Websecurity - Веб безпека

У лютому, 24.02.2015, вийшов Mozilla Firefox 36. Нова версія браузера вийшла через півтора місяці після виходу Firefox 35.

Mozilla офіційно випустила реліз веб-браузера Firefox 36, а також мобільну версію Firefox 36 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 37 намічений на 31 березня, а Firefox 38 на 12 травня.

Також були випущені Seamonkey 2.33 та оновлені гілки із тривалим терміном підтримки Firefox 31.5 і Thunderbird 31.5.

В цій версії додана підтримка протоколу HTTP/2.0. Серед покращень безпеки відбувся перехід до другої фази припинення підтримки сертифікатів на основі 1024-розрядних ключів RSA та був визнаний небезпечним шифр RC4.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 36.0 усунуто 17 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 36 с поддержкой HTTP/2.0 (деталі)

У листопаді, 18.11.2014, через півтора місяці після виходу Google Chrome 38, вийшов Google Chrome 39.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Також зроблено наступні покращення безпеки: втілений у життя перший етап плану по припиненню довіри до сертифікатів, підписаним із застосуванням SHA-1; внесені зміни, спрямовані на блокування атак, що приводять до відкоту на використання протоколу SSLv3, що містить фундаментальні уразливості; припинена підтримка NPAPI-плагінів для 32-розрядних версій Windows (в Linux це було зроблено раніше).

Виправлені 42 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer.

• Релиз web-браузера Chrome 39 (деталі)

У грудні, 01.12.2014, вийшов Mozilla Firefox 34.0.5. Нова версія браузера вийшла в той же день після виходу Firefox 34. За півтора місяці до виходу Firefox 35.

Ця версії доступна лише для користувачів в Північній Америці, в усіх інших країнах оновлення відбувається до версії 34.0.

В Firefox 34.0.5 по замовчуванню використовується пошукова система Yahoo замість Google. У січні вийшов Firefox 35.

У січні, 13.01.2015, вийшов Mozilla Firefox 35. Нова версія браузера вийшла через півтора місяці після виходу Firefox 34.

Mozilla офіційно випустила реліз веб-браузера Firefox 35, а також мобільну версію Firefox 35 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 36 намічений на 24 лютого, а Firefox 37 на 7 квітня.

Також були випущені Seamonkey 2.32 та оновлені гілки із тривалим терміном підтримки Firefox 31.4 і Thunderbird 31.4.

Серед покращень безпеки реалізовано HTTP-розширення для механізму прив’язки відкритих ключів (Public Key Pinning), що дозволяє явно визначити сертифікати яких центрів, що засвідчують, можливо використовувати для заданого сайта.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 35.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 35 (деталі)

У грудні, 18.12.2014, вийшли PHP 5.4.36, PHP 5.5.20 і PHP 5.6.4. У версії 5.4.36 виправлено 2 уразливості, у версіях 5.5.20 і 5.6.4 виправлено декілька багів і 1 уразливість.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.36, 5.5.20 і 5.6.4 виправлено:

• Уразливість NULL pointer dereference в unserialize().
• Уразливість Use after free в unserialize().
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.4.36).

По матеріалам http://www.php.net.

У жовтні, 24.10.2014, вийшов Mozilla Firefox 33.0.1. Нова версія браузера вийшла через 10 днів після виходу Firefox 33.

Це коригувальний випуск в якому усунуто проблему, коли показувалася пуста сторінка при запуску браузера з деякими графічними драйверами.

У жовтні, 28.10.2014, вийшов Mozilla Firefox 33.0.2.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при запуску браузера з деяким обладнанням і драйверами.

У грудні, 18.12.2014, вийшла нова версія WordPress 4.1.

WordPress 4.1 це перший випуск нової 4.1 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему по замовчуванню, покращене візуальне редагування, що не відволікає, підтримка багатьох локалізацій і зміна мови в налаштуваннях сайту, в адмінці можна зробити повний логаут (щоб вихід був зроблений для всіх пристроїв, з яких заходили в акаунт), підтримка включення відео з Vine та рекомендації плагінів в інсталяторі плагінів.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У листопаді, 13.11.2014, вийшли PHP 5.4.35, PHP 5.5.19 і PHP 5.6.3. У версії 5.5.35 виправлено 4 уразливості, у версіях 5.4.19 і 5.6.3 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.35, 5.5.19 і 5.6.3 виправлено:

• Пошкодження zend_mm_heap після переповнення пам’яті в zend_hash_copy.
• Уразливість в розширені fileinfo (що складається з трьох дірок).
• Уразливість в розширені GMP.
• Уразливість в розширені PDO_pgsql.

По матеріалам http://www.php.net.

У грудні, 01.12.2014, вийшов Mozilla Firefox 34. Нова версія браузера вийшла через півтора місяці після виходу Firefox 33.

Mozilla офіційно випустила реліз веб-браузера Firefox 34, а також мобільну версію Firefox 34 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 35 намічений на 13 січня, а Firefox 36 на 24 лютого.

Також були випущені Seamonkey 2.31 та оновлені гілки із тривалим терміном підтримки Firefox 31.3 і Thunderbird 31.3.

Серед покращень безпеки додана інтеграція нового API WebCrypto, відключена підтримка SSLv3, у зв’язку з виявленням уразливості в даному протоколі та тимчасово повернута підтримка пропрієтарних властивостей і функцій window.crypto.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 34.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 34 (деталі)

У листопаді, 20.11.2014, вийшла нова версія WordPress 4.0.1.

WordPress 4.0.1 це багфікс та секюріті випуск нової 4.0 серії. В якому розробники виправили 23 баги та 10 уразливостей. Серед виправлених уразливостей:

• виправлені 3 XSS уразливості, що можуть бути використані користувачами з правами contributor чи author.
• виправлена Cross-Site Request Forgery уразливість, що дозволяє провести атаку на користувача для зміни пароля.
• виправлена Denial of Service уразливість при перевірці паролів.
• доданий додатковий захист проти Server-Side Request Forgery.
• виправлена дуже маловірогідна колізія хешів, що дозволяла скомпрометувати акаунт користувача.
• тепер лінки в листах для зміни паролю стають недійсними, якщо користувач змінив свій емайл.
• виправлені дві уразливості при перевірці EXIF даних при завантаженні зображень, що розробники назвали “security hardening”.

У WordPress 3.9.2 та попередніх версіях виявлена Cross-Site Scripting уразливість в функції коментування. Для гілок 3.7.x, 3.8.x і 3.9.x були випущені версії 3.7.5, 3.8.5 і 3.9.3 з виправленням даної XSS уразливості.