Websecurity - Веб безпека

20.07.2009

Вийшло чергове щоквартальне оновлення безпеки Oracle.

Уразливі продукти: Oracle 9i, Oracle 10g, Oracle 11g та інші програмні продукти Oracle.

Виправлено близько 30 уразливостей у всіх продуктах.

• Oracle BEA Weblogic 10.3 Linked ХSS vulnerability (деталі)
• Oracle Secure Enterprise Search 10.1.8 Linked XSS vulnerability (деталі)
• Oracle Critical Patch Update Advisory - July 2009 (деталі)

31.08.2009

Додаткова інформація.

• Buffer Overflow in Resource Manager of Oracle Database - Plan name parameter (деталі)
• Oracle 11g (11.1.0.6) Password Policy and Compliance (деталі)
• Bypassing DBMS_ASSERT in certain situations (деталі)
• Oracle PL/SQL Injection Flaw in REPCAT_RPC.VALIDATE_REMOTE_RC (деталі)
• Oracle 11g (11.1.0.6) Password Policy and Compliance (деталі)
• Oracle Secure Backup Administration Server Authentication Bypass Vulnerability (деталі)
• Oracle Secure Backup Administration Server Multiple Command Injection Vulnerabilities (деталі)
• Multiple SQL Injection vulnerabilities in Oracle Enterprise Manager (деталі)
• Oracle CPUjul2009 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey, а також в бібліотеці NSS. Що були виправлені в цьому місяці в останніх версіях даних програм.

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, Thunderbird 2.0, Seamonkey 1.1, NSS 3.12.

Підміна сертифіката, переповнення буфера, виконання коду.

• Mozilla Foundation Security Advisory 2009-38 (деталі)
• Mozilla Foundation Security Advisory 2009-42 (деталі)
• Mozilla Foundation Security Advisory 2009-43 (деталі)
• Mozilla Foundation Security Advisory 2009-44 (деталі)
• Mozilla Foundation Security Advisory 2009-45 (деталі)
• Mozilla Foundation Security Advisory 2009-46 (деталі)

Виявлена DoS уразливість в PHP.

Уразливі версії: PHP 5.2.

Відмова при розборі Exif-даних у JPEG.

• PHP vulnerability (деталі)

Виявлены численні уразливості в багатьох розширеннях Mozilla Firefox.

Уразливі продукти: плагіни WizzRSS Reader 3.1, WizzRSS Reader Lite 3.0, ScribeFire 3.4, Feed Sidebar 3.1, Update Scanner та CoolPreviews для Mozilla Firefox.

Різні розширення дають можливість виконання коду.

• WizzRSS Firefox Extension - Privileged Code Injection (деталі)
• ScribeFire Firefox Extension - Privileged Code Injection (деталі)
• Feed Sidebar Firefox Extension - Privileged Code Injection (деталі)
• Update Scanner - Firefox Extension - Chrome Privileged Code Injection (деталі)
• CoolPreviews - Firefox Extension - Chrome Privileged Code Injection (деталі)

03.07.2009

Виявлена DoS уразливість в Perl.

Уразливі версії: Perl 5.10.

Відмова при розборі стиснення zlib через Compress::Raw::Zlib.

• Perl vulnerability (деталі)

21.08.2009

Додаткова інформація.

• perl-Compress-Raw-Bzip2 (деталі)

Виявлені Cross-Site Scripting уразливості в Adobe Coldfusion.

Уразливі версії: Adobe Coldfusion 8.

Численні умови міжсайтового скриптінга.

• Adobe Coldfusion 8 Multiple Linked XSS Vulnerabilies (деталі)

Виявлена можливість проведення DoS атаки проти Microsoft ASP.NET.

Уразливі продукти: Internet Information Services (IIS) 7.0 на Microsoft Windows Vista та Windows 2008 Server.

• Microsoft Security Bulletin MS09-036 - Important Vulnerability in ASP.NET in Microsoft Windows Could Allow Denial of Service (970957) (деталі)

Виявлене цілочисленне переповнення в Adobe Flash Player та AIR.

Уразливі продукти: Adobe Flash Player 10.0, AIR 1.5.

Цілочисленне переповнення в полі intf_count структури instance_info.

• Adobe Flash Player Invalid Loader Object Reference Vulnerability (деталі)
• Adobe Flash Player URL Parsing Heap Overflow Vulnerability (деталі)
• Advisory: Adobe Flash Player and AIR AVM2 intf_count Integer Overflow Remote Code Execution (CVE-2009-1869) (деталі)

31.07.2009

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6, 7 та 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Численні ушкодження пам’яті, крім того, додане тимчасове рішення для уразливості бібліотеки ATL.

• Microsoft Security Bulletin MS09-034 - Critical Cumulative Security Update for Internet Explorer (972260) (деталі)

07.08.2009

Додаткова інформація.

• Microsoft Internet Explorer getElementsByTagName Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer CSS Behavior Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer HTML TIME ‘ondatasetcomplete’ Use After Free Vulnerability (деталі)

Нова добірка експлоітів для останніх помилок (уразливостей) в Internet Explorer. В ній представлені експлоіти для IE7 та IE8.

• MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (деталі)
• MS Internet Explorer 7/8 findText Unicode Parsing Crash Exploit (деталі)
• MS Internet Explorer 8.0.7100.0 Simple HTML Remote Crash PoC (деталі)

Попередня добірка eксплоітів для Internet Explorer.