Websecurity - Веб безпека

У грудні місяці Microsoft випустила 12 патчів. Що так само як у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 71 уразливість в програмних продуктах компанії. Вісім патчі закривають критичні уразливості та чотири патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, .NET Framework і Silverlight, Skype for Business, Microsoft Lync, JScript і VBScript. Також MS допустила витік сертифікату SSL/TLS для *.xboxlive.com і приватних ключів для нього. Даний сертифікат вже відкликаний компанією.

Виявлені уразливості безпеки в Microsoft JScript і VBScript, що використовуються в Internet Explorer та інших продуктах.

Уразливі продукти: Microsoft JScript 5.7 і 5.8, VBScript 5.7 і 5.8.

Виконання коду, пошкодження пам’яті.

• Microsoft Security Bulletin MS15-126 - Critical Cumulative Security Update for JScript and VBScript to Address Remote Code Execution (3116178) (деталі)

Виявлені численні уразливості безпеки в Microsoft .NET і Silverlight.

Уразливі продукти: Microsoft .NET Framework 3.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, 4.6, Silverlight 5, Skype for Business 2016, Lync 2010, Lync 2013 Service Pack 1.

Численні пошкодження пам’яті, виконання коду.

• Microsoft Security Bulletin MS15-128 - Critical Security Update for Microsoft Graphics Component to Address Remote Code Execution (3104503) (деталі)
• Microsoft Security Bulletin MS15-129 - Critical Security Update for Silverlight to Address Remote Code Execution (3106614) (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS15-124 - Cumulative Security Update for Internet Explorer (3116180) (деталі)
• Microsoft Security Bulletin MS15-125 - Cumulative Security Update for Microsoft Edge (3116184) (деталі)

У грудні, 03.12.2015, вийшов PHP 7.0.0, а 17.12.2015 вийшов PHP 7.0.1. Версія 7.0 - це нова гілка PHP, у ній та у версії 7.0.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілки 7.0.x.

У PHP 7.0.0 виправлено:

• Виправлена Format String уразливість в zend_throw_or_error().
• Шість Use-after-free уразливостей в unserialize().
• Численні DoS в ядрі та різних модулях.
• Чотири уразливості в Curl.
• Три уразливості в Mysqlnd.
• Три уразливості в SQLite3.
• Дев’ять недоліків в модулі OpenSSL.

У PHP 7.0.1 виправлено:

• Виправлена Format String уразливість.
• Use-after-free уразливість в Collator::sortWithSortKeys.
• Три DoS уразливості.
• Дві уразливості в Mysqlnd.

По матеріалам http://www.php.net.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 05.02.2015 по 03.12.2015. Другий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього був взломано 85 сайтів на сервері хостера Ukraine (IP 185.68.16.170). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт drohobych-rda.gov.ua.

З зазначених 85 сайтів 44 сайти були взломані хакерами з Team_CC, 36 сайтів хакером ZoRRoKiN та по одному хакерами Phenomene Dz, ReSPiRaToR, iCodeR.

Масові дефейси хакерами Team_CC і ZoRRoKiN явно був зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

В листопаді, 05.11.2015, компанія Microsoft випустила фінальну версію браузера Edge (що мала версію 25.10586). Вихід нового браузеру відбувся через два роки після виходу Internet Explorer 11. Він постачається з Windows 10 в якості браузера по замовчуванню, але IE11 також присутній в системі.

Це повністю новий браузер компанії, відмінний від Internet Explorer та є заміною IE (на десктопних і мобільних пристроях). На початку він буде постачатися разом з IE для сумісності (як в Windows 10 та Windows Server 2016), але з часом стане основним браузером компанії.

Незважаючи на заяви Microsoft про підвищену безпеку нового браузера, не встиг він вийти, як його швидко взломали. Уразливості в Microsoft Edge (та в IE) були виявлені в серпні у версії, що постачалася з Windows 10, та виправлені в патчі в тому ж місяці.

З тих пір в Edge знаходили багато уразливостей. Що цілком типово для програмних продуктів Microsoft.

У грудні, 02.12.2015, через півтора місяці після виходу Google Chrome 46, вийшов Google Chrome 47.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлена 41 уразливість, в тому числі одна критична (Use-after-free в AppCache). З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 47 (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1, Skype for Business 2016, Microsoft Lync 2013 Service Pack 1.

Пошкодження пам’яті, виконання коду.

• Microsoft Security Bulletin MS15-116 - Important Security Update for Microsoft Office to Address Remote Code Execution (3104540) (деталі)

У листопаді, 26.11.2015, вийшов PHP 5.6.16. У версії 5.6.16 виправлено 3 баги і 4 уразливості.

Даний реліз направлений на покращення безпеки і стабільності гілки 5.6.x.

У PHP 5.6.16 виправлено:

• Виправлено 4 DoS уразливості (segfault).

По матеріалам http://www.php.net.