Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 46, Firefox ESR 45.1, Thunderbird 45.1, SeaMonkey 2.39.

Пошкодження пам’яті, переповнення буфера, підвищення привілеїв, підробка адресного рядку, витік інформації, обхід обмежень.

• MFSA-49 Miscellaneous memory safety hazards (rv:47.0 / rv:45.2) (деталі)
• MFSA-50 Buffer overflow parsing HTML5 fragments (деталі)
• MFSA-51 Use-after-free deleting tables from a contenteditable document (деталі)
• MFSA-52 Addressbar spoofing though the SELECT element (деталі)
• MFSA-53 Out-of-bounds write with WebGL shader (деталі)
• MFSA-54 Partial same-origin-policy through setting location.host through data URI (деталі)
• MFSA-55 File overwrite and privilege escalation through Mozilla Windows updater (деталі)
• MFSA-56 Use-after-free when textures are used in WebGL operations after recycle pool destruction (деталі)
• MFSA-57 Incorrect icon displayed on permissions notifications (деталі)
• MFSA-58 Entering fullscreen and persistent pointerlock without user permission (деталі)
• MFSA-59 Information disclosure of disabled plugins through CSS pseudo-classes (деталі)
• MFSA-60 Java applets bypass CSP protections (деталі)
• MFSA-61 Network Security Services (NSS) vulnerabilities (деталі)

У червні місяці Microsoft випустила 17 патчів. Що більше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та одинадцять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server, Windows DNS Server та Exchange Server.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2007 SP3 і 2010 SP3, Exchange Server 2013 і 2013 SP1, Exchange Server 2016.

Витік інформації в Outlook Web Access, переповнення буферу в бібліотеках Oracle Outside In.

• Microsoft Security Bulletin MS16-079 - Important Security Update for Microsoft Exchange Server (3160339) (деталі)

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Office Online Server, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, витік інформації.

• Microsoft Security Bulletin MS16-070 - Critical Security Update for Microsoft Office (3163610) (деталі)

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

• Microsoft Security Bulletin MS16-069 - Critical Cumulative Security Update for JScript and VBScript (3163640) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-063 - Critical Cumulative Security Update for Internet Explorer (3163649) (деталі)
• Microsoft Security Bulletin MS16-068 - Cumulative Security Update for Microsoft Edge (3163656) (деталі)

В червні, 23.06.2016, вийшли PHP 5.5.37, PHP 5.6.23 і PHP 7.0.8. У версії 5.5.37 виправлено 15 уразливостей, у версії 5.6.23 виправлено декілька багів і 15 уразливостей, у версії 7.0.8 виправлено багато багів і 16 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.37, 5.6.23 і 7.0.8 виправлено:

• Use After Free уразливість в класі ZipArchive в модулі Zip.
• Ще чотирнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в get_zval_xmlrpc_type в модулі XMLRPC в PHP 7.0.8.

По матеріалам http://www.php.net.

У червні, 07.06.2016, вийшов Mozilla Firefox 47. Нова версія браузера вийшла через півтора місяці після виходу Firefox 46.

Mozilla офіційно випустила реліз веб-браузера Firefox 47, а також мобільну версію Firefox 47 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 48 намічений на 2 серпня, а Firefox 49 на 13 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 45.2 і Thunderbird 38.9.

В браузері було зроблено декілька покращень безпеки, зокрема для ресурсів, відкритих по HTTPS, реалізована можливість відключення кешування сторінок при навігації кнопками “вперед” і “назад”. Та додано підтримку потокового шифру ChaCha20 і алгоритму аутентифікації повідомлень (MAC) Poly1305.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 47.0 усунуто 13 уразливостей, серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 47 (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6, PHP 7.0.

Пошкодження пам’яті, виконання коду.

• php5 security update (деталі)