Websecurity - Веб безпека

У квітні місяці Microsoft випустила нові патчі.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, Malware Protection Engine та Visual Studio.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

У березні, 01.03.2018, вийшли PHP 7.1.15 і PHP 7.2.3. У версії 7.1.15 виправлено багато багів і уразливостей, у версії 7.2.3 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.15 і 7.2.3 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 57, Firefox ESR 52.5, Thunderbird 52.5.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, витік інформації, виведення некоректного джерела захоплення аудіо потоку, дві уразливості у версії для OS X, підробка адресного рядка, обхід CORS.

• MFSA 2018-02 Security vulnerabilities fixed in Firefox 58 (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у квітні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Enterprise Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.

У січні, 29.01.2018, вийшов Mozilla Firefox 58.0.1. Нова версія браузера вийшла через тиждень після виходу Firefox 58.

Це секюріті випуск в якому виправлена уразливість CVE-2018-5124: Sanitize HTML fragments created for chrome-privileged documents.

• MFSA 2018-05 Arbitrary code execution through unsanitized browser UI (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у квітні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

У березні місяці Microsoft випустила нові патчі.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Exchange Server, Office Web Apps і SharePoint Server, .NET Framework і ASP.NET.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В період з 11.01.2013 по 25.10.2016 та 16.01.2017 відбувся масовий взлом сайтів на сервері NeoCom. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrnames. Взлом складався з кількох масових дефейсів та багатьох невеликих дефейсів сайтів. Він відбувся після згаданого масового взлому сайтів на сервері TheHost.

Всього був взломаний 51 сайт на сервері хостера NeoCom (IP 212.82.217.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти gorzdrav.ck.ua (2013 і 2014), oblradack.gov.ua.

З зазначених 51 сайту 46 сайтів були взломані хакером TheWayEnd та інші сайти іншими хакерами.

Масовий дефейс хакером TheWayEnd явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені уразливості в Microsoft .NET Core і ASP.NET Core. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft .NET Core 1.0, 1.1, 2.0, ASP.NET Core 1.0, 1.1, 2.0, .NET Framework.

Обхід безпеки та витік інформації.

У грудні, 07.12.2017, вийшов Mozilla Firefox 57.0.2. Нова версія браузера вийшла більше ніж через пів місяця після виходу Firefox 57.

Це секюріті випуск в якому виправлена уразливість CVE-2017-7845: Buffer overflow when drawing and validating elements with ANGLE library using Direct 3D 9. Після цього в грудні вийшла версія Firefox 57.0.3 з виправленням багів.

У січні, 04.01.2018, вийшов Mozilla Firefox 57.0.4. Це секюріті випуск в якому виправлена уразливість, що стосується сучасних процесорів Speculative execution side-channel attack - ця атака отримала назву “Spectre”. Вона також була виправлена в Firefox 52 ESR.

• MFSA 2017-29 Security vulnerabilities fixed in Firefox 57.0.2 (деталі)
• MFSA 2018-01 Speculative execution side-channel attack (”Spectre”) (деталі)