Websecurity - Веб безпека

У грудні, 18.12.2015, вийшов Mozilla Firefox 43.0.1, а 22.12.2015 вийшов Mozilla Firefox 43.0.2. Нові версії браузера вийшли через декілька днів після виходу Firefox 43.

Це багфікс і секюріті випуски в яких зроблене покращення і виправлена уразливість. У версії 43.0.1 зроблена підготовка до використання SHA-256 підписуючих сертифікатів для Windows версій браузера. У версії 43.0.2 використаний SHA-256 сертифікат для Windows версій браузера. Також виправлена одна уразливість в Firefox 43.0.2 і Firefox ESR 38.6.

• MFSA 2015-150 MD5 signatures accepted within TLS 1.2 ServerKeyExchange in server signature (деталі)

Відбувся четвертий масовий взлом сайтів на сервері Hvosting. Він тривав на протязі 2010-2015 років: з 05.04.2010 до 03.07.2015. Третій масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з двох масових дефейсів та багатьох окремих дефейсів. Вони відбулися паралельно до масового взлому сервера Ukraine.

Всього було взломано 40 сайтів на сервері хостера Hvosting (IP 91.200.40.32). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 40 сайтів 8 сайтів були взломані хакером HighTech, 7 сайтів хакером jangene_cakep та інші сайти різними хакерами.

Масові дефейси хакерами HighTech і jangene_cakep явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі продукти: Microsoft Silverlight 5 для Windows і Mac до версії 5.1.41212.0.

Виконання коду в браузерах з плагіном Silverlight.

• Microsoft Security Bulletin MS16-006 - Critical Security Update for Silverlight to Address Remote Code Execution (3126036) (деталі)

У січні місяці Microsoft випустила 9 патчів. Що менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server, JScript і VBScript, Silverlight, Exchange Server.

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.7 і 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

• Microsoft Security Bulletin MS16-003 - Critical Cumulative Security Update for JScript and VBScript to Address Remote Code Execution (3125540) (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2013 SP1, SharePoint Foundation 2013 SP1.

Пошкодження пам’яті, виконання коду, обхід захисту.

• Microsoft Security Bulletin MS16-004 - Critical Security Update for Microsoft Office to Address Remote Code Execution (3124585) (деталі)

У січні, 07.01.2016, вийшли PHP 5.5.31, PHP 5.6.17 і PHP 7.0.2. У версії 5.5.31 виправлено 5 уразливостей, у версії 5.6.17 виправлено декілька багів і 5 уразливостей, у версії 7.0.2 виправлено 24 баги і 7 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.31, 5.6.17 і 7.0.2 виправлено:

• Витік пам’яті та переповнення буфера в модулі FPM.
• Читання пам’яті через gdImageRotateInterpolated.
• Дві уразливості в модулі WDDX.
• Type Confusion уразливість в функції PHP_to_XMLRPC_worker.
• Heap Buffer Overflow уразливість в escapeshell функціях (PHP 7.0.2).
• DoS уразливість в модулі cURL (PHP 7.0.2).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-001 - Critical Cumulative Security Update for Internet Explorer (3124903) (деталі)
• Microsoft Security Bulletin MS16-002 - Critical Cumulative Security Update for Microsoft Edge (3124904) (деталі)

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 15.02.2015 по 25.12.2015. Третій масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів. Більшу частину сайтів дефейснули сьогодні.

Всього був взломано 47 сайтів на сервері хостера Ukraine (IP 185.68.16.126). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 47 сайтів 27 сайтів були взломані хакером CoMoDo, 10 сайтів хакером qeles-hacker, 3 сайти хакером ZoRRoKiN, 3 сайти хакерами з Blacksmith Hackers та по одному хакерами TheZero, Lakhdar DZ, khdeface, d3b~X.

Масові дефейси хакерами CoMoDo і qeles-hacker явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

У грудні, 15.12.2015, вийшов Mozilla Firefox 43. Нова версія браузера вийшла через півтора місяці після виходу Firefox 42.

Mozilla офіційно випустила реліз веб-браузера Firefox 43, а також мобільну версію Firefox 43 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 44 намічений на 26 січня, а Firefox 45 на 8 березня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.5 і Thunderbird 38.5.

В браузері була покращена приватність в режимі Private Browsing. Тепер можна змінювати список блокування сайтів, що відслідковують переміщення користувачів. Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 43.0 усунуто 16 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 43 (деталі)