Websecurity - Веб безпека

У березні, 16.03.2016, вийшов Mozilla Firefox 45.0.1, а в квітні, 11.04.2016, вийшов Mozilla Firefox 45.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 45.

Це багфікс випуски в яких зроблені покращення, в т.ч. збільшення швидкодія, і виправлені баги. У версії 45.0.1 виправлені баги, а в версії 45.0.2 окрім багів, також виправлене вибивання браузера при перегляді відео, що можна віднести до DoS уразливості (Mozilla типово не відносить це до уразливостей, а до багів).

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-037 - Critical Cumulative Security Update for Internet Explorer (3148531) (деталі)
• Microsoft Security Bulletin MS16-038 - Critical Cumulative Security Update for Microsoft Edge (3148532) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 30.01.2015 по 26.03.2016. Четвертий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 43 сайти на сервері хостера Ukraine (IP 185.68.16.12). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 43 сайтів 21 сайт був взломані хакером ZoRRoKiN, 12 сайтів хакером El Moujahidin, 3 сайти хакером NirMo Black_Dz, 2 сайти хакером KkK1337 та по одному хакерами Moroccan Revolution, World Hack Team, Sh0uT0u7, NG689Skw, d3b~X.

Масові дефейси хакерами ZoRRoKiN і El Moujahidin явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.0.

Численні пошкодження пам’яті, спуфінг, DoS, витік даних користувачів браузера, доступ до обмежених портів, витік інформації про локацію користувача, міжсайтовий доступ до даних.

• APPLE-SA-2016-03-21-6 Safari 9.1 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.4, Firefox 42, Thunderbird 38.4, SeaMonkey 2.38.

Пошкодження пам’яті, DoS, переповнення буфера, обхід обмежень. Всього 16 патчів для уразливостей з 2015-134 по 2015-149.

• MFSA 2015-134 Miscellaneous memory safety hazards (rv:43.0 / rv:38.5) (деталі)
• MFSA 2015-135 Crash with JavaScript variable assignment with unboxed objects (деталі)
• MFSA 2015-149 Cross-site reading attack through data and view-source URIs (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 7.1, Safari 8.0, Safari 9.0.

Численні пошкодження пам’яті та витік інформації з історії браузера через стилі CSS.

• APPLE-SA-2016-01-19-3 Safari 9.0.3 (деталі)

У березні місяці Microsoft випустила 14 патчів. Що більше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps і SharePoint Server та .NET Framework.

Також Microsoft випустила патчі для уразливостей в бібліотеці PDF та в Adobe Flash Player, що постачаються з Windows.

У березні, 03.03.2016, вийшли PHP 5.5.33, PHP 5.6.19 і PHP 7.0.4. У версії 5.5.33 виправлено 2 уразливості, у версії 5.6.19 виправлено декілька багів і 7 уразливостей, у версії 7.0.4 виправлено багато багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.33, 5.6.19 і 7.0.4 виправлено:

• Out-of-Bound Read уразливість в модулі Phar (PHP 5.5.33 і 5.6.19).
• Use-After-Free / Double-Free уразливість в модулі WDDX в Deserialize (PHP 5.5.33 і 5.6.19).
• П’ять уразливостей в ядрі та модулях в PHP 5.6.19.
• П’ятнадцять уразливостей в ядрі та модулях в PHP 7.0.4.

По матеріалам http://www.php.net.

Виявлена уразливість в Microsoft .NET Framework, що дозволяє обійти захист.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Обхід захисту через підписаний XML документ.

• Microsoft Security Bulletin MS16-035 - Important Security Update for .NET Framework to Address Security Feature Bypass (3141780) (деталі)

У березні, 03.03.2016, через півтора місяці після виходу Google Chrome 48, вийшов Google Chrome 49.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 26 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 49, прекративший поддержку 32-разрядных систем Linux (деталі)