Websecurity - Веб безпека

Виявлені уразливості в Microsoft .NET Framework і VBScript для різних версій Windows. Атака на дірку в VBScript відбувається через Internet Explorer.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, VBScript 5.6, VBScript 5.7, VBScript 5.8.

Витік інформації в .NET Framework та виконання коду в VBScript.

• Microsoft Security Bulletin MS15-019 - Critical Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3040297) (деталі)
• Microsoft Security Bulletin MS15-041 - Important Vulnerability in .NET Framework Could Allow Information Disclosure (3048010) (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

Звертання по нульовому вказівнику, ассерти, пошкодження пам’яті.

• OpenSSL Security Advisory (деталі)
• Security Audit Notes: OpenSSL d1_srvr.c Overflow (деталі)

У березні, 04.03.2015, через два місяці після виходу Google Chrome 40, вийшов Google Chrome 41.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлена 51 уразливість, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 41 (деталі)

Можлива фіксація сеансів у бібліотеці Python Requests.

Уразливі версії: Python Requests 2.3.

Некоректна обробка cookie у редиректах.

• Requests vulnerability (деталі)

У квітні, 16.04.2015, вийшли PHP 5.4.40, PHP 5.5.24 і PHP 5.6.8. У версії 5.4.40 виправлено 15 уразливостей, у версіях 5.5.24 і 5.6.8 виправлено декілька багів і 20 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.40, 5.5.24 і 5.6.8 виправлено:

• Потенційне віддалене виконання коду в Apache 2.4 apache2handler.
• Помилка з типізацією в exception::getTraceAsString.
• Помилка з типізацією в php_stream_url_wrap_http_ex().
• NULL byte дозволялися в шляхах в різних модулях PHP.
• Уразливості в модулях cURL, Ereg, Fileinfo, GD, Phar, Postgres, SOAP, Sqlite3.

По матеріалам http://www.php.net.

У квітні місяці Microsoft випустила 11 патчів. Що менше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 11 бюлетенів по безпеці. Що закривають 26 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server, .NET Framework, Windows Hyper-V і XML Core Services.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-018 - Critical Cumulative Security Update for Internet Explorer (3032359) (деталі)
• Microsoft Security Bulletin MS15-032 - Critical Cumulative Security Update for Internet Explorer (3038314) (деталі)

24.03.2015

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.3, Apache 2.4.

Обхід обмежень в mod_headers, DoS в mod_cache, обхід обмежень і DoS в mod_lua, DoS в mod_proxy_fcgi, обхід захисту в mod_gnutls.

• Apache HTTP Server vulnerabilities (деталі)
• mod-gnutls security update (деталі)

23.04.2015

• Apache HTTPD 2.4.12, 2.2.29 Security Audit (деталі)
• Apache HTTP Server 2.2.29 / 2.4.12 NULL Pointer dereference in protocol.c (деталі)

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, 2013 SP1, Microsoft SharePoint Server 2007 SP3, 2010 SP2, SharePoint Foundation 2010 SP2, Word Automation Services on SharePoint Server 2010 SP2, 2013 SP1, SharePoint Foundation 2013 SP1, Excel Services on SharePoint Server 2013 SP1.

Виконання коду, використання пам’яті після звільнення.

• Microsoft Security Bulletin MS15-022 - Critical Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3038999) (деталі)

Виявлені численні уразливості безпеки в Apple Safari та Webkit.

Уразливі версії: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Некоректна перевірка SSL-сертифікатів, витік інформації, пошкодження пам’яті, міжсайтовий доступ.

• Safari iOS/OS X/Windows cookie access vulnerability (деталі)
• APPLE-SA-2015-04-08-1 Safari 8.0.5, Safari 7.1.5, and Safari 6.2.5 (деталі)