Websecurity - Веб безпека

У серпні місяці Microsoft випустила 9 патчів. Що менше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчів закривають критичні уразливості та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge.

Також Microsoft випустила патч для уразливості в бібліотеці PDF, що постачається з Windows.

В серпні, 18 та 19.08.2016, вийшли PHP 5.6.25 і PHP 7.0.10. У версії 5.6.25 виправлено декілька багів і 21 уразливість, у версії 7.0.10 виправлено багато багів і 17 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.25 і 7.0.10 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в unserialize() в PHP 5.6.25.
• Heap corruption через Integer overflow в sql_regcase в модулі Ereg в PHP 5.6.25.
• Heap overflow через Integer overflow в модулі Mcrypt в PHP 7.0.10.
• 4 Integer overflow в модулі Standard в PHP 5.6.25.
• NULL Pointer dereference в zend_virtual_cwd в модулі Zip в PHP 7.0.10.

По матеріалам http://www.php.net.

У серпні, 02.08.2016, вийшов Mozilla Firefox 48. Нова версія браузера вийшла через півтора місяці після виходу Firefox 47.

Mozilla офіційно випустила реліз веб-браузера Firefox 48, а також мобільну версію Firefox 48 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 49 намічений на 13 вересня, а Firefox 50 на 8 листопада.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.3.

В браузері було зроблено декілька покращень безпеки, зокрема перевірка додатків по цифровому підпису тепер обов’язкова і не вимикається в налаштуваннях та розширені засоби для захисту користувачів від завантаження шкідливого вмісту. Також по замовчуванню блокується Flash (зокрема флешки розміром менше 5×5, що часто використовуються для стеження за користувачами через генерацію унікального ідентифікатора по встановлених шрифтах чи запис суперкукі).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 48.0 усунуто 23 уразливості, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 48 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-095 - Critical Cumulative Security Update for Internet Explorer (3169991) (деталі)
• Microsoft Security Bulletin MS16-096 - Critical Cumulative Security Update for Microsoft Edge (3177358) (деталі)

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав з 19.12.2015 по 03.04.2016. Другий масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з одного масового дефейсу та кількох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 35 сайтів на сервері хостера Goodnet (91.203.147.183). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт letrada.gov.ua.

З зазначених 35 сайтів 30 сайтів були взломані хакером ElKiller, 2 сайти хакером Unknown Al та по одному хакерами Moroccanwolf, d3b~X, w4l3XzY3.

Під час взлому хакера ElKiller було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)

У липні, 20.07.2016, через півтора місяці після виходу Google Chrome 51, вийшов Google Chrome 52.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки в Content Security Policy доданий вираз unsafe-dynamic, що дозволяє використовувати білі списки допустимих джерел скриптів.

Виправлено 48 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 52 (деталі)

У липні місяці Microsoft випустила 11 патчів. Що менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

В липні, 21.07.2016, вийшли PHP 5.5.38, PHP 5.6.24 і PHP 7.0.9. У версії 5.5.38 виправлено 15 уразливостей, у версії 5.6.24 виправлено декілька багів і 17 уразливостей, у версії 7.0.9 виправлено багато багів і 25 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.38, 5.6.24 і 7.0.9 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Вибивання при знищенні HTTP_RAW_POST_DATA в PHP 5.6.24.
• Integer Overflow в Length строкового-типу ZVAL в PHP 5.6.24 і 7.0.9.
• Витік пам’яті в jit_stack в модулі PCRE в PHP 7.0.9.
• Ще вісім уразливостей в ядрі та модулях в PHP 7.0.9.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, підробка інтерфейсу, витік інформації, Cross-Protocol Cross-Site Scripting.

• APPLE-SA-2016-07-18-5 Safari 9.1.2 (деталі)