Websecurity - Веб безпека

Вчора, 30.07.2018, вийшла версія SecurityAlert 1.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

У версіях SecurityAlert 1.4.x я зробив багато покращень, в тому числі додав визначення криптомайнінг вірусів (crypto mining malware) на сайтах. У наступній версії 1.5 додав підтримку nginx 1.15, інших доменів Coinhive майнерів, Saphali Lite плагіна для WordPress, зробив паралелізацію перевірки дефейсів сайтів у кеші Google та покращив визначення Drupal.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.

В квітні, 03.04.2018, вийшла нова версія WordPress 4.9.5.

WordPress 4.9.5 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 25 багів та 3 уразливості. Була виправлена Redirector уразливість в процесі логіну при використанні SSL, тепер localhost не вважається тим самим сайтом, рядок версії движка тепер фільтрується (додали output validation для захисту від атак, зокрема XSS, коли в коді сайту цей рядок змінили).

Також в цій версії зробили звичайні виправлення в движку.

У травні, 24.05.2018, вийшли PHP 7.1.18 і PHP 7.2.6. У версії 7.1.18 виправлено багато багів і уразливостей, у версії 7.2.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.18 і 7.2.6 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У травні, 09.05.2018, вийшов Mozilla Firefox 60. Нова версія браузера вийшла через два місяці після виходу Firefox 59.

Mozilla офіційно випустила реліз веб-браузера Firefox 60, а також мобільну версію Firefox 60 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 61 вийде 26 червня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.8.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка стандарту DNS over HTTPS (DoH).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 60.0 усунуто 26 уразливостей, що більше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 60 (деталі)

У березні, 07.03.2018, через півтора місяці після виходу Google Chrome 65, вийшов Google Chrome 66.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 62 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 66 (деталі)

У березні, 26.03.2018, вийшов Mozilla Firefox 59.0.2. Нова версія браузера вийшла через два тижні після виходу Firefox 59.

Це секюріті випуск в якому виправлена уразливість CVE-2018-5148: Use-after-free in compositor.

• MFSA 2018-10 Use-after-free in compositor (деталі)

У квітні, 26.04.2018, вийшли PHP 5.6.36, PHP 7.0.30, PHP 7.1.17 і PHP 7.2.5. У версії 5.6.36 виправлена одна уразливість, у версіях 7.0.30, 7.1.17 і 7.2.5 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x, 7.0.x, 7.1.x і 7.2.x.

У PHP 5.6.36, 7.0.30, 7.1.16 і 7.2.4 виправлено:

• Обхід обмежень.
• Пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

В лютому, 05.02.2018, вийшла нова версія WordPress 4.9.3.

WordPress 4.9.3 це багфікс випуск нової 4.9 серії. В якому розробники виправили 24 баги. Були зроблені виправлення в пресетах Customizer, віджетах і візуальному редакторі та додана сумісність з PHP 7.2.

Жодних покращень безпеки в цій версії, лише зробили звичайні виправлення в движку.

В лютому, 06.02.2018, вийшла нова версія WordPress 4.9.4.

В попередній версії був зроблений баг, що не дозволяв автоматичне оновлення сайтам, які це підтримують. Тому в новій версії виправили цей баг.

У березні, 07.03.2018, через півтора місяці після виходу Google Chrome 64, вийшов Google Chrome 65.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 45 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 65 (деталі)

У березні, 16.03.2018, вийшов Mozilla Firefox 59.0.1. Нова версія браузера вийшла через три дні після виходу Firefox 59.

Це секюріті випуск в якому виправлені уразливості CVE-2018-5146: Out of bounds memory write in libvorbis та CVE-2018-5147: Out of bounds memory write in libtremor.

• MFSA 2018-08 Out of bounds memory write while processing Vorbis audio data (деталі)