Websecurity - Веб безпека

12.12.2014

Виявлені численні уразливості безпеки в Apple Safari і WebKit.

Уразливі продукти: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Численні пошкодження пам’яті.

• APPLE-SA-2014-12-2-1 Safari 8.0.1, Safari 7.1.1, and Safari 6.2.1 (деталі)

20.12.2014

Додаткова інформація.

• APPLE-SA-2014-12-11-1 Safari 8.0.2, Safari 7.1.2, and Safari 6.2.2 (деталі)

Виявлені численні уразливості безпеки в Apple iOS, в тому числі в Safari Mobile.

Уразливі продукти: Apple iOS 8.0, iOS 8.1.

Витік інформації, виконання непідписаного коду, виконання коду, обхід обмежень, пошкодження пам’яті.

• APPLE-SA-2014-11-17-1 iOS 8.1.1 (деталі)

В період з 06.07.2014 по 24.10.2014 відбувся масовий взлом сайтів на сервері Ukrhosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Server.ua. Взлом відбувся після згаданого масового взлому сайтів на сервері Ukrhosting. Взлом складався з двох масових дефейсів.

Всього був взломаний 71 сайт на сервері хостера Server.ua (IP 194.54.83.230). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт civilcepro.gov.ua.

З зазначених сайтів 60 сайтів були взломані хакером MyatyFrus і 11 сайтів хакерами з United Bangladeshi Hackers.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, зокрема хакером MyatyFrus, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

У листопаді, 13.11.2014, вийшли PHP 5.4.35, PHP 5.5.19 і PHP 5.6.3. У версії 5.5.35 виправлено 4 уразливості, у версіях 5.4.19 і 5.6.3 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.35, 5.5.19 і 5.6.3 виправлено:

• Пошкодження zend_mm_heap після переповнення пам’яті в zend_hash_copy.
• Уразливість в розширені fileinfo (що складається з трьох дірок).
• Уразливість в розширені GMP.
• Уразливість в розширені PDO_pgsql.

По матеріалам http://www.php.net.

У грудні, 01.12.2014, вийшов Mozilla Firefox 34. Нова версія браузера вийшла через півтора місяці після виходу Firefox 33.

Mozilla офіційно випустила реліз веб-браузера Firefox 34, а також мобільну версію Firefox 34 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 35 намічений на 13 січня, а Firefox 36 на 24 лютого.

Також були випущені Seamonkey 2.31 та оновлені гілки із тривалим терміном підтримки Firefox 31.3 і Thunderbird 31.3.

Серед покращень безпеки додана інтеграція нового API WebCrypto, відключена підтримка SSLv3, у зв’язку з виявленням уразливості в даному протоколі та тимчасово повернута підтримка пропрієтарних властивостей і функцій window.crypto.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 34.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 34 (деталі)

Виявлена уразливість в Microsoft .NET Framework для різних версій Windows.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2.

Підвищення привілеїв через .NET Framework.

• Microsoft Security Bulletin MS14-072 - Important Vulnerability in .NET Framework Could Allow Elevation of Privilege (3005210) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 33, Firefox ESR 31.2, Thunderbird 31.2, SeaMonkey 2.30.

Пошкодження пам’яті, переповнення буфера, витік інформації, DoS, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2014-83 (деталі)
• Mozilla Foundation Security Advisory 2014-84 (деталі)
• Mozilla Foundation Security Advisory 2014-85 (деталі)
• Mozilla Foundation Security Advisory 2014-86 (деталі)
• Mozilla Foundation Security Advisory 2014-87 (деталі)
• Mozilla Foundation Security Advisory 2014-88 (деталі)
• Mozilla Foundation Security Advisory 2014-89 (деталі)
• Mozilla Foundation Security Advisory 2014-90 (деталі)
• Mozilla Foundation Security Advisory 2014-91 (деталі)

24.10.2014

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атака Poodle дозволяє понизити версію протоколу до SSL 3.0. Витік пам’яті в SRTP і тікетів сеансів. Недостатній захист no-ssl3.

• TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack (деталі)
• Vulnerabilities in OpenSSL (деталі)

10.12.2014

Додаткова інформація.

• CVE question: Return of POODLE (деталі)

У листопаді місяці Microsoft випустила 16 патчів. Що значно більше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчів закривають критичну уразливість та дев’ять патчів закривають важливі та два помірні уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, SharePoint Server, Internet Explorer, .NET Framework, Internet Information Services та Exchange Server.

Виявлена можливість обходу обмежень в Microsoft IIS.

Уразливі продукти: Microsoft Internet Information Services 8.0, Internet Information Services 8.5.

Можна обійти обмеження по IP і доменам в IIS.

• Microsoft Security Bulletin MS14-076 - Important Vulnerability in Internet Information Services (IIS) Could Allow Security Feature Bypass (2982998) (деталі)