Websecurity - Веб безпека

Виявлені Cross-Site Scripting уразливості в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013.

Безліч можливостей міжсайтового скриптінга.

• Microsoft Security Bulletin MS15-026 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3040856) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.4, Firefox 35, Thunderbird 31.4, SeaMonkey 2.33.

Обхід обмежень, підміна даних, розкриття інформації, переповнення буфера, пошкодження пам’яті, DoS, виконання коду.

• MFSA 2015-11 Miscellaneous memory safety hazards (rv:36.0 / rv:31.5) (деталі)
• MFSA 2015-12 Invoking Mozilla updater will load locally stored DLL files (деталі)
• MFSA 2015-13 Appended period to hostnames can bypass HPKP and HSTS protections (деталі)
• MFSA 2015-14 Malicious WebGL content crash when writing strings (деталі)
• MFSA 2015-15 TLS TURN and STUN connections silently fail to simple TCP connections (деталі)
• MFSA 2015-16 Use-after-free in IndexedDB (деталі)
• Buffer overflow in libstagefright during MP4 video playback (деталі)
• MFSA 2015-18 Double-free when using non-default memory allocators with a zero-length XHR (деталі)
• MFSA 2015-19 Out-of-bounds read and write while rendering SVG content (деталі)
• MFSA 2015-20 Buffer overflow during CSS restyling (деталі)
• MFSA 2015-21 Buffer underflow during MP3 playback (деталі)
• MFSA 2015-22 Crash using DrawTarget in Cairo graphics library (деталі)
• MFSA 2015-23 Use-after-free in Developer Console date with OpenType Sanitiser (деталі)
• MFSA 2015-24 Reading of local files through manipulation of form autocomplete (деталі)
• MFSA 2015-25 Local files or privileged URLs in pages can be opened into new tabs (деталі)
• MFSA 2015-26 UI Tour whitelisted sites in background tab can spoof foreground tabs (деталі)
• MFSA 2015-27 Caja Compiler JavaScript sandbox bypass (деталі)
• MFSA 2015-28 Privilege escalation through SVG navigation (деталі)
• MFSA 2015-29 Code execution through incorrect JavaScript bounds checking elimination (деталі)

Виявлена можливість DoS атаки проти Apache Xerces-C.

Уразливі версії: Apache Xerces-C 3.1.

Пошкодження пам’яті при розборі XML.

• Xerces-C Security Advisory [CVE-2015-0252] (деталі)

У квітні, 03.04.2015, вийшов Mozilla Firefox 37.0.1. Нова версія браузера вийшла через 3 дні після виходу Firefox 37.

Це секюріті випуск в якому усунуті дві уразливості. А також вимкнена підтримка HTTP/2 AltSvc та виправлене вибивання при запуску браузера з деякими графічними драйверами та програми інших виробників. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

Виправлені уразливості з витоком інформації в Reader mode та обходом перевірки сертифікату через HTTP/2 Alt-Svc заголовок.

• Mozilla Foundation Security Advisory 2015-43 Loading privileged content through Reader mode
• Mozilla Foundation Security Advisory 2015-44 Certificate verification bypass through the HTTP/2 Alt-Svc header
• DoS уразливість при роботі з деякими графічними драйверами

Виявлені численні уразливості безпеки в Apache Subversion.

Уразливі версії: Apache Subversion 1.8.

Вичерпання ресурсів, DoS, підміна інформації.

• Vulnerabilities in Apache Subversion (деталі)

У березні, 05.03.2014, вийшов Mozilla Firefox 36.0.1. Нова версія браузера вийшла після виходу Firefox 36.

Це коригувальний випуск в якому виправлені баги, а також два вибивання браузера. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

У березні, 16.03.2014, вийшов Mozilla Firefox 36.0.2. Ця версія вийшла лише для мобільних пристроїв (Firefox для Android). В ній виправлені баги - два вибивання браузера. Один crash з Flash відео та інший з пристроями HTC One M8 на Android 5.0.1.

У березні, 20.03.2014, вийшов Mozilla Firefox 36.0.3. В ній виправлена одна критична уразливість Mozilla Foundation Security Advisory 2015-29.

У березні, 21.03.2014, вийшов Mozilla Firefox 36.0.4. В ній виправлена одна критична уразливість Mozilla Foundation Security Advisory 2015-28. Спочатку цей патч вийшов у версії 36.0.3, але він виявився недостатнім, тому випустили нову версію в 36.0.4.

Наприкінці березня вийшов Firefox 37.

16.12.2014

Виявлені уразливості безпеки в libmagic, file, fileinfo і PHP.

Уразливі продукти: PHP 5.4, PHP 5.5, PHP 5.6, libmagic, file, fileinfo.

Уразливості при розборі ELF.

• Multiple vulnerabilities in file and libmagic (деталі)

04.04.2015

Додаткова інформація.

• file security update (деталі)

У березні, 19-20.03.2015, вийшли PHP 5.4.39, PHP 5.5.23 і PHP 5.6.7. У версії 5.4.39 виправлено 6 уразливостей, у версіях 5.5.23 і 5.6.7 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.39, 5.5.23 і 5.6.7 виправлено:

• Use after free уразливість в unserialize().
• Налаштування для директорій переважали налаштування конфігурації php.ini.
• NULL byte дозволялися в move_uploaded_file.
• Heap overflow уразливість в regcomp.c.
• Помилка з типізацією SoapClient __call() через unserialize().
• Integer Overflow уразливість в модулі ZIP.

По матеріалам http://www.php.net.

У березні, 31.03.2015, вийшов Mozilla Firefox 37. Нова версія браузера вийшла через півтора місяці після виходу Firefox 36.

Mozilla офіційно випустила реліз веб-браузера Firefox 37, а також мобільну версію Firefox 37 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 38 намічений на 12 травня, а Firefox 39 на 30 червня.

Також були випущені Seamonkey 2.34 та оновлені гілки із тривалим терміном підтримки Firefox 31.6 і Thunderbird 31.6.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 37.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 37 (деталі)

Виявлені численні уразливості безпеки в Apple Safari та Webkit.

Уразливі версії: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Численні пошкодження пам’яті, спуфінг.

• APPLE-SA-2015-03-17-1 Safari 8.0.4, Safari 7.1.4, and Safari 6.2.4 (деталі)