Websecurity - Веб безпека

Виявлена підміна вмісту в Perl модулі Module::Signature.

Уразливі версії: perl-Module-Signature 0.73.

Непідписаний вміст може бути інтерпретований як підписаний та можливе виконання довільного коду.

• Module::Signature vulnerabilities (деталі)
• Vulnerabilities in perl-Module-Signature (деталі)

У травні, 14.05.2015, вийшов Mozilla Firefox 38.0.1. Нова версія браузера вийшла через 2 дні після виходу Firefox 38.

Це секюріті та багфікс випуск в якому виправлені баги, а також вибивання браузера. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

А у червні, 02.06.2015, вийшов Mozilla Firefox 38.0.5. Це коригувальний випуск в якому виправлені баги та доданий новий функціонал (Reader View, спільний доступ до вікна чи вкладки у клієнті Hello, інтеграція сервісу Pocket).

• Релиз Firefox 38.0.5 с режимом читателя и поддержкой сервиса Pocket (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-056 - Critical Cumulative Security Update for Internet Explorer (3058515) (деталі)

У червні, 11.06.2015, вийшли PHP 5.4.42, PHP 5.5.26 і PHP 5.6.10. У версії 5.4.42 виправлено 9 уразливостей, у версіях 5.5.26 і 5.6.10 виправлено декілька багів і 14 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.42, 5.5.26 і 5.6.10 виправлено:

• Виправлено 6 уразливостей.
• Уразливості в модулях Opcache, Phar, Postgres.
• Бібліотека sqlite оновлена до версії 3.8.10.2, в якій виправлені 3 уразливості.
• Бібліотека pcrelib оновлена до версії 8.37, в якій виправлені 2 уразливості (в PHP 5.5.26 і 5.6.10).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013 SP1 і Cumulative Update 8.

XSS, ін’єкція HTML, CSRF та SSRF.

• Microsoft Security Bulletin MS15-064 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3062157) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.6, Firefox 37, Thunderbird 31.6, SeaMonkey 2.34.

Численні переповнення буфера, пошкодження пам’яті, розкриття інформації, обхід обмежень.

• MFSA 2015-46 Miscellaneous memory safety hazards (деталі)
• MFSA 2015-47 Buffer overflow parsing H.264 video with Linux Gstreamer (деталі)
• MFSA 2015-48 Buffer overflow with SVG content and CSS (деталі)
• MFSA 2015-49 Referrer policy ignored when links opened by middle-click and context menu (деталі)
• MFSA 2015-50 Out-of-bounds read and write in asm.js validation (деталі)
• MFSA 2015-51 Use-after-free during text processing with vertical text enabled (деталі)
• MFSA 2015-52 Sensitive URL encoded information written to Android logcat (деталі)
• MFSA 2015-53 Use-after-free due to Media Decoder Thread creation during shutdown (деталі)
• MFSA 2015-54 Buffer overflow when parsing compressed XML (деталі)
• MFSA 2015-55 Buffer overflow and out-of-bounds read while parsing MP4 video metadata (деталі)
• MFSA 2015-56 Untrusted site hosting trusted page can intercept webchannel responses (деталі)
• MFSA 2015-57 Privilege escalation through IPC channel messages (деталі)
• MFSA 2015-58 Mozilla Windows updater can be run outside of application directory (деталі)

У червні місяці Microsoft випустила 8 патчів. Що менше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 45 уразливостей в програмних продуктах компанії. Два патчі закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Exchange Server і SharePoint Server.

Також в рамках “вівторку патчів” Microsoft додала в свої браузери Internet Explorer і Edge підтримку механізму HTTP Strict Transport Security (HSTS).

Виявлені численні уразливості безпеки в Microsoft .NET і Silverlight.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, Silverlight 5.

Пошкодження пам’яті, підвищення привілеїв.

• Microsoft Security Bulletin MS15-048 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3057134) (деталі)
• Microsoft Security Bulletin MS15-049 - Important Vulnerability in Silverlight Could Allow Elevation of Privilege (3058985) (деталі)

У травні, 19.05.2015, через півтора місяці після виходу Google Chrome 42, вийшов Google Chrome 43.

В браузері зроблено багато нововведень. Зроблене покращення безпеки та виправлені численні уразливості.

Нове покращення безпеки браузера - це реалізовані засоби для спрощення переведення на HTTPS великих колекцій сторінок, що запитують вміст по “http://”, модифікація посилань у яких ускладнена. Нова СSP-директива (Content Security Policy) upgrade-insecure-resources дозволяє настроїти автоматичне перетворення посилання “http://” у формат “https://” і відразу запросити ресурс через захищене з’єднання.

Виправлено 37 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 43 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-043 - Critical Cumulative Security Update for Internet Explorer (3049563) (деталі)