Websecurity - Веб безпека

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Виконання коду в Oracle Outside In Library.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, ChakraCore.

Обхід безпеки та виконання коду.

У квітні, 26.04.2018, вийшли PHP 5.6.36, PHP 7.0.30, PHP 7.1.17 і PHP 7.2.5. У версії 5.6.36 виправлена одна уразливість, у версіях 7.0.30, 7.1.17 і 7.2.5 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x, 7.1.x і 7.2.x.

У PHP 5.6.36, 7.0.30, 7.1.16 і 7.2.4 виправлено:

• Обхід обмежень.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2018-04-24-3 Safari 11.1 (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, SharePoint Foundation 2013 SP1, Project Server 2010 SP2, Office Online Server 2016.

Обхід безпеки та виконання коду.

Торік року відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся з 28.03.2017 по 06.07.2017. Четвертий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Він складався з одного масового дефейсу та двох окремих дефейсів.

Всього було взломано 258 сайтів на сервері Укртелекому (IP 93.190.43.49). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: fitolab.gov.ua, krasnograd-rada.gov.ua, blagove-silska-rada.gov.ua.

Всі 258 сайтів були взломані хакерами з chinafans.

Масовий дефейс хакерами chinafans явно були зроблені через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 58, Firefox ESR 52.6, Thunderbird 52.6.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, витік інформації, XSS, обхід SOP, підробка адресного рядка, DoS через Push API.

• MFSA 2018-06 Security vulnerabilities fixed in Firefox 59 (деталі)

Виявлені уразливості в Microsoft .NET Core і ASP.NET Core. Що були виправлені у вівторку патчів у травні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, .NET Framework.

Обхід безпеки та виконання коду.

У березні, 07.03.2018, через півтора місяці після виходу Google Chrome 64, вийшов Google Chrome 65.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 45 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 65 (деталі)