У серпні, 03.08.2017, вийшли PHP 7.0.22 і PHP 7.1.8. У версії 7.0.22 виправлено багато багів і уразливостей, у версії 7.1.8 виправлено багато багів і уразливостей.
Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.
У PHP 7.0.22 і 7.1.8 виправлено:
По матеріалам http://www.php.net.
У липні, 25.07.2017, через півтора місяці після виходу Google Chrome 59, вийшов Google Chrome 60.
В браузері зроблено багато нововведень. Та виправлені численні уразливості.
Виправлено 40 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.
Виявлені уразливості безпеки в Apple Safari і Webkit.
Уразливі продукти: Apple Safari 8.0, Safari 9.1, Safari 10.1.
Пошкодження пам’яті, виконання коду, DoS, витік інформації, підробка адресного рядку, XSS.
Зокрема вони виправили DoS уразливість в Firefox, Opera та Chrome, про яку я повідомив ще в 2008 році і назвав DoS через друк (printing DoS attack). Виявив її в різних браузерах і в своїх статтях наголошував, що вона може стосуватися всіх браузерів з функцією друку. Тоді в мене не було Safari, тому не перевіряв в цьому браузері, але не сумнівався в його вразливості. На початку 2016 перевірив я перевірив цю та інші уразливості в Safari 6.0.1 та 8.4.1 для iOS, а 4 червня перевірив їх в Safari 10.0.2 та 10.3.2 для iOS. Про що повідомляв Apple в цьому ти минулому році, але вони проігнорували. Щоб в липні виправити цю DoS через дев’ять років після мого анонсу даної уразливості - без жодної згадки про мене чи подяки, з посиланням на іншого секюріті дослідника.
У липні місяці Microsoft випустила нові патчі.
У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.
Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, .NET Framework та Exchange Server.
Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.
Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у липні.
Уразливі продукти: Microsoft Exchange Server 2013 і 2013 SP1, Exchange Server 2016.
Виконання коду в Outlook Web Access (OWA).
У червні, 06.06.2017, через півтора місяці після виходу Google Chrome 58, вийшов Google Chrome 59.
В браузері зроблено багато нововведень. Та виправлені численні уразливості.
Виправлено 30 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що більше ніж в попередній версії.
Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Що були виправлені у вівторку патчів у липні.
Уразливі продукти: Microsoft .NET Framework 4.6, 4.6.1, 4.6.2, 4.7.
Виконання коду через пошкодження пам’яті.
Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у липні.
Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Online Server 2016, Excel Services on SharePoint Server 2010 SP2, SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016.
Обхід безпеки, пошкодження пам’яті, виконання коду.
В період з 21.03.2015 по 24.12.2016 відбувся масовий взлом сайтів на сервері Serverius. Раніше я розповідав про інші масові взломи.
Був взломаний сервер нідерландської компанії Serverius, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Який відбувся після шостого масового взлому сайтів на сервері Hetzner.
Всього було взломано 47 сайтів на сервері хостера Serverius (IP 93.158.223.27). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт ecohm.gov.ua.
З зазначених 47 сайтів 18 сайтів були взломані хакером HolaKo, 15 сайтів хакерами з Golden Team Dz, 5 сайтів хакером AnonymousFox, по 2 сайти хакерами d3b~X, TheWayEnd, NorilaClasse та по одному сайту хакерами NG689Skw, MuhmadEmad, Matrix Dz.
Масовий дефейс хакерами HolaKo та Golden Team Dz явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.
У липні, 06.07.2017, вийшли PHP 5.6.31, PHP 7.0.21 і PHP 7.1.7. У версії 5.6.31 виправлено багато уразливостей, у версії 7.0.21 виправлено багато багів і уразливостей, у версії 7.1.7 виправлено багато багів і уразливостей.
Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x і 7.1.x.
У PHP 5.6.31, 7.0.21 і 7.1.7 виправлено:
По матеріалам http://www.php.net.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.