Websecurity - Веб безпека

У серпні, 02.08.2016, вийшов Mozilla Firefox 48. Нова версія браузера вийшла через півтора місяці після виходу Firefox 47.

Mozilla офіційно випустила реліз веб-браузера Firefox 48, а також мобільну версію Firefox 48 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 49 намічений на 13 вересня, а Firefox 50 на 8 листопада.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.3.

В браузері було зроблено декілька покращень безпеки, зокрема перевірка додатків по цифровому підпису тепер обов’язкова і не вимикається в налаштуваннях та розширені засоби для захисту користувачів від завантаження шкідливого вмісту. Також по замовчуванню блокується Flash (зокрема флешки розміром менше 5×5, що часто використовуються для стеження за користувачами через генерацію унікального ідентифікатора по встановлених шрифтах чи запис суперкукі).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 48.0 усунуто 23 уразливості, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 48 (деталі)

У липні, 20.07.2016, через півтора місяці після виходу Google Chrome 51, вийшов Google Chrome 52.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки в Content Security Policy доданий вираз unsafe-dynamic, що дозволяє використовувати білі списки допустимих джерел скриптів.

Виправлено 48 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 52 (деталі)

В липні, 21.07.2016, вийшли PHP 5.5.38, PHP 5.6.24 і PHP 7.0.9. У версії 5.5.38 виправлено 15 уразливостей, у версії 5.6.24 виправлено декілька багів і 17 уразливостей, у версії 7.0.9 виправлено багато багів і 25 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.38, 5.6.24 і 7.0.9 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Вибивання при знищенні HTTP_RAW_POST_DATA в PHP 5.6.24.
• Integer Overflow в Length строкового-типу ZVAL в PHP 5.6.24 і 7.0.9.
• Витік пам’яті в jit_stack в модулі PCRE в PHP 7.0.9.
• Ще вісім уразливостей в ядрі та модулях в PHP 7.0.9.

По матеріалам http://www.php.net.

У червні, 18.06.2016, вийшла нова версія WordPress 4.5.3.

WordPress 4.5.3 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 17 багів і 8 уразливостей. Це Redirector уразливість, 2 XSS, Information Leakage, DoS в oEmbed, неавторизоване видалення категорії з посту, зміна паролю через кукіс та недостатньо безпечні імена файлів в функції sanitize_file_name.

Також в цей день вийшли WordPress 4.0.12, 4.1.12, 4.2.9, 4.3.4 і 4.4.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.

В червні, 23.06.2016, вийшли PHP 5.5.37, PHP 5.6.23 і PHP 7.0.8. У версії 5.5.37 виправлено 15 уразливостей, у версії 5.6.23 виправлено декілька багів і 15 уразливостей, у версії 7.0.8 виправлено багато багів і 16 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.37, 5.6.23 і 7.0.8 виправлено:

• Use After Free уразливість в класі ZipArchive в модулі Zip.
• Ще чотирнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в get_zval_xmlrpc_type в модулі XMLRPC в PHP 7.0.8.

По матеріалам http://www.php.net.

У червні, 07.06.2016, вийшов Mozilla Firefox 47. Нова версія браузера вийшла через півтора місяці після виходу Firefox 46.

Mozilla офіційно випустила реліз веб-браузера Firefox 47, а також мобільну версію Firefox 47 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 48 намічений на 2 серпня, а Firefox 49 на 13 вересня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 45.2 і Thunderbird 38.9.

В браузері було зроблено декілька покращень безпеки, зокрема для ресурсів, відкритих по HTTPS, реалізована можливість відключення кешування сторінок при навігації кнопками “вперед” і “назад”. Та додано підтримку потокового шифру ChaCha20 і алгоритму аутентифікації повідомлень (MAC) Poly1305.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 47.0 усунуто 13 уразливостей, серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 47 (деталі)

У травні, 25.05.2016, через півтора місяці після виходу Google Chrome 50, вийшов Google Chrome 51.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Серед покращень безпеки доданий Credential Management API, що надає сайтам можливість зберігати і запитувати облікові дані користувача. Також для cookie реалізований атрибут SameSіte, що дозволяє обмежити передачу cookie тільки поточним доменом, в TLS додана підтримка шифру AES_256_GCM та вилучена можливість зміни оформлення повідомлення, що відображається в діалозі onbeforeunload (обробник закриття сторінки).

Виправлено 42 уразливості. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Выпуск web-браузера Chrome 51 (деталі)

Сьогодні, 26.05.2016, вийшли PHP 5.5.36, PHP 5.6.22 і PHP 7.0.7. У версії 5.5.36 виправлено 5 уразливостей, у версії 5.6.22 виправлено декілька багів і 4 уразливості, у версії 7.0.7 виправлено багато багів і 5 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.36, 5.6.22 і 7.0.7 виправлено:

• Чотири уразливості в ядрі та модулях.
• Uninitialized pointer в phar_make_dirstream() в модулі Phar в PHP 5.5.36.

По матеріалам http://www.php.net.

У травні, 06.05.2016, вийшла нова версія WordPress 4.5.2.

WordPress 4.5.2 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 2 уразливості. Це Code Execution (SOME) уразливість в бібліотеці Plupload та XSS уразливість в медіа плеєрі MediaElement.js, що використовуються в WP.

Також в цей день вийшли WordPress 4.0.11, 4.1.11, 4.2.8, 4.3.4 і 4.4.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.

У квітні, 28-29.04.2016, вийшли PHP 5.5.35, PHP 5.6.21 і PHP 7.0.6. У версії 5.5.35 виправлено 9 уразливостей, у версії 5.6.21 виправлено декілька багів і 11 уразливостей, у версії 7.0.6 виправлено багато багів і 18 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.35, 5.6.21 і 7.0.6 виправлено:

• Integer Overflow в ZipArchive::getFrom в модулі Zip в PHP 7.0.6.
• Дев’ять уразливостей в ядрі та модулях.
• Ще дві уразливості в модулях в PHP 5.6.21.
• Ще вісім уливостей в модулях в PHP 7.0.6.

По матеріалам http://www.php.net.