Websecurity - Веб безпека

У червні, 26.06.2018, вийшов Mozilla Firefox 61. Нова версія браузера вийшла через два місяці після виходу Firefox 60.

Mozilla офіційно випустила реліз веб-браузера Firefox 61, а також мобільну версію Firefox 61 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 62 вийде 5 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 52.9 і 60.1.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка Cookie-атрибуту SameSite, що можна використовувати для захисту від CSRF-атак, включена підтримка TLS 1.3 та заборонене завантаження ресурсів по протоколу FTP зі сторінок відкритих по HTTP/HTTPS.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 61.0 усунуто 52 уразливості, що значно більше ніж в попередній версії. Серед яких 39 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 61 (деталі)

У липні, 19.07.2018, вийшли PHP 7.0.31, PHP 7.1.19 і PHP 7.2.7. У версії 7.0.31 виправлено три уразливості, у версії 7.0.31 виправлено багато багів і уразливостей, у версії 7.2.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x, 7.1.x і 7.2.x.

У PHP 7.0.31, 7.1.20 і 7.2.7 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У червні, 06.06.2018, вийшов Mozilla Firefox 60.0.2, а також версії ESR 60.0.2 і ESR 52.8.1. Нові версії браузера вийшли через місяць після виходу Firefox 60.

Це секюріті випуски в яких виправлена уразливість CVE-2018-6126: Heap buffer overflow rasterizing paths in SVG with Skia.

• MFSA 2018-14 Security vulnerabilities fixed in Firefox 60.0.2, ESR 60.0.2, and ESR 52.8.1 (деталі)

У травні, 30.05.2018, через півтора місяці після виходу Google Chrome 66, вийшов Google Chrome 67.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 34 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 67 (деталі)

В серпні, 31.08.2018, вийшла нова версія програми DAVOSET v.1.3.6. В новій версії:

• Додав підтримку SSRF уразливості в Splunk Enterprise.
• Додав нові сервіси в списки зомбі.
• Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 210 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.6.rar.

У червні, 21 і 22.06.2018, вийшли PHP 7.1.19 і PHP 7.2.7. У версії 7.1.19 виправлено багато багів і уразливостей, у версії 7.2.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.19 і 7.2.7 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Вчора, 30.07.2018, вийшла версія SecurityAlert 1.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

У версіях SecurityAlert 1.4.x я зробив багато покращень, в тому числі додав визначення криптомайнінг вірусів (crypto mining malware) на сайтах. У наступній версії 1.5 додав підтримку nginx 1.15, інших доменів Coinhive майнерів, Saphali Lite плагіна для WordPress, зробив паралелізацію перевірки дефейсів сайтів у кеші Google та покращив визначення Drupal.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.

В квітні, 03.04.2018, вийшла нова версія WordPress 4.9.5.

WordPress 4.9.5 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 25 багів та 3 уразливості. Була виправлена Redirector уразливість в процесі логіну при використанні SSL, тепер localhost не вважається тим самим сайтом, рядок версії движка тепер фільтрується (додали output validation для захисту від атак, зокрема XSS, коли в коді сайту цей рядок змінили).

Також в цій версії зробили звичайні виправлення в движку.

У травні, 24.05.2018, вийшли PHP 7.1.18 і PHP 7.2.6. У версії 7.1.18 виправлено багато багів і уразливостей, у версії 7.2.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.18 і 7.2.6 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У травні, 09.05.2018, вийшов Mozilla Firefox 60. Нова версія браузера вийшла через два місяці після виходу Firefox 59.

Mozilla офіційно випустила реліз веб-браузера Firefox 60, а також мобільну версію Firefox 60 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 61 вийде 26 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.8.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка стандарту DNS over HTTPS (DoH).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 60.0 усунуто 26 уразливостей, що більше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 60 (деталі)