту в pdflib для PHP.

Уразливі версії: PHP 5.3.

Функція pdf_open_file не перевіряє відповідність шляху, що відкривається і open_basedir.

• Php 5.3.0 pdflib extension open_basedir bypass (деталі)

29.10.2009

Виявлені численні уразливості безпеки в Mozilla Firefox і SeaMonkey

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, SeaMonkey 2.0.

Переповнення буфера, підвищення привілеїв, витік інформації, міжсайтовий скриптінг.

• Mozilla Firefox Floating Point Memory Allocation Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2009-52 (деталі)
• Mozilla Foundation Security Advisory 2009-53 (деталі)
• Mozilla Foundation Security Advisory 2009-54 (деталі)
• Mozilla Foundation Security Advisory 2009-55 (деталі)
• Mozilla Foundation Security Advisory 2009-56 (деталі)
• Mozilla Foundation Security Advisory 2009-57 (деталі)
• Mozilla Foundation Security Advisory 2009-59 (деталі)
• Mozilla Foundation Security Advisory 2009-61 (деталі)
• Mozilla Foundation Security Advisory 2009-62 (деталі)
• Mozilla Foundation Security Advisory 2009-63 (деталі)
• Mozilla Foundation Security Advisory 2009-64 (деталі)
• Mozilla Firefox 3.5.3 Local Download Manager Exploit (деталі)

05.11.2009

Додаткова інформація.

• Mozilla Firefox GIF Color Map Parsing Buffer Overflow Vulnerability (деталі)
• Context IS Advisory - Autocomplete Data Theft in Mozilla Firefox (деталі)

Виявлена можливість виконання JavaScript-коду в Opera.

Уразливі версії: Opera 10.0.

Виконання JS-коду можливе через RSS-підписки.

• Hijacking Opera’s Native Page using malicious RSS payloads (деталі)

Виявлена можливість Denial of Service атаки через JDBC в IBM DB2.

Уразливі версії: IBM DB2 8.1, DB2 8.2.

Читання неініціалізованої пам’яті в jdbcReadString().

• IBM DB2 JDBC Applet Server Remote DoS Vulnerability (деталі)

Виявлена можливість ін’єкції SQL в Pygresql, Mysql-ocaml та Postgresql-ocaml.

Уразливі продукти: Pygresql 4.0, Mysql-ocaml 1.0, Postgresql-ocaml 1.7.

Не викликаються функції нормалізації тексту для багатобайтних кодових сторінок.

• New pygresql packages provide secure escaping (деталі)

Виявлена можливість виконання коду в Google Chrome через Internet Explorer.

Уразливі версії: Google Chrome 2.0.

Впровадження команд в URI googleapps.url.mailto://.

• google apps googleapps.url.mailto:// uri handler cross-browser remote command execution exploit (IE) (деталі)

Виявлена проблема з перевіркою сертифіката в Perl IO::Socket::SSL.

Уразливі версії: perl-IO-Socket-SSL 1.25.

Некоректно перевіряється ім’я хоста сертифіката в IO-Socket-SSL.

• Vulnerability in perl-IO-Socket-SSL (деталі)