Websecurity - Веб безпека

У березні, 16.03.2017, вийшли PHP 7.0.17 і PHP 7.1.3. У версії 7.0.17 виправлено багато багів і уразливостей, у версії 7.1.3 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.17 і 7.1.3 виправлено:

• Витоки інформації.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у травні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 8.0, Safari 9.1, Safari 10.0.

Пошкодження пам’яті, виконання коду, витік інформації, підробка адресного рядку, підробка вмісту, обхід CSP, DoS, універсальні XSS.

• APPLE-SA-2017-03-27-2 Safari 10.1 (деталі)

Виявлена уразливість в Microsoft .NET Framework та Microsoft Windows. Що була виправлена у вівторку патчів у квітні.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2.

Виконання коду через пошкодження пам’яті.

У квітні місяці Microsoft випустила нові патчі. На відміну від березня, точна кількість патчів не вказана.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з цього місяця бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Silverlight, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у квітні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2, SharePoint Foundation 2013 SP1.

Обхід безпеки, пошкодження пам’яті, виконання коду, витік інформації, XSS.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 8.0, Safari 9.1, Safari 10.0.

Пошкодження пам’яті, виконання коду, підробка адресного рядку, витік інформації.

• APPLE-SA-2017-01-23-5 Safari 10.0.3 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у квітні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

У квітні, 19.04.2017, вийшов Mozilla Firefox 53. Нова версія браузера вийшла через півтора місяці після виходу Firefox 52.

Mozilla офіційно випустила реліз веб-браузера Firefox 53, а також мобільну версію Firefox 53 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 54 намічений на 13 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.1.

В браузері були зроблені покращення безпеки, зокрема додана підтримка встановлення захищених з’єднань з використанням TLS 1.3 та додана опція network.http.referer.userControlPolicy, що дозволяє визначити за замовчуванням політику відправлення заголовка Referrer.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 53.0 усунуто 39 уразливостей, що значно більше ніж в попередній версії. Серед яких вісім позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 53 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 52, Firefox ESR 45.8, ESR 52, Thunderbird 52.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, XSS, вибивання, витік інформації, читання та запис довільних файлів на комп’ютері, підробка адресного рядку, включення HTML у вбудований RSS Reader.

• MFSA2017-10 Security vulnerabilities fixed in Firefox 53 (деталі)