Websecurity - Веб безпека

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Пошкодження пам’яті, міжсайтовий скриптінг, підробка адресного рядка, витік інформації про геолокацію, підтримка HTTP/0.9 дозволяла міжпротокольні атаки на не-HTTP сервіси.

• APPLE-SA-2016-09-01-1 Safari 9.1.3 (деталі)
• APPLE-SA-2016-09-20-2 Safari 10 (деталі)

У вересні місяці Microsoft випустила 14 патчів. Що більше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Сім патчів закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps, Exchange Server, Silverlight та VBScript.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

У вересні, 15 та 16.09.2016, вийшли PHP 5.6.26 і PHP 7.0.11. У версії 5.6.26 виправлено багато багів і 18 уразливостей, у версії 7.0.11 виправлено багато багів і 17 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.26 і 7.0.11 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в wddx_deserialize в модулі Wddx.
• Out-Of-Bounds Read уразливість в php_wddx_push_element в модулі Wddx.
• Integer overflow уразливість в xml_utf8_encode в модулі XML в PHP 5.6.26.

По матеріалам http://www.php.net.

Виявлена уразливість безпеки в Microsoft VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft VBScript Scripting Engine для Windows.

Виконання коду через пошкодження пам’яті.

• Microsoft Security Bulletin MS16-116 - Critical Security Update in OLE Automation for VBScript Scripting Engine (3188724) (деталі)

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.50709.0.

Виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-109 - Important Security Update for Silverlight (3182373) (деталі)

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2007 SP3 і 2010 SP3, Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Переповнення буферу в бібліотеках Oracle Outside In (деякі з них призводять до віддаленого виконання коду, а інші призводять до відмови в обслуговуванні), витік інформації, Open Redirect, міжсайтовий скриптінг.

• Microsoft Security Bulletin MS16-108 - Critical Security Update for Microsoft Exchange Server (3185883) (деталі)

У вересні, 20.09.2016, вийшов Mozilla Firefox 49. Нова версія браузера вийшла через півтора місяці після виходу Firefox 48.

Mozilla офіційно випустила реліз веб-браузера Firefox 49, а також мобільну версію Firefox 49 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 50 намічений на 8 листопада, а Firefox 51 на 24 січня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.4.

В браузері було зроблено покращення безпеки, зокрема параметри входу, що збережені для сторінки HTTP, тепер використовуються на цих сторінках по HTTPS без необхідності збереження окремих параметрів входу.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 49.0 усунуто 18 уразливостей, серед яких чотири позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 49 (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server, SharePoint Server 2013 SP1, Excel Services on Microsoft SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, обхід захисту, витік інформації.

• Microsoft Security Bulletin MS16-107 - Critical Security Update for Microsoft Office (3185852) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-104 - Critical Cumulative Security Update for Internet Explorer (3183038) (деталі)
• Microsoft Security Bulletin MS16-105 - Critical Cumulative Security Update for Microsoft Edge (3183043) (деталі)

У вересні, 01.09.2016, через півтора місяці після виходу Google Chrome 52, вийшов Google Chrome 53.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки додані обмеження по відтворенню Flash-вмісту та в TLS видалені шифри Diffie-Hellman через потенціальні проблеми з безпекою.

Виправлено 33 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 53 (деталі)