Websecurity - Веб безпека

У вересні, 30.09.2015, вийшов Mozilla Firefox 41.0.1. А в жовтні, 15.10.2015, вийшов Mozilla Firefox 41.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 41.

Це багфікс і секюріті випуски в яких виправлені баги (в 41.0.1) і одна уразливість (в 41.0.2). Але в першій версії виправлені численні помилки, в тому числі п’ять вибивань браузера, що пов’язані з Intel GMA 3150, Facebook, Yandex Toolbar, Adblock Plus та серіалізацію в браузері. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-115 Cross-origin restriction bypass using Fetch (деталі)

У жовтні, 01.10.2015, вийшли PHP 5.5.30 і PHP 5.6.14. У версії 5.5.30 виправлено 2 уразливості, у версії 5.6.14 виправлено багато багів і 2 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x і 5.6.x.

У PHP 5.5.30 і 5.6.14 виправлено:

• Виправлено дві уразливості.
• Проблеми в модулі OpenSSL (PHP 5.6.14).

По матеріалам http://www.php.net.

У вересні, 01.09.2015, через півтора місяці після виходу Google Chrome 44, вийшов Google Chrome 45.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Сайти тепер можуть включати зовнішні ресурси з перевіркою їхньої цілісності по хешу.
• Для захисту від деяких видів атак джерело ’self’ у CSP (Content Security Policy) тепер виключає бінарні об’єкти і лінки на файлову систему.
• При обміні ключами Diffie-Hellman тепер не допускається використання ключів довжиною менше 1024 біт.
• Цілком припинена підтримка NPAPI-плагинів. З розширених налаштувань вилучена опція, що надає запасний шлях для включення NPAPI.

Виправлено 29 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 45 (деталі)

У вересні, 15.09.2015, вийшла нова версія WordPress 4.3.1.

WordPress 4.3.1 це багфікс та секюріті випуск нової 4.3 серії. В якому розробники виправили 26 багів та 3 уразливості. Це дві Cross-Site Scripting і одна Privilege Escalation уразливості. XSS дірки в шорткод тегах і в списку користувачів, а PE дірка дозволяла користувачам без достатніх прав публікувати приватні пости і закріплювати їх.

Також в цей день вийшли WordPress 4.0.8, 4.1.8 і 4.2.5. Версії 4.0.8, 4.1.8 і 4.2.5 це секюріті випуски 4.0, 4.1 і 4.2 серії, в яких виправлені дані уразливості й баги.

У вересні, 04.09.2015, вийшли PHP 5.4.45, PHP 5.5.29 і PHP 5.6.13. У версії 5.4.45 виправлено 10 уразливостей, у версії 5.5.29 виправлено 11 уразливостей, у версії 5.6.13 виправлено декілька багів і 15 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.45, 5.5.29 і 5.6.13 виправлено:

• Виправлено 5 уразливостей (8 в PHP 5.6.13).
• Уразливості в модулях SOAP, SPL, XSLT.
• Уразливості в модулі PCRE (що в описі згадані як одна дірка).

По матеріалам http://www.php.net.

У серпні, 18.08.2015, вийшла нова версія WordPress 4.3.

WordPress 4.3 це перший випуск нової 4.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити налаштування меню, скорочення форматування, редактор іконок сайта, покращена процедура генерування безпечних паролів та деякі покращення в адмінці.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У вересні, 22.09.2015, вийшов Mozilla Firefox 41. Нова версія браузера вийшла через півтора місяці після виходу Firefox 40.

Mozilla офіційно випустила реліз веб-браузера Firefox 41, а також мобільну версію Firefox 41 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 42 намічений на 3 листопада, а Firefox 43 на 15 грудня.

Також був випущений Seamonkey 2.38 та були оновлені гілки із тривалим терміном підтримки Firefox 38.3 і Thunderbird 38.3.

В цій версії зроблений показ попереджень про використання непідписаних доповнень. Хоча розробники планували вимкнути такі доповнення по замовчуванню, але відклали це до версії 43.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 41.0 усунуто 19 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 41 (деталі)

У серпні, 27.08.2015, вийшов Mozilla Firefox 40.0.3. Нова версія браузера вийшла через пів місяці після виходу Firefox 40.

Це секюріті випуск в якому виправлені дві уразливості (причому помилка в реалізації елемента canvas є критичною діркою). А також виправлені деякі помилки, в тому числі два вибивання браузера, що пов’язані з GStreamer на Linux і DisplayLink на Windows. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-94 Use-after-free when resizing canvas element during restyling (деталі)
• MFSA 2015-95 Add-on notification bypass through data URLs (деталі)

У серпні, 06.08.2015, вийшли PHP 5.4.44, PHP 5.5.28 і PHP 5.6.12. У версії 5.4.44 виправлено 11 уразливостей, у версії 5.5.28 виправлено 12 уразливостей, у версії 5.6.12 виправлено декілька багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.44, 5.5.28 і 5.6.12 виправлено:

• Виправлено 5 уразливостей (6 в PHP 5.5.28 і 5.6.12), в тому числі 2 дірки в модулі Phar.
• Уразливості в модулях OpenSSL, SOAP, SPL.
• Помилка “key values mismatch” в OpenSSL у функції openssl_pkcs12, яку не віднесли до уразливостей (в PHP 5.6.12).

По матеріалам http://www.php.net.

У серпні, 11.08.2015, вийшов Mozilla Firefox 40. Нова версія браузера вийшла через півтора місяці після виходу Firefox 39.

Mozilla офіційно випустила реліз веб-браузера Firefox 40, а також мобільну версію Firefox 40 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 41 намічений на 22 вересня, а Firefox 42 на 3 листопада.

Також був випущений Seamonkey 2.36 та були оновлені гілки із тривалим терміном підтримки Firefox 31.9, Firefox 38.2 і Thunderbird 38.2.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Windows (для Mac OS X та Linux це зробили у попередній версії). Тепер сервіс перевірки malware також підтримує популярні Windows файли.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 40.0 усунуто 15 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Зазначу, що хоча вони випустили 14 Security Advisory для даного версії Firefox, насправді виправлень 15, але для одної дірки вони не захотіли робити адвізорі, але написали про неї в документації в розділі Security. Це уразливість, що стосується різних браузерів, про яку повідомив Mozilla ще у березні 2011 і нарешті вони виправили її (Bug 647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth).

• Релиз Firefox 40 (деталі)