Websecurity - Веб безпека

У вересні, 28.09.2017, вийшов Mozilla Firefox 56. Нова версія браузера вийшла через півтора місяці після виходу Firefox 55.

Mozilla офіційно випустила реліз веб-браузера Firefox 56, а також мобільну версію Firefox 56 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 57 намічений на 14 листопада.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.4.

В браузері були зроблені покращення безпеки, зокрема додана підтримка автоматичного заповнення полів з адресою в веб формах та в опціях у секції “Privacy & Security” додана кнопка для редагування збережених адрес. API Safe Browsing, що використовується для перевірки URL в чорних списках шкідливих ресурсів, оновлений до версії 4. Також покращений захист механізму верифікації завантажених оновлень.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 56.0 усунуто 18 уразливостей, що менше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 56 (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду, дві підробки адресного рядку, дві XSS, витік кукісів, декілька витоків інформації в режимі Private browsing.

• APPLE-SA-2017-09-19-2 Safari 11 (деталі)

У вересні місяці Microsoft випустила нові патчі.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 2008, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, .NET Framework, Office Web Apps і SharePoint Server та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

У вересні 28.09.2017 і 29.09.2017, вийшли PHP 7.0.24 і PHP 7.1.10. У версії 7.0.24 виправлено багато багів і уразливостей, у версії 7.1.10 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.24 і 7.1.10 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Виконання коду в Outlook Web Access (OWA).

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps 2013 SP1, Office Online Server 2016, Excel Web App 2013 SP1, SharePoint Server 2007 SP3, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Foundation 2013 SP1, SharePoint Enterprise Server 2016, Lync 2010, Lync Basic 2013 SP1, Lync 2013 SP1, Skype for Business 2016 Basic, Skype for Business 2016.

Обхід безпеки, пошкодження пам’яті, виконання коду.

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 3.5.2, 4.6, 4.6.1, 4.6.2, 4.7.

Виконання коду через пошкодження пам’яті.

У вересні, 06.09.2017, через півтора місяці після виходу Google Chrome 60, вийшов Google Chrome 61.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 22 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 61 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 54, Firefox ESR 52.2, Thunderbird 52.2.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, витік інформації через обхід SOP, атака Domain hijacking через механізм AppCache, підробка навігації в браузері, витік інформації про CSP, некоректна обробка директив у CSP, обнулення файлів у Linux, XSS через XUL injection, DoS, іфрейми на сторінці about:srcdoc не наслідують CSP, проблеми з HSTS, читання додаткової пам’яті в Windows crash reporter, оновлювач на Windows може видаляти довільні файли з іменем update.log.

• MFSA 2017-18 Security vulnerabilities fixed in Firefox 55 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у вересні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.