Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 18.0.

Численні пошкодження пам’яті, переповнення буфера, розкриття інформації.

• Adobe Security Bulletin - Security Advisory for Adobe Flash Player (деталі)
• Adobe Security Bulletin - Security updates available for Adobe Flash Player (деталі)
• Adobe Security Bulletin - Security Advisory for Adobe Flash Player (деталі)
• Adobe Security Bulletin - Security updates available for Adobe Flash Player (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.7, Firefox 38, Thunderbird 38, SeaMonkey 2.35.

Численні криптографічні проблеми в NSS, пошкодження пам’яті, обхід обмежень, розкриття інформації, підвищення привілеїв.

• MFSA 2015-59 Miscellaneous memory safety hazards (rv:39.0 / rv:31.8 / rv:38.1) (деталі)
• MFSA 2015-60 Local files or privileged URLs in pages can be opened into new tabs (деталі)
• MFSA 2015-61 Type confusion in Indexed Database Manager (деталі)
• MFSA 2015-62 Out-of-bound read while computing an oscillator rendering range in Web Audio (деталі)
• MFSA 2015-63 Use-after-free in Content Policy due to microtask execution error (деталі)
• MFSA 2015-64 ECDSA signature validation fails to handle some signatures correctly (деталі)
• MFSA 2015-65 Use-after-free in workers while using XMLHttpRequest (деталі)
• MFSA 2015-66 Vulnerabilities found through code inspection (деталі)
• MFSA 2015-67 Key pinning is ignored when overridable errors are encountered (деталі)
• MFSA 2015-68 OS X crash reports may contain entered key press information (деталі)
• MFSA 2015-69 Privilege escalation through internal workers (деталі)
• MFSA 2015-70 NSS accepts export-length DHE keys with regular DHE cipher suites (деталі)
• MFSA 2015-71 NSS incorrectly permits skipping of ServerKeyExchange (деталі)

Виявлений обхід обмежень в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Можлива некоректна верифікація сертифіката без прапора CA використаного для підпису інших сертифікатів.

• OpenSSL Security Advisory [9 Jul 2015] Alternative chains certificate forgery (CVE-2015-1793) (деталі)

У липні, 21.07.2015, через два місяці після виходу Google Chrome 43, вийшов Google Chrome 44.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 44 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що більше ніж в попередній версії.

• Релиз web-браузера Chrome 44 и операционной системы Chrome OS 44 (деталі)

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

DoS, обхід захисту, HTTP Request Smuggling.

• Vulnerabilities in Apache httpd (деталі)

Виявлені численні уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 6.2, Safari 7.1, Safari 8.0, iTunes 12.1.

Численні пошкодження пам’яті, обхід захисту від CSRF, XSS.

• APPLE-SA-2015-06-30-4 Safari 8.0.7, Safari 7.1.7, and Safari 6.2.7 (деталі)

У липні, 09.07.2015 і 10.07.2015, вийшли PHP 5.4.43, PHP 5.5.27 і PHP 5.6.11. У версії 5.4.43 виправлено 5 уразливостей, у версіях 5.5.27 і 5.6.11 виправлено декілька багів і понад 7 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.43, 5.5.27 і 5.6.11 виправлено:

• Виправлено 5 уразливостей, в тому числі 2 дірки в модулі Phar.
• Виправлено 2 DoS уразливості (в PHP 5.5.27 і 5.6.11).
• Уразливості в модулях PCRE, SPL, PDO_pgsql (в PHP 5.5.27 і 5.6.11).
• Use-after-free уразливість в sqlite3SafetyCheckSickOrOk() (в PHP 5.6.11).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.4, PHP 5.5, PHP 5.6.

Виконання коду, DoS-умови, проблема нульового байта, розкриття інформації.

• PHP vulnerabilities (деталі)

У липні, 02.07.2015, вийшов Mozilla Firefox 39. Нова версія браузера вийшла через півтора місяці після виходу Firefox 38.

Mozilla офіційно випустила реліз веб-браузера Firefox 39, а також мобільну версію Firefox 39 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 40 намічений на 11 серпня, а Firefox 41 на 22 вересня.

Також був випущений Seamonkey 2.35 та були оновлені гілки із тривалим терміном підтримки Firefox 31.8, Firefox 38.1 і Thunderbird 38.1.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Mac OS X та Linux. Окрім інших популярних файлів, тепер сервіс перевірки malware підтримує популярні Mac файли. А також прибрали підтримку SSLv3.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 39.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч). Зокрема в чотирьох патчах виправлені 13 критичних уразливостей.

• Релиз Firefox 39 (деталі)

Виявлена XML External Entity (XXE) уразливість в Apache Jackrabbit.

Уразливі версії: Apache Jackrabbit 2.10.

XXE через запит WebDAV.

• Jackrabbit WebDAV XXE vulnerability (деталі)