Websecurity - Веб безпека

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Project Server 2013 SP1, SharePoint Enterprise Server 2016.

Обхід безпеки та виконання коду.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 56, Firefox ESR 52.4, Thunderbird 52.4.

Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, підробка адресного рядка, обхід CSP, встановлення кукіс через SVG зображення, self-XSS.

• MFSA 2017-24 Security vulnerabilities fixed in Firefox 57 (деталі)

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Exchange Server 2013, Exchange Server 2016.

Виконання коду в Malware Protection Engine.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у березні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

У листопаді, 29.11.2017, вийшов Mozilla Firefox 57.0.1. Нова версія браузера вийшла через пів місяця після виходу Firefox 57.

Це секюріті випуск в якому виправлені уразливості CVE-2017-7843: Web worker in Private Browsing mode can write IndexedDB data та CVE-2017-7844: Visited history information leak through SVG image.

• MFSA 2017-27 Security vulnerabilities fixed in Firefox 57.0.1 (деталі)

У лютому, 01.02.2018, вийшли PHP 7.1.14 і PHP 7.2.2. У версії 7.1.14 виправлено багато багів і уразливостей, у версії 7.2.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.14 і 7.2.2 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 28.12.2015 по 30.01.2018. Другий масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з трьох масових дефейсів і багатьох окремих дефейсів.

Всього було взломано 84 сайтів на сервері хостера TheHost (176.114.0.75). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: kam-pod.km.ua, kam-pod.gov.ua, osvita-kp.gov.ua, 14 піддоменів osvita-kp.gov.ua, testosvita.kam-pod.gov.ua, portal.kam-pod.gov.ua, old.kam-pod.gov.ua, new.kam-pod.gov.ua, dnz.kam-pod.gov.ua, cnap.kam-pod.gov.ua.

З зазначених 84 сайтів 23 сайти були взломані хакером maress, 21 сайт хакером TheWayEnd, 13 сайтів хакером X-0wl та по одному чи декілька іншими хакерами.

Під час взлому хакерами maress, TheWayEnd та X-0wl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (чи облікового запису з великою кількістю сайтів). Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду.

• APPLE-SA-2018-1-23-5 Safari 11.0.3 (деталі)

У грудні, 07.12.2017, через півтора місяці після виходу Google Chrome 62, вийшов Google Chrome 63.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 37 уразливостей, одна з них критична. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.

• Выпуск web-браузера Chrome 63 (деталі)

У лютому місяці Microsoft випустила нові патчі.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server і Project Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.