Websecurity - Веб безпека

Виявлені можливості виконання коду в Microsoft Windows, Office, Silverlight, .NET Framework, Skype for Business та Lync.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.50901.0, Microsoft .NET Framework 3.0, 3.5.1, 4.5.2 і 4.6, Skype for Business 2016, Lync 2010, Lync 2013.

Пошкодження пам’яті та виконання коду. В тому числі виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-120 - Critical Security Update for Microsoft Graphics Component (3192884) (деталі)

У жовтні, 13 та 14.10.2016, вийшли PHP 5.6.27 і PHP 7.0.12. У версії 5.6.27 виправлено багато багів і 16 уразливостей, у версії 7.0.12 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.27 і 7.0.12 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в unserialize() в PHP 5.6.27.
• Три уразливості в PHP 5.6.27.

По матеріалам http://www.php.net.

Виявлена уразливість безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, що призводить до виконання коду.

• Microsoft Security Bulletin MS16-121 - Critical Security Update for Microsoft Office (3194063) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 04.03.2015 по 20.10.2016. Шостий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з одного масового дефейсу та декількох окремих дефейсів.

Всього був взломаний 41 сайт на сервері хостера Ukraine (IP 185.68.16.119). Перелік сайтів можете подивитися на www.zone-h.org.

З них 26 сайтів були взломані хакером Dr.SiLnT HilL, 7 сайтів хакером Virus OS та по одному хакерами MuhmadEmad, TheWayEnd, AslanNeferlerTim, Hijikata 7rB, Alta2ib, Zorrokin, d3b~X, HolaKo.

Масовий дефейс хакером Dr.SiLnT HilL явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-118 - Critical Cumulative Security Update for Internet Explorer (3192887) (деталі)
• Microsoft Security Bulletin MS16-119 - Critical Cumulative Security Update for Microsoft Edge (3192890) (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Пошкодження пам’яті, міжсайтовий скриптінг, підробка адресного рядка, витік інформації про геолокацію, підтримка HTTP/0.9 дозволяла міжпротокольні атаки на не-HTTP сервіси.

• APPLE-SA-2016-09-01-1 Safari 9.1.3 (деталі)
• APPLE-SA-2016-09-20-2 Safari 10 (деталі)

У вересні місяці Microsoft випустила 14 патчів. Що більше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Сім патчів закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps, Exchange Server, Silverlight та VBScript.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

У вересні, 15 та 16.09.2016, вийшли PHP 5.6.26 і PHP 7.0.11. У версії 5.6.26 виправлено багато багів і 18 уразливостей, у версії 7.0.11 виправлено багато багів і 17 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.26 і 7.0.11 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в wddx_deserialize в модулі Wddx.
• Out-Of-Bounds Read уразливість в php_wddx_push_element в модулі Wddx.
• Integer overflow уразливість в xml_utf8_encode в модулі XML в PHP 5.6.26.

По матеріалам http://www.php.net.

Виявлена уразливість безпеки в Microsoft VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft VBScript Scripting Engine для Windows.

Виконання коду через пошкодження пам’яті.

• Microsoft Security Bulletin MS16-116 - Critical Security Update in OLE Automation for VBScript Scripting Engine (3188724) (деталі)

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.50709.0.

Виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-109 - Important Security Update for Silverlight (3182373) (деталі)