Websecurity - Веб безпека

У серпні, 20.08.2013, майже через два місяці після виходу Google Chrome 28, вийшов Google Chrome 29.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 25 уразливостей, 5 з яких позначені як небезпечні. Це більше ніж у попередній версії браузера. І це майже рекорд, більше було лише у версії Chrome 22 (в якій було виправлено 26 уразливостей).

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), при роботі з XSLT і при обробці вмісту елемента media, цілочислене переповнення у ANGLE і недостатнє очищенням шляхів у коді роботи з файлами.

• Релиз web-браузера Chrome 29 (деталі)

В серпні, 01.08.2013, вийшла нова версія WordPress 3.6.

WordPress 3.6 це перший випуск нової 3.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Thirteen по замовчуванню, покращені ревізії, закріплення постів та налаштовуване автозбереження. А також вбудований HTML5 медіа плеєр та покращений редактор меню.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. А також були виправлені деякі уразливості, про які умисно не згадали в анонсі нової версії WP. Що розробники роблять дуже часто (приховуючи виправлені дірки).

Зокрема виправлені Full path disclosure уразливості в адмінці та покращене виведення помилок БД: тепер помилки виводяться якщо включені обидва WP_DEBUG і WP_DEBUG_DISPLAY.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.3. В новій версії:

• Додав підтримку кукісів.
• Додав підтримку задання портів.
• Додав нові сервіси в повний список зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.3.rar.

У серпні, 16.08.2013, вийшов Mozilla Firefox 23.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 23. І в ній виправлені баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 23.0.1 у якому усунуті три помилки:

• Непрацездатність системи перевірки орфографії при розміщенні профілю в директорії, що містить не ASCII-символи.
• Порушення якості звуку при використанні WebRTC.
• Артефакти відображення при відтворенні H.264-відео в Windows Vista.

У серпні, 15.08.2013, вийшла версія PHP 5.4.18. В якій виправлено біля 30 багів та дві уразливості. А 16.08.2013 вийшла версія PHP 5.5.2. В якій виправлено біля 20 багів та дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.18 і PHP 5.5.2:

• Виправлена уразливість в XML parser (CVE-2013-4113) в PHP 5.4.18, що раніше була виправлена у версіях 5.3.27 і 5.5.1.
• Виправлена уразливість в OpenSSL модулі (CVE-2013-4248).
• Виправлена проблема з session fixation (CVE-2011-4718) в PHP 5.5.2.

Останнє секюріті покращення додає реалізацію захищених сесій в гілку PHP 5.5.x. Які дозволяють захиститися від атак по перехопленню фіксованих ідентифікаторів сесій і підбору ідентифікаторів через виявлення колізій в алгоритмах генерації ідентифікаторів сесій.

По матеріалам http://www.php.net.

У червні, 18.06.2013, майже через місяць після виходу Google Chrome 27, вийшов Google Chrome 28.

В браузері зроблено декілька нововведень та виправлені помилки. Та збільшені мінімальні вимоги до Linux-систем.

А також виправлено 19 уразливостей, деякі з яких позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), обхід SOP при обробці фреймів, плутанина типів у движку v8 та інші уразливості.

• Релиз web-браузера Chrome 28 с повышением минимальных требований к Linux-системам (деталі)

У серпні, 06.08.2013, вийшов Mozilla Firefox 23. Нова версія браузера вийшла через півтора місяця після виходу Firefox 22.

Mozilla офіційно випустила реліз веб-браузера Firefox 23, а також мобільну версію Firefox 23 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 24 намічений на 17 вересня, а Firefox 25 на 29 жовтня.

Також був випущений Seamonkey 2.20 та оновлені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.8 і Thunderbird 17.0.8.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 23.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 23 (деталі)

У липні, 18.07.2013, вийшла версія PHP 5.5.1. В якій виправлено біля 20 багів. Даний реліз направлений на покращення безпеки та стабільності гілки 5.5.x.

Серед секюріті виправлень в PHP 5.5.1:

• Виправлена уразливість в XML parser (баг #65236).

По матеріалам http://www.php.net.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.2. В новій версії:

• Додав підтримку XML запитів для XXE уразливостей.
• Додав нові сервіси в повний список зомбі.
• Покращив роботу з сервісами, що вимагають “http://” для цільового сайта.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.2.rar.

У липні, 04.07.2013, вийшла версія PHP 5.4.17. В якій виправлено біля 20 багів. А 11.07.2013, вийшла версія PHP 5.3.27. В якій виправлено біля 10 багів та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.27:

• Виправлена уразливість в XML parser (баг #65236).

По матеріалам http://www.php.net.