Websecurity - Веб безпека

У вересні, 01.09.2016, через півтора місяці після виходу Google Chrome 52, вийшов Google Chrome 53.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки додані обмеження по відтворенню Flash-вмісту та в TLS видалені шифри Diffie-Hellman через потенціальні проблеми з безпекою.

Виправлено 33 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 53 (деталі)

У серпні, 16.08.2016, вийшла нова версія WordPress 4.6.

WordPress 4.6 це перший випуск нової 4.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити спрощення процесу оновлення (все відбувається на поточній сторінці через AJAX), підтримка рідних шрифтів - для швидшого завантаження сайту, покращене редагування та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

В серпні, 18 та 19.08.2016, вийшли PHP 5.6.25 і PHP 7.0.10. У версії 5.6.25 виправлено декілька багів і 21 уразливість, у версії 7.0.10 виправлено багато багів і 17 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.25 і 7.0.10 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в unserialize() в PHP 5.6.25.
• Heap corruption через Integer overflow в sql_regcase в модулі Ereg в PHP 5.6.25.
• Heap overflow через Integer overflow в модулі Mcrypt в PHP 7.0.10.
• 4 Integer overflow в модулі Standard в PHP 5.6.25.
• NULL Pointer dereference в zend_virtual_cwd в модулі Zip в PHP 7.0.10.

По матеріалам http://www.php.net.

У серпні, 02.08.2016, вийшов Mozilla Firefox 48. Нова версія браузера вийшла через півтора місяці після виходу Firefox 47.

Mozilla офіційно випустила реліз веб-браузера Firefox 48, а також мобільну версію Firefox 48 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 49 намічений на 13 вересня, а Firefox 50 на 8 листопада.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.3.

В браузері було зроблено декілька покращень безпеки, зокрема перевірка додатків по цифровому підпису тепер обов’язкова і не вимикається в налаштуваннях та розширені засоби для захисту користувачів від завантаження шкідливого вмісту. Також по замовчуванню блокується Flash (зокрема флешки розміром менше 5×5, що часто використовуються для стеження за користувачами через генерацію унікального ідентифікатора по встановлених шрифтах чи запис суперкукі).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 48.0 усунуто 23 уразливості, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 48 (деталі)

У липні, 20.07.2016, через півтора місяці після виходу Google Chrome 51, вийшов Google Chrome 52.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки в Content Security Policy доданий вираз unsafe-dynamic, що дозволяє використовувати білі списки допустимих джерел скриптів.

Виправлено 48 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 52 (деталі)

В липні, 21.07.2016, вийшли PHP 5.5.38, PHP 5.6.24 і PHP 7.0.9. У версії 5.5.38 виправлено 15 уразливостей, у версії 5.6.24 виправлено декілька багів і 17 уразливостей, у версії 7.0.9 виправлено багато багів і 25 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.38, 5.6.24 і 7.0.9 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Вибивання при знищенні HTTP_RAW_POST_DATA в PHP 5.6.24.
• Integer Overflow в Length строкового-типу ZVAL в PHP 5.6.24 і 7.0.9.
• Витік пам’яті в jit_stack в модулі PCRE в PHP 7.0.9.
• Ще вісім уразливостей в ядрі та модулях в PHP 7.0.9.

По матеріалам http://www.php.net.

У червні, 18.06.2016, вийшла нова версія WordPress 4.5.3.

WordPress 4.5.3 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 17 багів і 8 уразливостей. Це Redirector уразливість, 2 XSS, Information Leakage, DoS в oEmbed, неавторизоване видалення категорії з посту, зміна паролю через кукіс та недостатньо безпечні імена файлів в функції sanitize_file_name.

Також в цей день вийшли WordPress 4.0.12, 4.1.12, 4.2.9, 4.3.4 і 4.4.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.

В червні, 23.06.2016, вийшли PHP 5.5.37, PHP 5.6.23 і PHP 7.0.8. У версії 5.5.37 виправлено 15 уразливостей, у версії 5.6.23 виправлено декілька багів і 15 уразливостей, у версії 7.0.8 виправлено багато багів і 16 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.37, 5.6.23 і 7.0.8 виправлено:

• Use After Free уразливість в класі ZipArchive в модулі Zip.
• Ще чотирнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в get_zval_xmlrpc_type в модулі XMLRPC в PHP 7.0.8.

По матеріалам http://www.php.net.

У червні, 07.06.2016, вийшов Mozilla Firefox 47. Нова версія браузера вийшла через півтора місяці після виходу Firefox 46.

Mozilla офіційно випустила реліз веб-браузера Firefox 47, а також мобільну версію Firefox 47 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 48 намічений на 2 серпня, а Firefox 49 на 13 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 45.2 і Thunderbird 38.9.

В браузері було зроблено декілька покращень безпеки, зокрема для ресурсів, відкритих по HTTPS, реалізована можливість відключення кешування сторінок при навігації кнопками “вперед” і “назад”. Та додано підтримку потокового шифру ChaCha20 і алгоритму аутентифікації повідомлень (MAC) Poly1305.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 47.0 усунуто 13 уразливостей, серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 47 (деталі)

У травні, 25.05.2016, через півтора місяці після виходу Google Chrome 50, вийшов Google Chrome 51.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки доданий Credential Management API, що надає сайтам можливість зберігати і запитувати облікові дані користувача. Також для cookie реалізований атрибут SameSіte, що дозволяє обмежити передачу cookie тільки поточним доменом, в TLS додана підтримка шифру AES_256_GCM та вилучена можливість зміни оформлення повідомлення, що відображається в діалозі onbeforeunload (обробник закриття сторінки).

Виправлено 42 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 51 (деталі)