Websecurity - Веб безпека

У серпні, 27.08.2015, вийшов Mozilla Firefox 40.0.3. Нова версія браузера вийшла через пів місяці після виходу Firefox 40.

Це секюріті випуск в якому виправлені дві уразливості (причому помилка в реалізації елемента canvas є критичною діркою). А також виправлені деякі помилки, в тому числі два вибивання браузера, що пов’язані з GStreamer на Linux і DisplayLink на Windows. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-94 Use-after-free when resizing canvas element during restyling (деталі)
• MFSA 2015-95 Add-on notification bypass through data URLs (деталі)

У серпні, 06.08.2015, вийшли PHP 5.4.44, PHP 5.5.28 і PHP 5.6.12. У версії 5.4.44 виправлено 11 уразливостей, у версії 5.5.28 виправлено 12 уразливостей, у версії 5.6.12 виправлено декілька багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.44, 5.5.28 і 5.6.12 виправлено:

• Виправлено 5 уразливостей (6 в PHP 5.5.28 і 5.6.12), в тому числі 2 дірки в модулі Phar.
• Уразливості в модулях OpenSSL, SOAP, SPL.
• Помилка “key values mismatch” в OpenSSL у функції openssl_pkcs12, яку не віднесли до уразливостей (в PHP 5.6.12).

По матеріалам http://www.php.net.

У серпні, 11.08.2015, вийшов Mozilla Firefox 40. Нова версія браузера вийшла через півтора місяці після виходу Firefox 39.

Mozilla офіційно випустила реліз веб-браузера Firefox 40, а також мобільну версію Firefox 40 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 41 намічений на 22 вересня, а Firefox 42 на 3 листопада.

Також був випущений Seamonkey 2.36 та були оновлені гілки із тривалим терміном підтримки Firefox 31.9, Firefox 38.2 і Thunderbird 38.2.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Windows (для Mac OS X та Linux це зробили у попередній версії). Тепер сервіс перевірки malware також підтримує популярні Windows файли.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 40.0 усунуто 15 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Зазначу, що хоча вони випустили 14 Security Advisory для даного версії Firefox, насправді виправлень 15, але для одної дірки вони не захотіли робити адвізорі, але написали про неї в документації в розділі Security. Це уразливість, що стосується різних браузерів, про яку повідомив Mozilla ще у березні 2011 і нарешті вони виправили її (Bug 647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth).

• Релиз Firefox 40 (деталі)

У серпні, 04.08.2015, вийшла нова версія WordPress 4.2.4.

WordPress 4.2.4 це багфікс та секюріті випуск нової 4.2 серії. В якому розробники виправили 4 баги та 6 уразливостей. Це три Cross-Site Scripting і одна SQL Injection уразливості. А також виправлена потенційна timing side-channel attack і можливість нападнику заблокувати редагування постів.

Також в цей день вийшли WordPress 4.0.7 і 4.1.7. Версії 4.0.7 і 4.1.7 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

У серпні, 06.08.2015, вийшов Mozilla Firefox 39.0.3. Нова версія браузера вийшла через місяць після виходу Firefox 39.

Це секюріті випуск в якому виправлена критична уразливість.

• MFSA 2015-78 Same origin violation and local file stealing via PDF reader (деталі)

У липні, 23.06.2015, вийшла нова версія WordPress 4.2.3.

WordPress 4.2.3 це багфікс та секюріті випуск нової 4.2 серії. В якому розробники виправили 21 баг та одну уразливість. Це Cross-Site Scripting уразливість, що може бути використана в середині адмінки користувачами з правами Contributor чи Author. Та виправлений баг, коли користувач з правами Subscriber може створити чернетку через Quick Draft.

Також в цей день вийшли WordPress 4.0.6 і 4.1.6. Версії 4.0.6 і 4.1.6 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

У липні, 21.07.2015, через два місяці після виходу Google Chrome 43, вийшов Google Chrome 44.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 44 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що більше ніж в попередній версії.

• Релиз web-браузера Chrome 44 и операционной системы Chrome OS 44 (деталі)

У липні, 09.07.2015 і 10.07.2015, вийшли PHP 5.4.43, PHP 5.5.27 і PHP 5.6.11. У версії 5.4.43 виправлено 5 уразливостей, у версіях 5.5.27 і 5.6.11 виправлено декілька багів і понад 7 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.43, 5.5.27 і 5.6.11 виправлено:

• Виправлено 5 уразливостей, в тому числі 2 дірки в модулі Phar.
• Виправлено 2 DoS уразливості (в PHP 5.5.27 і 5.6.11).
• Уразливості в модулях PCRE, SPL, PDO_pgsql (в PHP 5.5.27 і 5.6.11).
• Use-after-free уразливість в sqlite3SafetyCheckSickOrOk() (в PHP 5.6.11).

По матеріалам http://www.php.net.

У липні, 02.07.2015, вийшов Mozilla Firefox 39. Нова версія браузера вийшла через півтора місяці після виходу Firefox 38.

Mozilla офіційно випустила реліз веб-браузера Firefox 39, а також мобільну версію Firefox 39 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 40 намічений на 11 серпня, а Firefox 41 на 22 вересня.

Також був випущений Seamonkey 2.35 та були оновлені гілки із тривалим терміном підтримки Firefox 31.8, Firefox 38.1 і Thunderbird 38.1.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Mac OS X та Linux. Окрім інших популярних файлів, тепер сервіс перевірки malware підтримує популярні Mac файли. А також прибрали підтримку SSLv3.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 39.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч). Зокрема в чотирьох патчах виправлені 13 критичних уразливостей.

• Релиз Firefox 39 (деталі)

У травні, 14.05.2015, вийшов Mozilla Firefox 38.0.1. Нова версія браузера вийшла через 2 дні після виходу Firefox 38.

Це секюріті та багфікс випуск в якому виправлені баги, а також вибивання браузера. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

А у червні, 02.06.2015, вийшов Mozilla Firefox 38.0.5. Це коригувальний випуск в якому виправлені баги та доданий новий функціонал (Reader View, спільний доступ до вікна чи вкладки у клієнті Hello, інтеграція сервісу Pocket).

• Релиз Firefox 38.0.5 с режимом читателя и поддержкой сервиса Pocket (деталі)