Websecurity - Веб безпека

У вересні, 13.09.2014, вийшов Mozilla Firefox 32.0.1. Нова версія браузера вийшла через 11 днів після виходу Firefox 32.

Це коригувальний випуск в якому проведена робота над помилками, виявленими після публікації Firefox 32. Зокрема усунута серія проблем, що впливають на стабільність роботи і виявляються на комп’ютерах з декількома графічними картами. Також виправлені численні помилки і вирішена одна проблема в версії для платформи Android.

Хоча офіційно жодних дірок не виправлено (Mozilla типово применшила кількість уразливостей), я відношу проблему з вибиванням браузера на ПК з декількома графічними картами до уразливостей. Це DoS уразливість в браузері.

Виявлена Cross-Site Scripting уразливість в IBM WebSphere Application Server.

Уразливі версії: WebSphere Application Server (WAS) Integrated Solutions Console 7.0.

Міжсайтовий скриптінг в Integrated Solutions Console.

• IBM WebSphere Application Server (WAS) Integrated Solutions Console Login Page username Parameter Reflected XSS Security Vulnerability (деталі)

Виявлений витік інформації в cURL і libcurl.

Уразливі продукти: cURL 7.38, libcurl 7.38.

Можлива передача кукісів стороннім сайтам.

• curl security update (деталі)

У серпні, 26.08.2014, через півтора місяці після виходу Google Chrome 36, вийшов Google Chrome 37.

В браузері зроблено багато нововведень. А також виправлено 50 уразливостей.

Сполученню двох уразливостей (CVE-2014-3176, CVE-2014-3177) привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і виконати код у системі, за межами sandbox-оточення. 25 уразливостям привласнений високий рівень небезпеки.

• Релиз web-браузера Chrome 37 с устранением 50 уязвимостей (деталі)

У вересні місяці Microsoft випустила 4 патчі. Що менше ніж у серпні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичну уразливість та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Lync Server, Internet Explorer та .NET Framework.

У серпні, 28.08.2014, вийшов PHP 5.6. Це перший випуск нової 5.6.x гілки.

У вересні, 18.09.2014, вийшли PHP 5.4.33 і PHP 5.5.17. У версії 5.4.33 виправлено 10 багів, а у версії 5.5.17 виправлено декілька багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Lync Server.

Уразливі версії: Microsoft Lync Server 2010, Lync Server 2013.

DoS, витік інформації.

• Microsoft Security Bulletin MS14-055 - Important Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928) (деталі)

Виявлені численні уразливості безпеки в Apple Safari і WebKit.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Небезпечне автозаповнення паролів, численні пошкодження пам’яті, небезпечна робота з кешем.

• APPLE-SA-2014-09-17-4 Safari 6.2 and Safari 7.1 (деталі)

У серпні, 14, 21 і 22.08.2014, вийшли PHP 5.3.29, PHP 5.5.32 і PHP 5.4.16 відповідно. У версії 5.3.29 виправлено 25 уразливостей (зпортовані з PHP 5.4 та 5.5), у версії 5.5.31 виправлено 9 багів і 7 уразливостей, а у версії 5.4.15 виправлено декілька багів і 5 уразливостей.

PHP 5.3.29 - це остання версія гілки 5.3.x. Дані релізи направлені на покращення безпеки і стабільності гілок 5.3.x, 5.4.x і 5.5.x.

У PHP 5.4.32 і PHP 5.5.16 виправлено:

• Уразливості CVE-2014-3538, CVE-2014-3587, CVE-2014-2497, CVE-2014-5120, CVE-2014-3597.
• Уразливості CVE-2014-4670 і CVE-2014-4698 лише в версії 5.4.32.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Виконання коду, DoS.

• Remote Code Execution in Apache Tomcat (деталі)