Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.7, Firefox 45, Thunderbird 38.7, SeaMonkey 2.39.

Пошкодження пам’яті, переповнення буфера, підвищення привілеїв, витік інформації, обхід обмежень.

• MFSA 2016-39 Miscellaneous memory safety hazards (rv:46.0 / rv:45.1 / rv:38.8) (деталі)
• MFSA 2016-40 Privilege escalation through file deletion by Maintenance Service updater (деталі)
• MFSA 2016-41 Content provider permission bypass allows malicious application to access data (деталі)
• MFSA 2016-42 Use-after-free and buffer overflow in Service Workers (деталі)
• MFSA 2016-43 Disclosure of user actions through JavaScript with motion and orientation sensors (деталі)
• MFSA 2016-44 Buffer overflow in libstagefright with CENC offsets (деталі)
• MFSA 2016-45 CSP not applied to pages sent with multipart/x-mixed-replace (деталі)
• MFSA 2016-46 Elevation of privilege with chrome.tabs.update API in web extensions (деталі)
• MFSA 2016-47 Write to invalid HashMap entry through JavaScript.watch() (деталі)
• MFSA 2016-48 Firefox Health Reports could accept events from untrusted domains (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on Microsoft SharePoint Server 2007 SP3 і 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, виконання коду.

• Microsoft Security Bulletin MS16-042 - Critical Security Update for Microsoft Office (3148775) (деталі)

У березні, 31.03.2016, вийшли PHP 5.5.34, PHP 5.6.20 і PHP 7.0.5. У версії 5.5.34 виправлено 5 уразливостей, у версії 5.6.20 виправлено декілька багів і 7 уразливостей, у версії 7.0.5 виправлено багато багів і 11 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.34, 5.6.20 і 7.0.5 виправлено:

• Buffer over-write уразливість в модулі Fileinfo.
• Invalid memory write уразливість в модулі Phar.
• Format String уразливість в модулі SNMP.
• Integer Overflow в php_raw_url_encode та уразливість в mbfl_strcut.
• DoS уразливість в модулі PCRE (PHP 7.0.5).
• Дві уразливості в модулях в PHP 5.6.20.
• П’ять уразливостей в ядрі та модулях в PHP 7.0.5.

По матеріалам http://www.php.net.

Виявлені уразливості в Microsoft Windows у компонентах XML Core Services і HTTP.sys. В першому випадку атака відбувається через Internet Explorer, а в другому випадку атака відбувається через відправлення HTTP запиту веб серверу з ОС Windows (DoS уразливість в HTTP.sys).

Уразливі продукти: Microsoft Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1. Windows 10.

Виконання коду, відмова в обслуговуванні.

• Microsoft Security Bulletin MS16-040 - Critical Security Update for Microsoft XML Core Services (3148541) (деталі)
• Microsoft Security Bulletin MS16-049 - Important Security Update for HTTP.sys (3148795) (деталі)

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Перший патч також стосується Microsoft Office, Skype for Business та Lync.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-039 - Critical Security Update for Microsoft Graphics Component (3148522) (деталі)
• Microsoft Security Bulletin MS16-041 - Important Security Update for .NET Framework (3148789) (деталі)

У березні, 16.03.2016, вийшов Mozilla Firefox 45.0.1, а в квітні, 11.04.2016, вийшов Mozilla Firefox 45.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 45.

Це багфікс випуски в яких зроблені покращення, в т.ч. збільшення швидкодія, і виправлені баги. У версії 45.0.1 виправлені баги, а в версії 45.0.2 окрім багів, також виправлене вибивання браузера при перегляді відео, що можна віднести до DoS уразливості (Mozilla типово не відносить це до уразливостей, а до багів).

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-037 - Critical Cumulative Security Update for Internet Explorer (3148531) (деталі)
• Microsoft Security Bulletin MS16-038 - Critical Cumulative Security Update for Microsoft Edge (3148532) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 30.01.2015 по 26.03.2016. Четвертий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 43 сайти на сервері хостера Ukraine (IP 185.68.16.12). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 43 сайтів 21 сайт був взломані хакером ZoRRoKiN, 12 сайтів хакером El Moujahidin, 3 сайти хакером NirMo Black_Dz, 2 сайти хакером KkK1337 та по одному хакерами Moroccan Revolution, World Hack Team, Sh0uT0u7, NG689Skw, d3b~X.

Масові дефейси хакерами ZoRRoKiN і El Moujahidin явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.0.

Численні пошкодження пам’яті, спуфінг, DoS, витік даних користувачів браузера, доступ до обмежених портів, витік інформації про локацію користувача, міжсайтовий доступ до даних.

• APPLE-SA-2016-03-21-6 Safari 9.1 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.4, Firefox 42, Thunderbird 38.4, SeaMonkey 2.38.

Пошкодження пам’яті, DoS, переповнення буфера, обхід обмежень. Всього 16 патчів для уразливостей з 2015-134 по 2015-149.

• MFSA 2015-134 Miscellaneous memory safety hazards (rv:43.0 / rv:38.5) (деталі)
• MFSA 2015-135 Crash with JavaScript variable assignment with unboxed objects (деталі)
• MFSA 2015-149 Cross-site reading attack through data and view-source URIs (деталі)