Websecurity - Веб безпека

Виявлена уразливість в Microsoft .NET Framework для різних версій Windows.

Уразливі продукти: Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2.

Підвищення привілеїв через .NET Framework.

• Microsoft Security Bulletin MS14-072 - Important Vulnerability in .NET Framework Could Allow Elevation of Privilege (3005210) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 33, Firefox ESR 31.2, Thunderbird 31.2, SeaMonkey 2.30.

Пошкодження пам’яті, переповнення буфера, витік інформації, DoS, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2014-83 (деталі)
• Mozilla Foundation Security Advisory 2014-84 (деталі)
• Mozilla Foundation Security Advisory 2014-85 (деталі)
• Mozilla Foundation Security Advisory 2014-86 (деталі)
• Mozilla Foundation Security Advisory 2014-87 (деталі)
• Mozilla Foundation Security Advisory 2014-88 (деталі)
• Mozilla Foundation Security Advisory 2014-89 (деталі)
• Mozilla Foundation Security Advisory 2014-90 (деталі)
• Mozilla Foundation Security Advisory 2014-91 (деталі)

24.10.2014

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атака Poodle дозволяє понизити версію протоколу до SSL 3.0. Витік пам’яті в SRTP і тікетів сеансів. Недостатній захист no-ssl3.

• TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack (деталі)
• Vulnerabilities in OpenSSL (деталі)

10.12.2014

Додаткова інформація.

• CVE question: Return of POODLE (деталі)

У листопаді місяці Microsoft випустила 16 патчів. Що значно більше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчів закривають критичну уразливість та дев’ять патчів закривають важливі та два помірні уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, SharePoint Server, Internet Explorer, .NET Framework, Internet Information Services та Exchange Server.

Виявлена можливість обходу обмежень в Microsoft IIS.

Уразливі продукти: Microsoft Internet Information Services 8.0, Internet Information Services 8.5.

Можна обійти обмеження по IP і доменам в IIS.

• Microsoft Security Bulletin MS14-076 - Important Vulnerability in Internet Information Services (IIS) Could Allow Security Feature Bypass (2982998) (деталі)

Виявлений витік інформації в cURL і libcurl.

Уразливі продукти: cURL 7.38, libcurl 7.38.

Витік умісту пам’яті через POST-запит.

• Vulnerability in curl (деталі)

Виявлена моживість проведення DoS атаки проти Ruby.

Уразливі версії: Ruby 2.1.

Вичерпання ресурсів при розборі XML. Пошкодження пам’яті в encodes().

• Ruby vulnerability (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Витоки інформації та численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-065 - Critical Cumulative Security Update for Internet Explorer (3003057) (деталі)

Виявлена уразливість міжсайтового скриптінгу в Microsoft SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2010.

Збережений міжсайтовий скриптінг - persistent XSS.

• Microsoft Security Bulletin MS14-073 - Important Vulnerability in Microsoft SharePoint Foundation Could Allow Elevation of Privilege (3000431) (деталі)

Виявлена можливість виконання коду в Apache Struts і commons-beanutils.

Уразливі продукти: Apache Struts 1.3.10, commons-beanutils 1.9.1.

Необмежений доступ до параметра class в об’єкті ActionForm.

• commons-beanutils: ‘class’ property is exposed, potentially leading to RCE (деталі)