Websecurity - Веб безпека

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Excel Services on SharePoint Server 2007 SP3 і 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2.

Обхід безпеки, пошкодження пам’яті, виконання коду, витік інформації.

• Microsoft Security Bulletin MS16-148 - Critical Security Update for Microsoft Office (3204068) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-144 - Critical Cumulative Security Update for Internet Explorer (3204059) (деталі)
• Microsoft Security Bulletin MS16-145 - Critical Cumulative Security Update for Microsoft Edge (3204062) (деталі)

У грудні, 01.12.2016, вийшов PHP 7.1. У версії 7.1.0 виправлено понад сто багів і декілька уразливостей.

Це перший реліз в новій гілці 7.1.x. В якому зробили багато нововведень і покращень.

У PHP 7.1.0 виправлено:

• Use After Free уразливість в unserialize().
• Stackoverflow в imagefilltoborder на truecolor зображеннях.
• NULL Pointer Dereference в WDDX Packet Deserialization з PDORow в модулі Wddx.
• Витоки пам’яті в модулях.
• Інші уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 49, Firefox ESR 45.4, Thunderbird 45.4.

Пошкодження пам’яті, переповнення буфера, вибивання, підробка адресного рядку, витік інформації, обхід обмежень.

• MFSA 2016-89 Security vulnerabilities fixed in Firefox 50 (деталі)

У листопаді, 15.11.2016, вийшов Mozilla Firefox 50. Нова версія браузера вийшла через півтора місяці після виходу Firefox 49.

Mozilla офіційно випустила реліз веб-браузера Firefox 50, а також мобільну версію Firefox 50 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 51 намічений на 24 січня, а Firefox 52 на 7 березня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.5.

В браузері було зроблено покращення безпеки, зокрема додані напрацювання ініціативи по переносу з Tor Browser деяких можливостей, що дозволяють посилити захист персональної інформації. Також доданий захист від завантаження різних типів виконуваних файлів для Windows, MacOS і Linux, в заголовок Set-Cookie додана підтримка службових префіксів “__Host-” і “__Secure-”, додана підтримка заголовків X-Content-Type-Options: nosniff та Referrer-Policy, в CSP представлена директива sandbox.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 50.0 усунуто 27 уразливостей, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 50 (деталі)

У листопаді місяці Microsoft випустила 14 патчів. Що більше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps та SQL Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

У листопаді, 10.11.2016, вийшли PHP 5.6.28 і PHP 7.0.13. У версії 5.6.28 виправлено багато багів і 15 уразливостей, у версії 7.0.13 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.28 і 7.0.13 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Три уразливості в PHP 5.6.28.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft SQL Server.

Уразливі продукти: Microsoft SQL Server 2012 SP2 і SP3, SQL Server 2014 SP1 і SP2, SQL Server 2016.

Підвищення привілеїв, міжсайтовий скриптінг та витік інформації. 4 EoP, XSS в MDS та IL в SQL Analysis Services.

• Microsoft Security Bulletin MS16-136 - Important Security Update for SQL Server (3199641) (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, що призводять до виконання коду.

• Microsoft Security Bulletin MS16-133 - Important Security Update for Microsoft Office (3199168) (деталі)