Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 48, Firefox ESR 45.3, Thunderbird 45.3.

Пошкодження пам’яті, переповнення буфера, вибивання, витік інформації, обхід обмежень.

• MFSA-85 Security vulnerabilities fixed in Firefox 49 (деталі)

У жовтні місяці Microsoft випустила 10 патчів. Що менше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 10 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості, три патчі закривають важливі уразливості та один патч закриває помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps, Silverlight, .NET Framework, Skype for Business і Lync та Microsoft Internet Messaging API.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 47, Firefox ESR 45.2, Thunderbird 45.2, SeaMonkey 2.39.

Пошкодження пам’яті, переповнення буфера, вибивання, підробка адресного рядку, витік інформації, обхід обмежень.

• MFSA-62 Miscellaneous memory safety hazards (rv:48.0 / rv:45.3) (деталі)
• MFSA-63 Favicon network connection can persist when page is closed (деталі)
• MFSA-64 Buffer overflow rendering SVG with bidirectional content (деталі)
• MFSA-65 Cairo rendering crash due to memory allocation issue with FFmpeg 0.10 (деталі)
• MFSA-66 Location bar spoofing via data URLs with malformed/invalid mediatypes (деталі)
• MFSA-67 Stack underflow during 2D graphics rendering (деталі)
• MFSA-68 Out-of-bounds read during XML parsing in Expat library (деталі)
• MFSA-69 Arbitrary file manipulation by local user through Mozilla updater and callback application path parameter (деталі)
• MFSA-70 Use-after-free when using alt key and toplevel menus (деталі)
• MFSA-71 Crash in incremental garbage collection in JavaScript (деталі)
• MFSA-72 Use-after-free in DTLS during WebRTC session shutdown (деталі)
• MFSA-73 Use-after-free in service workers with nested sync events (деталі)
• MFSA-74 Form input type change from password to text can store plain text password in session restore file (деталі)
• MFSA-75 Integer overflow in WebSockets during data buffering (деталі)
• MFSA-76 Scripts on marquee tag can execute in sandboxed iframes (деталі)
• MFSA-77 Buffer overflow in ClearKey Content Decryption Module (CDM) during video playback (деталі)
• MFSA-78 Type confusion in display transformation (деталі)
• MFSA-79 Use-after-free when applying SVG effects (деталі)
• MFSA-80 Same-origin policy violation using local HTML file and saved shortcut file (деталі)
• MFSA-81 Information disclosure and local file manipulation through drag and drop (деталі)
• MFSA-82 Addressbar spoofing with right-to-left characters on Firefox for Android (деталі)
• MFSA-83 Spoofing attack through text injection into internal error pages (деталі)
• MFSA-84 Information disclosure through Resource Timing API during page navigation (деталі)

У жовтні, 12.10.2016, через півтора місяці після виходу Google Chrome 53, вийшов Google Chrome 54.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 21 уразливість. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 54 (деталі)

Виявлена уразливість в Microsoft Internet Messaging API. Це компонент Windows, але відноситься до Internet Explorer. Тому Microsoft випустила окремий бюлетень, окрім жовтневого бюлетеню для Internet Explorer. Для експлуатації цієї уразливості потрібно, щоб жертва зайшла на сайт з експлоітом в браузері IE.

Уразливі продукти: Microsoft Internet Explorer під Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2.

Витік інформації в API - можна перевіряти наявність файлів на диску користувача.

• Microsoft Security Bulletin MS16-126 - Moderate Security Update for Microsoft Internet Messaging API (3196067) (деталі)

Виявлені можливості виконання коду в Microsoft Windows, Office, Silverlight, .NET Framework, Skype for Business та Lync.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.50901.0, Microsoft .NET Framework 3.0, 3.5.1, 4.5.2 і 4.6, Skype for Business 2016, Lync 2010, Lync 2013.

Пошкодження пам’яті та виконання коду. В тому числі виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-120 - Critical Security Update for Microsoft Graphics Component (3192884) (деталі)

У жовтні, 13 та 14.10.2016, вийшли PHP 5.6.27 і PHP 7.0.12. У версії 5.6.27 виправлено багато багів і 16 уразливостей, у версії 7.0.12 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.27 і 7.0.12 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в unserialize() в PHP 5.6.27.
• Три уразливості в PHP 5.6.27.

По матеріалам http://www.php.net.

Виявлена уразливість безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, що призводить до виконання коду.

• Microsoft Security Bulletin MS16-121 - Critical Security Update for Microsoft Office (3194063) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 04.03.2015 по 20.10.2016. Шостий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з одного масового дефейсу та декількох окремих дефейсів.

Всього був взломаний 41 сайт на сервері хостера Ukraine (IP 185.68.16.119). Перелік сайтів можете подивитися на www.zone-h.org.

З них 26 сайтів були взломані хакером Dr.SiLnT HilL, 7 сайтів хакером Virus OS та по одному хакерами MuhmadEmad, TheWayEnd, AslanNeferlerTim, Hijikata 7rB, Alta2ib, Zorrokin, d3b~X, HolaKo.

Масовий дефейс хакером Dr.SiLnT HilL явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-118 - Critical Cumulative Security Update for Internet Explorer (3192887) (деталі)
• Microsoft Security Bulletin MS16-119 - Critical Cumulative Security Update for Microsoft Edge (3192890) (деталі)