Websecurity - Веб безпека

У травні, 19.05.2015, через півтора місяці після виходу Google Chrome 42, вийшов Google Chrome 43.

В браузері зроблено багато нововведень. Зроблене покращення безпеки та виправлені численні уразливості.

Нове покращення безпеки браузера - це реалізовані засоби для спрощення переведення на HTTPS великих колекцій сторінок, що запитують вміст по “http://”, модифікація посилань у яких ускладнена. Нова СSP-директива (Content Security Policy) upgrade-insecure-resources дозволяє настроїти автоматичне перетворення посилання “http://” у формат “https://” і відразу запросити ресурс через захищене з’єднання.

Виправлено 37 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 43 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-043 - Critical Cumulative Security Update for Internet Explorer (3049563) (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Численні DoS уразливості.

• OpenSSL vulnerabilities (деталі)

У травні, 12.05.2015, вийшов Mozilla Firefox 38. Нова версія браузера вийшла через півтора місяці після виходу Firefox 37.

Mozilla офіційно випустила реліз веб-браузера Firefox 38, а також мобільну версію Firefox 38 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 39 намічений на 30 червня, а Firefox 40 на 11 серпня.

Також були випущені Seamonkey 2.34 та оновлені гілки із тривалим терміном підтримки Firefox 31.7 і Thunderbird 38.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 38.0 усунуто 13 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 38 (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1, Excel Services on SharePoint Server 2010 SP2 і 2013 SP1, Excel Web App 2010 SP2, SharePoint Foundation 2010 SP2, SharePoint Server 2013 SP1.

Пошкодження пам’яті при розборі документів.

• Microsoft Security Bulletin MS15-046 - Important Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3057181) (деталі)

У квітні, 14.04.2015, через півтора місяці після виходу Google Chrome 41, вийшов Google Chrome 42.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 45 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 42 (деталі)

Виявлене розкриття інформації в Apache mod_jk.

Уразливі версії: Apache mod_jk 1.2.

В Apache Tomcat Connectors (mod_jk) існує можливість отримати приватні дані, доступ до яких обмежений.

• libapache-mod-jk security update (деталі)

В квітні відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся 25.04.2013 і 07.04.2015. Перший масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Взлом, що складався з одного окремого дефейсу і одного масового дефейсу, відбувся після згаданого масового взлому сайтів на сервері Goodnet.

Всього було взломано 31 сайт (причому всі державні) на сервері хостера Укртелеком (IP 213.186.120.4). Це наступні українські державні сайти: zhytomyr.man.gov.ua, khmelnytskyi.man.gov.ua, kirovohrad.man.gov.ua, konkurs.man.gov.ua, kyiv.man.gov.ua, kyivobl.man.gov.ua, lugansk.man.gov.ua, lutsk.man.gov.ua, lviv.man.gov.ua, mykolaiv.man.gov.ua, odesa.man.gov.ua, poltava.man.gov.ua, rivne.man.gov.ua, sevastopol.man.gov.ua, ternopil.man.gov.ua, uzhhorod.man.gov.ua, vinnytsia.man.gov.ua, khmelnitskyi.man.gov.ua, kherson.man.gov.ua, kharkiv.man.gov.ua, ivano-frankivsk.man.gov.ua, donetsk.man.gov.ua, dnipropetrovsk.man.gov.ua, chernivtsi.man.gov.ua, crimea.man.gov.ua, chernihiv.man.gov.ua, cherkasy.man.gov.ua, av.man.gov.ua, ap.man.gov.ua та man.gov.ua (в 2013 і 2015 роках).

З зазначених 31 сайтів 1 сайт були взломаний хакером SyR!4N M43STR0 (в 2013 році), 1 сайт хакерами з Fallaga Team та 29 сайтів хакерами з Moroccan Islamic Union-Mail (в 2015 році).

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.4, PHP 5.5, PHP 5.6.

Проблема нульового символу, DoS, цілочисленні переповнення, пошкодження пам’яті.

• php5 security update (деталі)
• Use-After-Free in PHP (деталі)

У квітні, 20.04.2015, вийшов Mozilla Firefox 37.0.2. Нова версія браузера вийшла через 17 днів після виходу Firefox 37.0.1.

Це секюріті та багфікс випуск в якому усунуті уразливість і баги. Виправлена уразливість з пошкодженням пам’яті при невдалій ініціалізації плагіна. А також виправлені баг з Google Maps та вибивання при запуску браузера з деякими графічними картами. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

• Mozilla Foundation Security Advisory 2015-45 Memory corruption during failed plugin initialization
• DoS уразливість при роботі з деякими графічними картами