Websecurity - Веб безпека

У листопаді, 03.11.2015, вийшов Mozilla Firefox 42. Нова версія браузера вийшла через півтора місяці після виходу Firefox 41.

Mozilla офіційно випустила реліз веб-браузера Firefox 42, а також мобільну версію Firefox 42 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 43 намічений на 15 грудня, а Firefox 44 на 26 січня.

Також був випущений Seamonkey 2.39 та були оновлені гілки із тривалим терміном підтримки Firefox 38.4 і Thunderbird 38.4.

В браузері була покращена приватність в Private Browsing з Tracking Protection через блокування елементів веб сторінок, що можуть використовуватися для спостереження за користувачами. Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 42.0 усунуто 18 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 42 (деталі)

Сьогодні вийшла нова версія програми DAVOSET v.1.2.6. В новій версії:

• Додав підтримку коментарів у списках.
• Додав підтримку XML запитів через GET (зокрема для NetIQ Access).
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 155 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.6.rar.

У жовтні, 13.10.2015, через півтора місяці після виходу Google Chrome 45, вийшов Google Chrome 46.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Cache API тепер працює лише з HTTPS.
• Скасовано проміжний жовтий індикатор захищеності сайта. Тепер https ресурс з мінімальними помилками (зображення по http) буде вважатися незахищеним.

Виправлено 24 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 46 (деталі)

У вересні, 30.09.2015, вийшов Mozilla Firefox 41.0.1. А в жовтні, 15.10.2015, вийшов Mozilla Firefox 41.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 41.

Це багфікс і секюріті випуски в яких виправлені баги (в 41.0.1) і одна уразливість (в 41.0.2). Але в першій версії виправлені численні помилки, в тому числі п’ять вибивань браузера, що пов’язані з Intel GMA 3150, Facebook, Yandex Toolbar, Adblock Plus та серіалізацію в браузері. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-115 Cross-origin restriction bypass using Fetch (деталі)

У жовтні, 01.10.2015, вийшли PHP 5.5.30 і PHP 5.6.14. У версії 5.5.30 виправлено 2 уразливості, у версії 5.6.14 виправлено багато багів і 2 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x і 5.6.x.

У PHP 5.5.30 і 5.6.14 виправлено:

• Виправлено дві уразливості.
• Проблеми в модулі OpenSSL (PHP 5.6.14).

По матеріалам http://www.php.net.

У вересні, 01.09.2015, через півтора місяці після виходу Google Chrome 44, вийшов Google Chrome 45.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Сайти тепер можуть включати зовнішні ресурси з перевіркою їхньої цілісності по хешу.
• Для захисту від деяких видів атак джерело ’self’ у CSP (Content Security Policy) тепер виключає бінарні об’єкти і лінки на файлову систему.
• При обміні ключами Diffie-Hellman тепер не допускається використання ключів довжиною менше 1024 біт.
• Цілком припинена підтримка NPAPI-плагинів. З розширених налаштувань вилучена опція, що надає запасний шлях для включення NPAPI.

Виправлено 29 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 45 (деталі)

У вересні, 15.09.2015, вийшла нова версія WordPress 4.3.1.

WordPress 4.3.1 це багфікс та секюріті випуск нової 4.3 серії. В якому розробники виправили 26 багів та 3 уразливості. Це дві Cross-Site Scripting і одна Privilege Escalation уразливості. XSS дірки в шорткод тегах і в списку користувачів, а PE дірка дозволяла користувачам без достатніх прав публікувати приватні пости і закріплювати їх.

Також в цей день вийшли WordPress 4.0.8, 4.1.8 і 4.2.5. Версії 4.0.8, 4.1.8 і 4.2.5 це секюріті випуски 4.0, 4.1 і 4.2 серії, в яких виправлені дані уразливості й баги.

У вересні, 04.09.2015, вийшли PHP 5.4.45, PHP 5.5.29 і PHP 5.6.13. У версії 5.4.45 виправлено 10 уразливостей, у версії 5.5.29 виправлено 11 уразливостей, у версії 5.6.13 виправлено декілька багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.45, 5.5.29 і 5.6.13 виправлено:

• Виправлено 5 уразливостей (8 в PHP 5.6.13).
• Уразливості в модулях SOAP, SPL, XSLT.
• Уразливості в модулі PCRE (що в описі згадані як одна дірка).

По матеріалам http://www.php.net.

У серпні, 18.08.2015, вийшла нова версія WordPress 4.3.

WordPress 4.3 це перший випуск нової 4.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити налаштування меню, скорочення форматування, редактор іконок сайта, покращена процедура генерування безпечних паролів та деякі покращення в адмінці.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У вересні, 22.09.2015, вийшов Mozilla Firefox 41. Нова версія браузера вийшла через півтора місяці після виходу Firefox 40.

Mozilla офіційно випустила реліз веб-браузера Firefox 41, а також мобільну версію Firefox 41 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 42 намічений на 3 листопада, а Firefox 43 на 15 грудня.

Також був випущений Seamonkey 2.38 та були оновлені гілки із тривалим терміном підтримки Firefox 38.3 і Thunderbird 38.3.

В цій версії зроблений показ попереджень про використання непідписаних доповнень. Хоча розробники планували вимкнути такі доповнення по замовчуванню, але відклали це до версії 43.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 41.0 усунуто 19 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 41 (деталі)