Websecurity - Веб безпека

Виявлені Denial of Service та Information Disclosure уразливості в Microsoft .NET Framework.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Відмова в обслуговуванні, витік інформації.

• Microsoft Security Bulletin MS16-019 - Important Security Update for .NET Framework to Address Denial of Service (3137893) (деталі)

Виявлена уразливість безпеки в Microsoft Web Distributed Authoring and Versioning (WebDAV).

Уразливі продукти: Microsoft Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Виконання коду після авторизації.

• Microsoft Security Bulletin MS16-016 - Important Security Update for WebDAV to Address Elevation of Privilege (3136041) (деталі)

У лютому місяці Microsoft випустила 13 патчів. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 13 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server, WebDAV та .NET Framework.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, SharePoint Server і Foundation 2013 SP1, Excel Services on SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2013 SP1.

Пошкодження пам’яті, виконання коду, міжсайтовий скриптінг.

• Microsoft Security Bulletin MS16-015 - Critical Security Update for Microsoft Office to Address Remote Code Execution (3134226) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-009 - Cumulative Security Update for Internet Explorer (3134220) (деталі)
• Microsoft Security Bulletin MS16-010 - Cumulative Security Update for Microsoft Edge (3134225) (деталі)

У лютому, 08.02.2016, вийшов Mozilla Firefox 44.0.1, а 11.02.2016 вийшов Mozilla Firefox 44.0.2. Нові версії браузера вийшли через декілька днів після виходу Firefox 44.

Це багфікс і секюріті випуски в яких зроблені покращення і виправлена уразливість. У версії 44.0.1 виправлені баги. У версії 44.0.2 виправлене вибивання браузера при старті та виправлена одна уразливість.

• MFSA 2016-13 Same-origin-policy violation using Service Workers with plugins (деталі)

У січні, 21.01.2016, через півтора місяці після виходу Google Chrome 47, вийшов Google Chrome 48.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 37 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 48 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.5, Firefox 43, Thunderbird 38.5, SeaMonkey 2.39.

Пошкодження пам’яті, DoS, переповнення буфера, підробка адресного рядка, обхід обмежень.

• MFSA 2016-01 Miscellaneous memory safety hazards (rv:44.0 / rv:38.6) (деталі)
• MFSA 2016-02 Out of Memory crash when parsing GIF format images (деталі)
• MFSA 2016-03 Buffer overflow in WebGL after out of memory allocation (деталі)
• MFSA 2016-04 Firefox allows for control characters to be set in cookie names (деталі)
• MFSA 2016-05 Addressbar spoofing through stored data url shortcuts on Firefox for Android (деталі)
• MFSA 2016-06 Missing delay following user click events in protocol handler dialog (деталі)
• MFSA 2016-07 Errors in mp_div and mp_exptmod cryptographic functions in NSS (деталі)
• MFSA 2016-08 Delay following click events in file download dialog too short on OS X (деталі)
• MFSA 2016-09 Addressbar spoofing attacks (деталі)
• MFSA 2016-10 Unsafe memory manipulation found through code inspection (деталі)
• MFSA 2016-11 Application Reputation service disabled in Firefox 43 (деталі)
• MFSA 2016-12 Lightweight themes on Firefox for Android do not verify a secure connection (деталі)
• MFSA 2016-15 Use-after-free in NSS during SSL connections in low memory (деталі)

У січні, 26.01.2016, вийшов Mozilla Firefox 44. Нова версія браузера вийшла через півтора місяці після виходу Firefox 43.

Mozilla офіційно випустила реліз веб-браузера Firefox 44, а також мобільну версію Firefox 44 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 45 намічений на 8 березня, а Firefox 46 на 19 квітня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.6 і Thunderbird 38.7.

В браузері було змінено оформлення сторінки з попередженням про проблеми із SSL-сертифікатом та зроблене виведення попередження для сторінок, що завантажуються по HTTPS із серверів, що підтримують тільки шифр RC4.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 44.0 усунуто 12 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 44 (деталі)

Виявлені уразливості безпеки в Microsoft Exchange Server.

Уразливі продукти: Microsoft Exchange Server 2013, Microsoft Exchange Server 2013 SP1, Microsoft Exchange Server 2016.

Підробка вмісту, зокрема підробка адреси в Outlook Web Access.

• Microsoft Security Bulletin MS16-010 - Important Security Update in Microsoft Exchange Server to Address Spoofing (3124557) (деталі)