Websecurity - Веб безпека

В червні, 23.06.2016, вийшли PHP 5.5.37, PHP 5.6.23 і PHP 7.0.8. У версії 5.5.37 виправлено 15 уразливостей, у версії 5.6.23 виправлено декілька багів і 15 уразливостей, у версії 7.0.8 виправлено багато багів і 16 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.37, 5.6.23 і 7.0.8 виправлено:

• Use After Free уразливість в класі ZipArchive в модулі Zip.
• Ще чотирнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в get_zval_xmlrpc_type в модулі XMLRPC в PHP 7.0.8.

По матеріалам http://www.php.net.

У червні, 07.06.2016, вийшов Mozilla Firefox 47. Нова версія браузера вийшла через півтора місяці після виходу Firefox 46.

Mozilla офіційно випустила реліз веб-браузера Firefox 47, а також мобільну версію Firefox 47 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 48 намічений на 2 серпня, а Firefox 49 на 13 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 45.2 і Thunderbird 38.9.

В браузері було зроблено декілька покращень безпеки, зокрема для ресурсів, відкритих по HTTPS, реалізована можливість відключення кешування сторінок при навігації кнопками “вперед” і “назад”. Та додано підтримку потокового шифру ChaCha20 і алгоритму аутентифікації повідомлень (MAC) Poly1305.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 47.0 усунуто 13 уразливостей, серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 47 (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)

У травні, 25.05.2016, через півтора місяці після виходу Google Chrome 50, вийшов Google Chrome 51.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки доданий Credential Management API, що надає сайтам можливість зберігати і запитувати облікові дані користувача. Також для cookie реалізований атрибут SameSіte, що дозволяє обмежити передачу cookie тільки поточним доменом, в TLS додана підтримка шифру AES_256_GCM та вилучена можливість зміни оформлення повідомлення, що відображається в діалозі onbeforeunload (обробник закриття сторінки).

Виправлено 42 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 51 (деталі)

Сьогодні, 26.05.2016, вийшли PHP 5.5.36, PHP 5.6.22 і PHP 7.0.7. У версії 5.5.36 виправлено 5 уразливостей, у версії 5.6.22 виправлено декілька багів і 4 уразливості, у версії 7.0.7 виправлено багато багів і 5 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.36, 5.6.22 і 7.0.7 виправлено:

• Чотири уразливості в ядрі та модулях.
• Uninitialized pointer в phar_make_dirstream() в модулі Phar в PHP 5.5.36.

По матеріалам http://www.php.net.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 03.04.2015 по 27.05.2016. П’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 50 сайтів на сервері хостера Ukraine (IP 185.68.16.118). Перелік сайтів можете подивитися на www.zone-h.org. Серед них державний сайт kuibrda.gov.ua.

З зазначених 50 сайтів 24 сайти були взломані хакерами з TeaM_CC, 9 сайтів хакером Mr.Ferksh, 5 сайтів хакером Matrix Dz, 4 сайти хакером Moh Ooasiic, 3 сайти хакером Dr.ViP, 2 сайти хакером TheWayEnd та по одному хакерами RootDeveloper, Karahan, HolaKo.

Масові дефейси хакерами з TeaM_CC і Mr.Ferksh явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Витік інформації в TLS/SSL протоколі, що імплементований в компоненті шифрування .NET Framework. При використанні уразливості нападник може дешифрувати зашифрований трафік через MITM-атаку.

• Microsoft Security Bulletin MS16-065 - Important Security Update for .NET Framework (3156757) (деталі)

Виявлена уразливість безпеки в Microsoft IIS.

Уразливі продукти: Microsoft Internet Information Services для Windows Vista та Windows Server 2008.

Виконання коду при доступі до файлової системи через завантаження DDL.

• Microsoft Security Bulletin MS16-058 - Important Security Update for Windows IIS (3141083) (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, неповне видалення історії браузера.

• APPLE-SA-2016-05-16-5 Safari 9.1.1 (деталі)

У травні місяці Microsoft випустила 16 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Вісім патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server, IIS та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.