Websecurity - Веб безпека

У вересні місяці Microsoft випустила 12 патчів. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Microsoft Lync Server і Skype for Business Server, .NET Framework, Windows Hyper-V і Exchange Server.

У вересні, 01.09.2015, через півтора місяці після виходу Google Chrome 44, вийшов Google Chrome 45.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Сайти тепер можуть включати зовнішні ресурси з перевіркою їхньої цілісності по хешу.
• Для захисту від деяких видів атак джерело ’self’ у CSP (Content Security Policy) тепер виключає бінарні об’єкти і лінки на файлову систему.
• При обміні ключами Diffie-Hellman тепер не допускається використання ключів довжиною менше 1024 біт.
• Цілком припинена підтримка NPAPI-плагинів. З розширених налаштувань вилучена опція, що надає запасний шлях для включення NPAPI.

Виправлено 29 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 45 (деталі)

Виявлені уразливості безпеки в Microsoft .NET Framework. Що дозволяють атакувати XBAP і .NET додатки, а також проводити DoS атаки на ASP.NET веб сайти.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, 4.6.

Підвищення привілеїв, відмова в обслуговуванні.

• Microsoft Security Bulletin MS15-101 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3089662) (деталі)

Виявлені Cross-Site Scripting уразливості в Microsoft Lync Server і Skype for Business.

Уразливі продукти: Microsoft Lync Server 2013, Skype for Business Server 2015.

Різні можливості міжсайтового скриптінга.

• Microsoft Security Bulletin MS15-104 - Important Vulnerabilities in Skype for Business Server and Lync Server Could Allow Elevation of Privilege (3089952) (деталі)

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.4, PHP 5.5, PHP 5.6.

Пошкодження пам’яті, виконання коду, DoS-умови.

• php5 security update (деталі)

У вересні, 04.09.2015, вийшли PHP 5.4.45, PHP 5.5.29 і PHP 5.6.13. У версії 5.4.45 виправлено 10 уразливостей, у версії 5.5.29 виправлено 11 уразливостей, у версії 5.6.13 виправлено декілька багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.45, 5.5.29 і 5.6.13 виправлено:

• Виправлено 5 уразливостей (8 в PHP 5.6.13).
• Уразливості в модулях SOAP, SPL, XSLT.
• Уразливості в модулі PCRE (що в описі згадані як одна дірка).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge.

Уразливі продукти: Microsoft Internet Explorer 7, 8, 9, 10, 11 та Edge під Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1, Windows 10.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-093 - Critical Security Update for Internet Explorer (3088903) (деталі)
• Microsoft Security Bulletin MS15-094 - Critical Cumulative Security Update for Internet Explorer (3089548) (деталі)
• Microsoft Security Bulletin MS15-095 - Critical Cumulative Security Update for Microsoft Edge (3089665) (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Oxide.

Уразливі продукти: Google Chrome 45, Oxide 1.9.

Обхід обмежень, DoS, пошкодження пам’яті, розкриття інформації.

• Chrome and Oxide vulnerabilities (деталі)

У вересні, 22.09.2015, вийшов Mozilla Firefox 41. Нова версія браузера вийшла через півтора місяці після виходу Firefox 40.

Mozilla офіційно випустила реліз веб-браузера Firefox 41, а також мобільну версію Firefox 41 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 42 намічений на 3 листопада, а Firefox 43 на 15 грудня.

Також був випущений Seamonkey 2.38 та були оновлені гілки із тривалим терміном підтримки Firefox 38.3 і Thunderbird 38.3.

В цій версії зроблений показ попереджень про використання непідписаних доповнень. Хоча розробники планували вимкнути такі доповнення по замовчуванню, але відклали це до версії 43.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 41.0 усунуто 19 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 41 (деталі)

Виявлені уразливості безпеки в Apache Subversion.

Уразливі версії: Apache Subversion 1.8.

Обхід аутентифікації, несанкціонований доступ до файлів.

• Subversion vulnerabilities (деталі)