Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 49, Firefox ESR 45.4, Thunderbird 45.4.

Пошкодження пам’яті, переповнення буфера, вибивання, підробка адресного рядку, витік інформації, обхід обмежень.

• MFSA 2016-89 Security vulnerabilities fixed in Firefox 50 (деталі)

У листопаді, 15.11.2016, вийшов Mozilla Firefox 50. Нова версія браузера вийшла через півтора місяці після виходу Firefox 49.

Mozilla офіційно випустила реліз веб-браузера Firefox 50, а також мобільну версію Firefox 50 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 51 намічений на 24 січня, а Firefox 52 на 7 березня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.5.

В браузері було зроблено покращення безпеки, зокрема додані напрацювання ініціативи по переносу з Tor Browser деяких можливостей, що дозволяють посилити захист персональної інформації. Також доданий захист від завантаження різних типів виконуваних файлів для Windows, MacOS і Linux, в заголовок Set-Cookie додана підтримка службових префіксів “__Host-” і “__Secure-”, додана підтримка заголовків X-Content-Type-Options: nosniff та Referrer-Policy, в CSP представлена директива sandbox.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 50.0 усунуто 27 уразливостей, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 50 (деталі)

У листопаді місяці Microsoft випустила 14 патчів. Що більше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps та SQL Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

У листопаді, 10.11.2016, вийшли PHP 5.6.28 і PHP 7.0.13. У версії 5.6.28 виправлено багато багів і 15 уразливостей, у версії 7.0.13 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.28 і 7.0.13 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Три уразливості в PHP 5.6.28.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft SQL Server.

Уразливі продукти: Microsoft SQL Server 2012 SP2 і SP3, SQL Server 2014 SP1 і SP2, SQL Server 2016.

Підвищення привілеїв, міжсайтовий скриптінг та витік інформації. 4 EoP, XSS в MDS та IL в SQL Analysis Services.

• Microsoft Security Bulletin MS16-136 - Important Security Update for SQL Server (3199641) (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, що призводять до виконання коду.

• Microsoft Security Bulletin MS16-133 - Important Security Update for Microsoft Office (3199168) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-129 - Critical Cumulative Security Update for Microsoft Edge (3199057) (деталі)
• Microsoft Security Bulletin MS16-142 - Critical Cumulative Security Update for Internet Explorer (3198467) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 05.02.2015 по 24.05.2016. Сьомий масовий взлом сайтів на сервері Ukraine відбувся в той самий час.

Був взломаний сервер української компанії Ukraine. Взлом складався з декількох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 95 сайтів на сервері хостера Ukraine (IP 185.68.16.120). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт drohobych-rda.gov.ua.

З них 44 сайти були взломані хакерами з Team_CC, 38 сайтів хакером Zorrokin, 10 сайтів хакером TheWayEnd та по одному хакерами Phenomene Dz, ReSPiRaToR, iCodeR.

Масові дефейси хакерами TheWayEnd, ZoRRoKiN і Team_CC явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному сайту, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)

У вересні, 23.09.2016, вийшов Mozilla Firefox 49.0.1, де усунутий баг з плагіном Websense (вибивання браузера). У жовтні, 20.10.2016, вийшов Mozilla Firefox 49.0.2. Нова версія браузера вийшли через місяць після виходу Firefox 49.

Це багфікс та секюріті випуск в якому зроблені покращення. У версії 49.0.2 виправлені як баги, так і уразливості. Зроблений асинхронний рендеринг Flash вмісту - це має виправити вибивання браузера при перегляді флеш файлів (що можна віднести до DoS уразливості, але Mozilla типово не відносить це до уразливостей, а до багів). Та виправлені use-after-free уразливість і витік інформації з кешу браузера.

• MFSA 2016-87 Security vulnerabilities fixed in Firefox 49.0.2 (деталі)