Websecurity - Веб безпека

03.10.2015

Виявлене розкриття інформації в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013.

Розкриття і підміна інформації, міжсайтовий скриптінг.

• Microsoft Security Bulletin MS15-103 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Information Disclosure (3089250) (деталі)

14.10.2015

Додаткова інформація.

• Microsoft Exchange Information Disclosure (деталі)

Виявлені численні уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Підміна інформації, розкриття інформації, обхід обмежень, короткочасні умови, численні пошкодження пам’яті.

• Apple Safari FTP PASV manipulation vulnerability (CVE-2015-5912) (деталі)
• APPLE-SA-2015-09-30-2 Safari 9 (деталі)

У вересні місяці Microsoft випустила 12 патчів. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Microsoft Lync Server і Skype for Business Server, .NET Framework, Windows Hyper-V і Exchange Server.

У вересні, 01.09.2015, через півтора місяці після виходу Google Chrome 44, вийшов Google Chrome 45.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Сайти тепер можуть включати зовнішні ресурси з перевіркою їхньої цілісності по хешу.
• Для захисту від деяких видів атак джерело ’self’ у CSP (Content Security Policy) тепер виключає бінарні об’єкти і лінки на файлову систему.
• При обміні ключами Diffie-Hellman тепер не допускається використання ключів довжиною менше 1024 біт.
• Цілком припинена підтримка NPAPI-плагинів. З розширених налаштувань вилучена опція, що надає запасний шлях для включення NPAPI.

Виправлено 29 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 45 (деталі)

Виявлені уразливості безпеки в Microsoft .NET Framework. Що дозволяють атакувати XBAP і .NET додатки, а також проводити DoS атаки на ASP.NET веб сайти.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, 4.6.

Підвищення привілеїв, відмова в обслуговуванні.

• Microsoft Security Bulletin MS15-101 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3089662) (деталі)

Виявлені Cross-Site Scripting уразливості в Microsoft Lync Server і Skype for Business.

Уразливі продукти: Microsoft Lync Server 2013, Skype for Business Server 2015.

Різні можливості міжсайтового скриптінга.

• Microsoft Security Bulletin MS15-104 - Important Vulnerabilities in Skype for Business Server and Lync Server Could Allow Elevation of Privilege (3089952) (деталі)

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.4, PHP 5.5, PHP 5.6.

Пошкодження пам’яті, виконання коду, DoS-умови.

• php5 security update (деталі)

У вересні, 04.09.2015, вийшли PHP 5.4.45, PHP 5.5.29 і PHP 5.6.13. У версії 5.4.45 виправлено 10 уразливостей, у версії 5.5.29 виправлено 11 уразливостей, у версії 5.6.13 виправлено декілька багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.45, 5.5.29 і 5.6.13 виправлено:

• Виправлено 5 уразливостей (8 в PHP 5.6.13).
• Уразливості в модулях SOAP, SPL, XSLT.
• Уразливості в модулі PCRE (що в описі згадані як одна дірка).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-093 - Critical Security Update for Internet Explorer (3088903) (деталі)
• Microsoft Security Bulletin MS15-094 - Critical Cumulative Security Update for Internet Explorer (3089548) (деталі)
• Microsoft Security Bulletin MS15-095 - Critical Cumulative Security Update for Microsoft Edge (3089665) (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Oxide.

Уразливі продукти: Google Chrome 45, Oxide 1.9.

Обхід обмежень, DoS, пошкодження пам’яті, розкриття інформації.

• Chrome and Oxide vulnerabilities (деталі)