Websecurity - Веб безпека

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.0.

Численні пошкодження пам’яті та витік інформації з історії браузера через стилі CSS.

• APPLE-SA-2016-01-19-3 Safari 9.0.3 (деталі)

У березні місяці Microsoft випустила 14 патчів. Що більше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

У березні, 03.03.2016, вийшли PHP 5.5.33, PHP 5.6.19 і PHP 7.0.4. У версії 5.5.33 виправлено 2 уразливості, у версії 5.6.19 виправлено декілька багів і 7 уразливостей, у версії 7.0.4 виправлено багато багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.33, 5.6.19 і 7.0.4 виправлено:

• Out-of-Bound Read уразливість в модулі Phar (PHP 5.5.33 і 5.6.19).
• Use-After-Free / Double-Free уразливість в модулі WDDX в Deserialize (PHP 5.5.33 і 5.6.19).
• П’ять уразливостей в ядрі та модулях в PHP 5.6.19.
• П’ятнадцять уразливостей в ядрі та модулях в PHP 7.0.4.

По матеріалам http://www.php.net.

Виявлена уразливість в Microsoft .NET Framework, що дозволяє обійти захист.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Обхід захисту через підписаний XML документ.

• Microsoft Security Bulletin MS16-035 - Important Security Update for .NET Framework to Address Security Feature Bypass (3141780) (деталі)

У березні, 03.03.2016, через півтора місяці після виходу Google Chrome 48, вийшов Google Chrome 49.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 26 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 49, прекративший поддержку 32-разрядных систем Linux (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1.

Пошкодження пам’яті, виконання коду.

• Microsoft Security Bulletin MS16-029 - Important Security Update for Microsoft Office to Address Remote Code Execution (3141806) (деталі)

У березні, 08.03.2016, вийшов Mozilla Firefox 45. Нова версія браузера вийшла через півтора місяці після виходу Firefox 44.

Mozilla офіційно випустила реліз веб-браузера Firefox 45, а також мобільну версію Firefox 45 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 46 намічений на 19 квітня, а Firefox 47 на 7 червня.

Також був випущений Seamonkey 2.40 та були оновлені гілки із тривалим терміном підтримки Firefox 38.7 і Thunderbird 38.7.

В браузері була додана можливість завдання через убудований на сторінку тег META правил CSP (Content Security Policy) для захисту від організації міжсайтового скриптінгу (XSS) і підстановки в сторінки “IFRAME/JavaScript src” блоків.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 45.0 усунуто 23 уразливості, серед яких 9 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 45 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-023 - Critical Cumulative Security Update for Internet Explorer (3142015) (деталі)
• Microsoft Security Bulletin MS16-024 - Critical Cumulative Security Update for Microsoft Edge (3142019) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.6, Firefox 44, Thunderbird 38.6, SeaMonkey 2.39.

Пошкодження пам’яті, DoS, переповнення буфера, підробка адресного рядка, обхід обмежень. Всього 23 патчі для уразливостей з 2016-16 по 2016-38.

• MFSA 2016-16 Miscellaneous memory safety hazards (rv:45.0 / rv:38.7) (деталі)
• MFSA 2016-17 Local file overwriting and potential privilege escalation through CSP reports (деталі)
• MFSA 2016-38 Out-of-bounds write with malicious font in Graphite 2 (деталі)

У лютому, 04.02.2016, вийшли PHP 5.5.32, PHP 5.6.18 і PHP 7.0.3. У версії 5.5.32 виправлено 15 уразливостей, у версії 5.6.18 виправлено декілька багів і 15 уразливостей, у версії 7.0.3 виправлено багато багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.32, 5.6.18 і 7.0.3 виправлено:

• Три уразливостей в ядрі.
• Три уразливості в модулі Phar.
• Type Confusion уразливість в модулі WDDX.
• Оновлена бібліотека PCRE до версії 8.38 з виправленням 8 уразливостей.

По матеріалам http://www.php.net.