Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Обхід захисту і численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-056 - Critical Cumulative Security Update for Internet Explorer (2987107) (деталі)

У жовтні, 14.10.2014, вийшов Mozilla Firefox 33. Нова версія браузера вийшла через півтора місяці після виходу Firefox 32.

Mozilla офіційно випустила реліз веб-браузера Firefox 33, а також мобільну версію Firefox 33 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 34 намічений на 25 листопада, а Firefox 35 на 13 січня.

Також були випущені Seamonkey 2.30, а перед цим Firefox 32.0.3, та оновлені гілки із тривалим терміном підтримки Firefox 31.2 і Thunderbird 31.2.

Серед покращень безпеки додано новий бекенд CSP (Content Security Policy). Для захисту від XSS атак і включення в сторінки “iframe/javascript src” блоків.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 33.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 33 (деталі)

Виявлена можливість проведення DoS атаки проти Perl модуля Email-Address.

Уразливі версії: Perl Email::Address до 1.905.

Вичерпання ресурсів при розборі адреси.

• Vulnerabilities in perl-Email-Address (деталі)

Виявлений витік інформації в Mozilla Firefox і Microsoft Internet Explorer.

Уразливі продукти: Mozilla Firefox до 33.0, Microsoft Internet Explorer 11 та попередні версії.

Можливий витік умісту пам’яті при розборі зображень.

• two browser mem disclosure bugs (CVE-2014-1580) (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Обхід обмежень, пошкодження пам’яті, витік інформації, підміна URL.

Уразливі продукти: Google Chrome 36.0, Chromium 36.0.

• chromium-browser security update (деталі)

Виявлена проблема символьних лінків в Perl модулі XML-DT.

Уразливі версії: Perl XML-DT 0.63.

Можна провести symlink атаку через у mkxmltype і mkdtskel.

• Vulnerability in perl-XML-DT (деталі)

Виявлена можливість підміни сигнатур RSA у бібліотеці Mozilla NSS.

Уразливі продукти: Mozilla Firefox 32.0, Firefox ESR 31.1, Thunderbird 31.1, SeaMonkey 2.29, NSS 3.17.

Обхід перевірки сигнатури через неправильну обробку довжини запису в ASN.1.

• Mozilla Foundation Security Advisory 2014-73 (деталі)

У вересні, 19.09.2014, вийшов Mozilla Firefox 32.0.2. Нова версія браузера вийшла через 6 днів після виходу Firefox 32.0.1.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при спробі виконати оновлення пошкодженої інсталяції Firefox.

У вересні, 25.09.2014, вийшли Mozilla Firefox 32.0.3 та Firefox ESR 24.8.1, 31.1.1, Thunderbird 24.8.1, 31.1.2 і SeaMonkey 2.29.1. А також вийшов Google Chrome 37.0.2062.124.

У нових випусках усунута небезпечна уразливість у бібліотеках, що поставляються в комплекті NSS, що допускає створення підроблених RSA-сертифікатів. Проблема також усунута у оновленнях NSS 3.16.2.1, NSS 3.16.5 і NSS 3.17.1.

Скориставшись даною уразливістю, нападник може сформувати фальсифікований RSA-сертифікат, що може бути застосований для виведення індикатора довіри при організації захищеного з’єднання з підробленим сайтом, закамуфльованим під інший сайт.

Виявлений витік інформації в nginx.

Уразливі версії: nginx 1.4.

Некоректне використання кешованих сесій.

• nginx vulnerability (деталі)

Виявлене переповнення стека в Perl в модулі Data::Dumper.

Уразливі версії: Perl 5.20.

Переповнення стека при рекурсії.

• Perl CORE - Deep Recursion Stack Overflow (деталі)