Websecurity - Веб безпека

У травні, 09.05.2018, вийшов Mozilla Firefox 60. Нова версія браузера вийшла через два місяці після виходу Firefox 59.

Mozilla офіційно випустила реліз веб-браузера Firefox 60, а також мобільну версію Firefox 60 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 61 вийде 26 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.8.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка стандарту DNS over HTTPS (DoH).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 60.0 усунуто 26 уразливостей, що більше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 60 (деталі)

У березні, 07.03.2018, через півтора місяці після виходу Google Chrome 65, вийшов Google Chrome 66.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 62 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 66 (деталі)

У червні місяці Microsoft випустила нові патчі.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps, .NET Core, ASP.NET Core і ChakraCore та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

У березні, 26.03.2018, вийшов Mozilla Firefox 59.0.2. Нова версія браузера вийшла через два тижні після виходу Firefox 59.

Це секюріті випуск в якому виправлена уразливість CVE-2018-5148: Use-after-free in compositor.

• MFSA 2018-10 Use-after-free in compositor (деталі)

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.

Виконання коду в Oracle Outside In Library.

Виявлені уразливості в Microsoft .NET Core, ASP.NET Core і ChakraCore. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, ChakraCore.

Обхід безпеки та виконання коду.

У квітні, 26.04.2018, вийшли PHP 5.6.36, PHP 7.0.30, PHP 7.1.17 і PHP 7.2.5. У версії 5.6.36 виправлена одна уразливість, у версіях 7.0.30, 7.1.17 і 7.2.5 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x, 7.1.x і 7.2.x.

У PHP 5.6.36, 7.0.30, 7.1.16 і 7.2.4 виправлено:

• Обхід обмежень.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2018-04-24-3 Safari 11.1 (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у червні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016, SharePoint Foundation 2013 SP1, Project Server 2010 SP2, Office Online Server 2016.

Обхід безпеки та виконання коду.

Торік року відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся з 28.03.2017 по 06.07.2017. Четвертий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Він складався з одного масового дефейсу та двох окремих дефейсів.

Всього було взломано 258 сайтів на сервері Укртелекому (IP 93.190.43.49). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: fitolab.gov.ua, krasnograd-rada.gov.ua, blagove-silska-rada.gov.ua.

Всі 258 сайтів були взломані хакерами з chinafans.

Масовий дефейс хакерами chinafans явно були зроблені через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.