Websecurity - Веб безпека

У липні, 02.07.2015, вийшов Mozilla Firefox 39. Нова версія браузера вийшла через півтора місяці після виходу Firefox 38.

Mozilla офіційно випустила реліз веб-браузера Firefox 39, а також мобільну версію Firefox 39 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 40 намічений на 11 серпня, а Firefox 41 на 22 вересня.

Також був випущений Seamonkey 2.35 та були оновлені гілки із тривалим терміном підтримки Firefox 31.8, Firefox 38.1 і Thunderbird 38.1.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Mac OS X та Linux. Окрім інших популярних файлів, тепер сервіс перевірки malware підтримує популярні Mac файли. А також прибрали підтримку SSLv3.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 39.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч). Зокрема в чотирьох патчах виправлені 13 критичних уразливостей.

• Релиз Firefox 39 (деталі)

Виявлена XML External Entity (XXE) уразливість в Apache Jackrabbit.

Уразливі версії: Apache Jackrabbit 2.10.

XXE через запит WebDAV.

• Jackrabbit WebDAV XXE vulnerability (деталі)

Виявлена підміна вмісту в Perl модулі Module::Signature.

Уразливі версії: perl-Module-Signature 0.73.

Непідписаний вміст може бути інтерпретований як підписаний та можливе виконання довільного коду.

• Module::Signature vulnerabilities (деталі)
• Vulnerabilities in perl-Module-Signature (деталі)

У травні, 14.05.2015, вийшов Mozilla Firefox 38.0.1. Нова версія браузера вийшла через 2 дні після виходу Firefox 38.

Це секюріті та багфікс випуск в якому виправлені баги, а також вибивання браузера. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

А у червні, 02.06.2015, вийшов Mozilla Firefox 38.0.5. Це коригувальний випуск в якому виправлені баги та доданий новий функціонал (Reader View, спільний доступ до вікна чи вкладки у клієнті Hello, інтеграція сервісу Pocket).

• Релиз Firefox 38.0.5 с режимом читателя и поддержкой сервиса Pocket (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-056 - Critical Cumulative Security Update for Internet Explorer (3058515) (деталі)

У червні, 11.06.2015, вийшли PHP 5.4.42, PHP 5.5.26 і PHP 5.6.10. У версії 5.4.42 виправлено 9 уразливостей, у версіях 5.5.26 і 5.6.10 виправлено декілька багів і 14 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.42, 5.5.26 і 5.6.10 виправлено:

• Виправлено 6 уразливостей.
• Уразливості в модулях Opcache, Phar, Postgres.
• Бібліотека sqlite оновлена до версії 3.8.10.2, в якій виправлені 3 уразливості.
• Бібліотека pcrelib оновлена до версії 8.37, в якій виправлені 2 уразливості (в PHP 5.5.26 і 5.6.10).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013 SP1 і Cumulative Update 8.

XSS, ін’єкція HTML, CSRF та SSRF.

• Microsoft Security Bulletin MS15-064 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3062157) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.6, Firefox 37, Thunderbird 31.6, SeaMonkey 2.34.

Численні переповнення буфера, пошкодження пам’яті, розкриття інформації, обхід обмежень.

• MFSA 2015-46 Miscellaneous memory safety hazards (деталі)
• MFSA 2015-47 Buffer overflow parsing H.264 video with Linux Gstreamer (деталі)
• MFSA 2015-48 Buffer overflow with SVG content and CSS (деталі)
• MFSA 2015-49 Referrer policy ignored when links opened by middle-click and context menu (деталі)
• MFSA 2015-50 Out-of-bounds read and write in asm.js validation (деталі)
• MFSA 2015-51 Use-after-free during text processing with vertical text enabled (деталі)
• MFSA 2015-52 Sensitive URL encoded information written to Android logcat (деталі)
• MFSA 2015-53 Use-after-free due to Media Decoder Thread creation during shutdown (деталі)
• MFSA 2015-54 Buffer overflow when parsing compressed XML (деталі)
• MFSA 2015-55 Buffer overflow and out-of-bounds read while parsing MP4 video metadata (деталі)
• MFSA 2015-56 Untrusted site hosting trusted page can intercept webchannel responses (деталі)
• MFSA 2015-57 Privilege escalation through IPC channel messages (деталі)
• MFSA 2015-58 Mozilla Windows updater can be run outside of application directory (деталі)

У червні місяці Microsoft випустила 8 патчів. Що менше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 45 уразливостей в програмних продуктах компанії. Два патчі закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Exchange Server і SharePoint Server.

Також в рамках “вівторку патчів” Microsoft додала в свої браузери Internet Explorer і Edge підтримку механізму HTTP Strict Transport Security (HSTS).

Виявлені численні уразливості безпеки в Microsoft .NET і Silverlight.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, Silverlight 5.

Пошкодження пам’яті, підвищення привілеїв.

• Microsoft Security Bulletin MS15-048 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3057134) (деталі)
• Microsoft Security Bulletin MS15-049 - Important Vulnerability in Silverlight Could Allow Elevation of Privilege (3058985) (деталі)