Websecurity - Веб безпека

Виявлена можливість виконання коду в Python бібліотеці python-GPG.

Уразливі версії: python-gnupg 2.3.

Можливі шел-ін’єкції.

• python-gnupg security update (деталі)

Виявлені численні уразливості в програмах з пакету Microsoft Office, зокрема в SharePoint Server та Office Web Apps.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013.

Пошкодження пам’яті, переповнення буфера, обхід захисту.

• Microsoft Security Bulletin MS14-017 - Critical Vulnerabilities in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (2949660) (деталі)

Виявлені численні уразливості в Oracle.

Уразливі версії: Oracle 11g, Oracle 12c.

Численні підвищення привілеїв через убудовану Java-машину.

• Security vulnerabilities in Oracle Database Java VM (деталі)

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 35.0, Chromium 35.0.

Пошкодження пам’яті, переповнення буфера.

• chromium-browser security update (деталі)

У червні місяці Microsoft випустила 7 патчів. Що менше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Lync та Live Meeting.

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі продукти: file, PHP 5.5.

Вичерпання ресурсів і нескінченний цикл при розборі файлів CDF в Fileinfo компоненті в PHP.

• Vulnerabilities in file and PHP (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атаки на зниження рівня захисту, численні помилки в DTLS, DoS.

• OpenSSL Security Advisory (деталі)

У червні, 10.06.2014, вийшов Mozilla Firefox 30. Нова версія браузера вийшла через півтора місяці після виходу Firefox 29.

Mozilla офіційно випустила реліз веб-браузера Firefox 30, а також мобільну версію Firefox 30 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 31 намічений на 22 липня, а Firefox 32 на 2 вересня.

Також був випущений Seamonkey 2.26.1 та оновлені гілки із тривалим терміном підтримки Firefox 24.6.0 і Thunderbird 24.6.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 30.0 усунуто 7 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 30 (деталі)

Виявлена можливість обходу захисту в Apache mod_security.

Уразливі версії: Apache mod_security 2.7.

Обхід захисту через chunked-кодування.

• Vulnerability in WAF mod_security (деталі)

За повідомленням www.opennet.ru, оцінка схильності користувачів до запуску потенційно шкідливих програм за гроші.

Група дослідників з Національного інституту стандартів і технологій США (NIST), університету Карнегі-Меллон і університету штату Пенсільванія провели цікавий експеримент, метою якого була оцінка, наскільки жадібність користувачів переважає над здоровим глуздом у питаннях комп’ютерної безпеки і скільки потрібно заплатити, щоб користувач добровільно запустив потенційно шкідливе ПЗ.

Автори експерименту пропонували заплатити користувачу невелику суму в обмін на те, що він запустить на своєму комп’ютері пропоновану для завантаження програму і введе в ній спеціальний код активації.

Всього з пропозицією ознайомилося 2854 користувачів, було завантажено 1714 копій програми, зафіксовано 965 запусків.

За повідомленням threatpost.ru, Gartner про загрозу витоків на мобільних платформах.

Згідно з прогнозом Gartner, до 2017 року основним вогнищем витоків з кінцевого устаткування стануть планшети і смартфони. При цьому в 75% випадків причиною порушення безпеки мобільного пристрою будуть погано налаштовані додатки.

В даний час Gartner спостерігає стійке скорочення продажів ПК, тоді як попит на портативні пристрої знаходиться на підйомі. У той же час атаки на мобільні пристрої стають усе більш витонченими.

За повідомленням www.xakep.ru, уразливість у материнських платах Supermicro видає паролі до серверів.

Як мінімум 32000 веб серверів з материнськими платами Supermicro як і раніше відкриті для несанкціонованого доступу через Інтернет, незважаючи на те, що вийшов патч, який закриває уразливість.

Наявність веб сервера в материнській платі, що відкритий для доступу з Інтернету, відносить її до категорії мережевих пристроїв. Про уразливості в яких пишуть десятиліттями.