Websecurity - Веб безпека

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Обхід безпеки та виконання коду.

У вересні, 05.09.2018, вийшов Mozilla Firefox 62. Нова версія браузера вийшла через два місяці після виходу Firefox 61.

Mozilla офіційно випустила реліз веб-браузера Firefox 62, а також мобільну версію Firefox 62 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 63 вийде 23 жовтня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 60.2.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка Cookie-атрибуту SameSite, що можна використовувати для захисту від CSRF-атак, включена підтримка TLS 1.3 та заборонене завантаження ресурсів по протоколу FTP зі сторінок відкритих по HTTP/HTTPS.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 62.0 усунуто 8 уразливостей, що значно менше ніж в попередній версії. Серед яких одна добірка уразливостей позначена як критична, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 62 (деталі)

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 61, Firefox ESR 60.1, Thunderbird ESR 60.1.

Пошкодження пам’яті, виконання коду, обхід налаштувань проксі, обхід обмежень, підробка адресного рядка в Firefox для Android, вказання майстер-паролю не видаляє попередні незашифровані паролі, що були додані в браузер до версії Firefox 58.

• MFSA 2018-20 Security vulnerabilities fixed in Firefox 62 (деталі)

У серпні, 16.08.2018, вийшли PHP 7.1.21 і PHP 7.2.9. У версії 7.1.21 виправлено багато багів і уразливостей, у версії 7.2.9 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.21 і 7.2.9 виправлено:

• Вибивання.
• Витоки пам’яті.
• Баги в ядрі та модулях.

По матеріалам http://www.php.net.

У вересні місяці Microsoft випустила нові патчі.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server, Lync та .NET Core, ASP.NET Core і ChakraCore.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft .NET Core 2.1, ASP.NET Core 2.1, ChakraCore, System.IO.Pipelines, Microsoft.Data.OData, .NET Framework 3.5, 3.5.1, 4.5.2, 4.6.2, 4.7, 4.7.1, 4.7.2.

Обхід безпеки та виконання коду.

У червні, 26.06.2018, вийшов Mozilla Firefox 61. Нова версія браузера вийшла через два місяці після виходу Firefox 60.

Mozilla офіційно випустила реліз веб-браузера Firefox 61, а також мобільну версію Firefox 61 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 62 вийде 5 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 52.9 і 60.1.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка Cookie-атрибуту SameSite, що можна використовувати для захисту від CSRF-атак, включена підтримка TLS 1.3 та заборонене завантаження ресурсів по протоколу FTP зі сторінок відкритих по HTTP/HTTPS.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 61.0 усунуто 52 уразливості, що значно більше ніж в попередній версії. Серед яких 39 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 61 (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft SharePoint Server 2010 SP2, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.