Websecurity - Веб безпека

У березні, 31.03.2016, вийшли PHP 5.5.34, PHP 5.6.20 і PHP 7.0.5. У версії 5.5.34 виправлено 5 уразливостей, у версії 5.6.20 виправлено декілька багів і 7 уразливостей, у версії 7.0.5 виправлено багато багів і 11 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.34, 5.6.20 і 7.0.5 виправлено:

• Buffer over-write уразливість в модулі Fileinfo.
• Invalid memory write уразливість в модулі Phar.
• Format String уразливість в модулі SNMP.
• Integer Overflow в php_raw_url_encode та уразливість в mbfl_strcut.
• DoS уразливість в модулі PCRE (PHP 7.0.5).
• Дві уразливості в модулях в PHP 5.6.20.
• П’ять уразливостей в ядрі та модулях в PHP 7.0.5.

По матеріалам http://www.php.net.

Виявлені уразливості в Microsoft Windows у компонентах XML Core Services і HTTP.sys. В першому випадку атака відбувається через Internet Explorer, а в другому випадку атака відбувається через відправлення HTTP запиту веб серверу з ОС Windows (DoS уразливість в HTTP.sys).

Уразливі продукти: Microsoft Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1. Windows 10.

Виконання коду, відмова в обслуговуванні.

• Microsoft Security Bulletin MS16-040 - Critical Security Update for Microsoft XML Core Services (3148541) (деталі)
• Microsoft Security Bulletin MS16-049 - Important Security Update for HTTP.sys (3148795) (деталі)

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Перший патч також стосується Microsoft Office, Skype for Business та Lync.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-039 - Critical Security Update for Microsoft Graphics Component (3148522) (деталі)
• Microsoft Security Bulletin MS16-041 - Important Security Update for .NET Framework (3148789) (деталі)

У березні, 16.03.2016, вийшов Mozilla Firefox 45.0.1, а в квітні, 11.04.2016, вийшов Mozilla Firefox 45.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 45.

Це багфікс випуски в яких зроблені покращення, в т.ч. збільшення швидкодія, і виправлені баги. У версії 45.0.1 виправлені баги, а в версії 45.0.2 окрім багів, також виправлене вибивання браузера при перегляді відео, що можна віднести до DoS уразливості (Mozilla типово не відносить це до уразливостей, а до багів).

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-037 - Critical Cumulative Security Update for Internet Explorer (3148531) (деталі)
• Microsoft Security Bulletin MS16-038 - Critical Cumulative Security Update for Microsoft Edge (3148532) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 30.01.2015 по 26.03.2016. Четвертий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 43 сайти на сервері хостера Ukraine (IP 185.68.16.12). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 43 сайтів 21 сайт був взломані хакером ZoRRoKiN, 12 сайтів хакером El Moujahidin, 3 сайти хакером NirMo Black_Dz, 2 сайти хакером KkK1337 та по одному хакерами Moroccan Revolution, World Hack Team, Sh0uT0u7, NG689Skw, d3b~X.

Масові дефейси хакерами ZoRRoKiN і El Moujahidin явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.0.

Численні пошкодження пам’яті, спуфінг, DoS, витік даних користувачів браузера, доступ до обмежених портів, витік інформації про локацію користувача, міжсайтовий доступ до даних.

• APPLE-SA-2016-03-21-6 Safari 9.1 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.4, Firefox 42, Thunderbird 38.4, SeaMonkey 2.38.

Пошкодження пам’яті, DoS, переповнення буфера, обхід обмежень. Всього 16 патчів для уразливостей з 2015-134 по 2015-149.

• MFSA 2015-134 Miscellaneous memory safety hazards (rv:43.0 / rv:38.5) (деталі)
• MFSA 2015-135 Crash with JavaScript variable assignment with unboxed objects (деталі)
• MFSA 2015-149 Cross-site reading attack through data and view-source URIs (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.0.

Численні пошкодження пам’яті та витік інформації з історії браузера через стилі CSS.

• APPLE-SA-2016-01-19-3 Safari 9.0.3 (деталі)

У березні місяці Microsoft випустила 14 патчів. Що більше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.