Websecurity - Веб безпека

У серпні, 11.08.2015, вийшов Mozilla Firefox 40. Нова версія браузера вийшла через півтора місяці після виходу Firefox 39.

Mozilla офіційно випустила реліз веб-браузера Firefox 40, а також мобільну версію Firefox 40 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 41 намічений на 22 вересня, а Firefox 42 на 3 листопада.

Також був випущений Seamonkey 2.36 та були оновлені гілки із тривалим терміном підтримки Firefox 31.9, Firefox 38.2 і Thunderbird 38.2.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Windows (для Mac OS X та Linux це зробили у попередній версії). Тепер сервіс перевірки malware також підтримує популярні Windows файли.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 40.0 усунуто 15 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Зазначу, що хоча вони випустили 14 Security Advisory для даного версії Firefox, насправді виправлень 15, але для одної дірки вони не захотіли робити адвізорі, але написали про неї в документації в розділі Security. Це уразливість, що стосується різних браузерів, про яку повідомив Mozilla ще у березні 2011 і нарешті вони виправили її (Bug 647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth).

• Релиз Firefox 40 (деталі)

Виявлені численні уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Підміна інтерфейсу, пошкодження пам’яті, обхід обмежень.

• APPLE-SA-2015-08-13-1 Safari 8.0.8, Safari 7.1.8, and Safari 6.2.8 (деталі)

Виявлені уразливості безпеки Microsoft VBScript. Що також використовується в Internet Explorer і атака може бути проведена через браузер.

Уразливі продукти: Microsoft VBScript 5.6, 5.7, 5.8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Пошкодження пам’яті.

• Microsoft Security Bulletin MS15-066 - Critical Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3072604) (деталі)

Виявлена Cross-Site Scripting уразливість в Microsoft Active Directory Federation Services.

Уразливі продукти: Microsoft Windows Server 2008, Windows Server 2008 R2, Windows Server 2012.

Міжсайтовий скриптінг у веб інтерфейсі.

• Microsoft Security Bulletin MS15-062 - Important Vulnerability in Active Directory Federation Services Could Allow Elevation of Privilege (3062577) (деталі)

У серпні, 06.08.2015, вийшов Mozilla Firefox 39.0.3. Нова версія браузера вийшла через місяць після виходу Firefox 39.

Це секюріті випуск в якому виправлена критична уразливість.

• MFSA 2015-78 Same origin violation and local file stealing via PDF reader (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11.2 і 12.1, MySQL 5.6, Oracle Java SE 8, Solaris 11.2, WebLogic Server 12.1, E-Business Suite 12.2, JRockit 28.3, GlassFish Server 3.1, iPlanet Web Proxy Server 4.0, iPlanet Web Server 7.0 та інші продукти Oracle.

Більше 170 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Permanent Cross-Site Scripting in Oracle Application Express (деталі)
• mariadb-10.0 security update (деталі)
• Oracle E-Business Suite Servlet URL Redirection Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - July 2015 (деталі)

Виявлені численні уразливості безпеки в PCRE.

Уразливі версії: PCRE 8.35.

Численні пошкодження пам’яті при розборі PCRE (Perl Compatible Regular Expressions).

• PCRE vulnerabilities (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Уразливі продукти: Google Chrome 43, Chromium 43.

Обхід обмежень, численні пошкодження пам’яті, міжсайтовий скриптінг.

• chromium-browser security update (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2007 SP3, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1.

Пошкодження пам’яті, підмена DLL, обхід обмежень.

• Microsoft Security Bulletin MS15-070 - Important Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3072620) (деталі)

У липні місяці Microsoft випустила 14 патчів. Що більше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та десять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server, Windows Hyper-V і VBScript.