Websecurity - Веб безпека

У травні, 25.05.2016, через півтора місяці після виходу Google Chrome 50, вийшов Google Chrome 51.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки доданий Credential Management API, що надає сайтам можливість зберігати і запитувати облікові дані користувача. Також для cookie реалізований атрибут SameSіte, що дозволяє обмежити передачу cookie тільки поточним доменом, в TLS додана підтримка шифру AES_256_GCM та вилучена можливість зміни оформлення повідомлення, що відображається в діалозі onbeforeunload (обробник закриття сторінки).

Виправлено 42 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 51 (деталі)

Сьогодні, 26.05.2016, вийшли PHP 5.5.36, PHP 5.6.22 і PHP 7.0.7. У версії 5.5.36 виправлено 5 уразливостей, у версії 5.6.22 виправлено декілька багів і 4 уразливості, у версії 7.0.7 виправлено багато багів і 5 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.36, 5.6.22 і 7.0.7 виправлено:

• Чотири уразливості в ядрі та модулях.
• Uninitialized pointer в phar_make_dirstream() в модулі Phar в PHP 5.5.36.

По матеріалам http://www.php.net.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 03.04.2015 по 27.05.2016. П’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 50 сайтів на сервері хостера Ukraine (IP 185.68.16.118). Перелік сайтів можете подивитися на www.zone-h.org. Серед них державний сайт kuibrda.gov.ua.

З зазначених 50 сайтів 24 сайти були взломані хакерами з TeaM_CC, 9 сайтів хакером Mr.Ferksh, 5 сайтів хакером Matrix Dz, 4 сайти хакером Moh Ooasiic, 3 сайти хакером Dr.ViP, 2 сайти хакером TheWayEnd та по одному хакерами RootDeveloper, Karahan, HolaKo.

Масові дефейси хакерами з TeaM_CC і Mr.Ferksh явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Витік інформації в TLS/SSL протоколі, що імплементований в компоненті шифрування .NET Framework. При використанні уразливості нападник може дешифрувати зашифрований трафік через MITM-атаку.

• Microsoft Security Bulletin MS16-065 - Important Security Update for .NET Framework (3156757) (деталі)

Виявлена уразливість безпеки в Microsoft IIS.

Уразливі продукти: Microsoft Internet Information Services для Windows Vista та Windows Server 2008.

Виконання коду при доступі до файлової системи через завантаження DDL.

• Microsoft Security Bulletin MS16-058 - Important Security Update for Windows IIS (3141083) (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.1.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, неповне видалення історії браузера.

• APPLE-SA-2016-05-16-5 Safari 9.1.1 (деталі)

У травні місяці Microsoft випустила 16 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Вісім патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, JScript і VBScript, Office Web Apps і SharePoint Server, IIS та .NET Framework.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.

Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2.

Пошкодження пам’яті, виконання коду.

• Microsoft Security Bulletin MS16-054 - Critical Security Update for Microsoft Office (3155544) (деталі)

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

• Microsoft Security Bulletin MS16-053 - Critical Cumulative Security Update for JScript and VBScript (3156764) (деталі)

У квітні, 28-29.04.2016, вийшли PHP 5.5.35, PHP 5.6.21 і PHP 7.0.6. У версії 5.5.35 виправлено 9 уразливостей, у версії 5.6.21 виправлено декілька багів і 11 уразливостей, у версії 7.0.6 виправлено багато багів і 18 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.35, 5.6.21 і 7.0.6 виправлено:

• Integer Overflow в ZipArchive::getFrom в модулі Zip в PHP 7.0.6.
• Дев’ять уразливостей в ядрі та модулях.
• Ще дві уразливості в модулях в PHP 5.6.21.
• Ще вісім уливостей в модулях в PHP 7.0.6.

По матеріалам http://www.php.net.