Websecurity - Веб безпека

В грудні, 11.12.2012, вийшла нова версія WordPress 3.5.

WordPress 3.5 це перший випуск нової 3.5 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращений аплоадер і менеджер медіа файлів, нова тема Twenty Twelve по замовчуванню та новий вибирач кольору. А також покращені стилі в адмінці, покращена графіка для нових дисплеїв (таких як Retina) та оптимізовані деякі розділи в адмінці.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. Зокрема додане встановлення тегів для вибраних плагінів на wordpress.org, доданий імпортер з Tumblr, додана функція движка switch_to_blog() та JavaScript бібліотеки Underscore і Backbone.

У листопаді, 20.11.2012, вийшов Mozilla Firefox 17. Нова версія браузера вийшла через півтора місяця після виходу Firefox 16 (і майже через місяць після Firefox 16.0.2).

Mozilla офіційно представила реліз веб-браузера Firefox 17, який віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.11, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 18 намічений на перший тиждень січня, а Firefox 19 на 19 лютого.

Також були випущені Thunderbird 17, Seamonkey 2.14 і Firefox 17 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 17.0 усунуто 16 уразливостей, серед яких 6 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі.

Зазначу, що в останніх версіях Firefox (з 14 по 17) в браузері виправляється велика кількість уразливостей. Для версії Firefox 17 випущено 16 патчів - це на один патч більше ніж у версії 16. І це при тому, що в деяких патчах виправляється більше однієї дірки.

• Релиз Firefox 17 (деталі)

Учора, 22.11.2012, вийшли PHP 5.3.19 та PHP 5.4.9. В яких виправлено більше 15 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то Сканер атак для WordPress, існує такий плагін як Wordfence Security.

Раніше я вже писав про уразливості в Wordfence Security.

Сам плагін Wordfence Security для WordPress є безкоштовним. Але є додаткові платні послуги, які можна придбати на офіційному сайті. Для цього на сайті www.wordfence.com потрібно отримати Wordfence API Key, який ділиться на безкоштовну та три платні версії (пакети послуг).

Wordfence представляє собою хмарний сервіс, реалізований у вигляді плагіна для WP. Він має чимало можливостей (а при купівлі преміум пакета - ще більше), з яких виділю головні.

• Захист від атак (firewall), в тому числі від Brute Force атак. Як раз в firewall модулі я знайшов вищезгадані уразливості в цьому плагіні.
• Антивірусний сканер (сканування malware на сайтах).
• Сканер шкідливих URL.
• Живий аналіз трафіку з геолокацією.
• Перевірка та виправлення ядра, тем і плагінів движка (від вірусів та бекдорів).

По наявності функції сканування malware на сайтах цей сервіс є безпосереднім конкурентом моїй Web VDS. По функції захисту від атак він подібний до вищезгаданого WordPress Attack Scanner. А по функції виявлення бекдорів він подібний до WordPress File Monitor та багатьох інших плагінів до WP, про які я вже писав.

У листопаді, 06.11.2012, через півтора місяці після виходу Google Chrome 22, вийшов Google Chrome 23.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 14 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 1 - незначні. З уразливостей, що мають статус небезпечних, дві проблеми викликані помилками драйверів для платформи Mac OS X, дві проблеми пов’язані зі звертанням до звільненого блоку пам’яті в обробнику SVG-фільтрів і в коді виведення відео, одна проблема пов’язана з виходом за припустимі границі пам’яті в коді обробки текстур і одна проблема виявлена в движку v8.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Увидел свет web-браузер Chrome 23 (деталі)

В минулому місяці, 26.10.2012, компанія Microsoft випустила фінальну версію браузера Internet Explorer 10. Компанія випустила його разом з Windows 8, в поставку якої він і входить (версія для Windows 7 буде випущена окремо). Вихід нової версії відбувся через півтора роки після виходу IE9.

Незважаючи на заяви Microsoft про підвищену безпеку нових Windows 8 та IE10, не встигли вони вийти, як їх швидко взломали. Експлоіт був розроблений компанією Vupen Security. Що цілком типово для програмних продуктів Microsoft.

У жовтні, 18.10.2012, вийшли PHP 5.3.18 та PHP 5.4.8. В яких виправлено більше 20 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

У жовтні, 27.10.2012, вийшов Mozilla Firefox 16.0.2. Нова версія браузера вийшла через 18 днів після виходу Firefox 16 і через 15 днів після виходу попереднього коригувального релізу Firefox 16.0.1, і в ній виправлені три уразливості.

Доступні коригувальні випуски Firefox 16.0.2 і Firefox 10.0.10 з виправленням трьох критичних уязвимостей, пов’язаних з можливістю некоректного використання об’єкта Location. Зокрема усунута недоробка, що дозволяє здійснити підстановку фіктивного значення window.location і зробити обхід обмежень cross origin policy.

Це вже вдруге в цьому місяці Мозіла випускає виправлення для останньої версії Firefox 16, яку вони не спромоглися випустити якісно. І тепер поспішно латають перед випуском наступної мажорної версії браузера.

• Обновление Firefox 16.0.2 и 10.0.10 с устранением уязвимостей (деталі)

У жовтні, 12.10.2012, вийшов Mozilla Firefox 16.0.1. Нова версія браузера вийшла лише через три дні після виходу Firefox 16 і в ній виправлені чотири уразливості, допущені в останньому релізі.

Mozilla представила коригувальні випуски Firefox 16.0.1, Firefox 10.0.9, Thunderbird 16.0.1 і Seamonkey 2.13.1 з виправленням ще 4 критичних уязвимостей.

Дві уразливості викликані відсутністю належних перевірок у функції defaultValue() і об’єкті location, що можна було використовувати для одержання інформації про відкриті в інших вікнах сайти (можна простежити які URL відкриває користувач - це стосувалося лише останньої версії браузера). Інші дві уразливості пов’язані з можливістю виходу за межі границі буфера, що потенційно дозволяє організувати виконання коду при відкритті спеціально оформлених сторінок.

Це вже не вперше Mozilla випускає черговий реліз браузера з багами чи уразливостями, які потім поспішно латає. Як це мало місце з версіями 15.0.1 і 16.0.1. Останні релізи з виправленими десятками уразливостей та поспішні випуски фікс-релізів свідчать про зростання уразливостей в браузері. А також про стабільно низьку якість підготовки релізів, бо такі проблеми Мозіла постійно має ще з вересня 2008 з версії Firefox 3.0.2.

• Обновление Firefox 16.0.1/10.0.9 и Thunderbird 16.0.1 с устранением уязвимостей (деталі)

У жовтні, 09.10.2012, вийшов Mozilla Firefox 16. Нова версія браузера вийшла через півтора місяця після виходу Firefox 15 (і майже через місяць після Firefox 15.0.1).

Mozilla офіційно представила реліз веб-браузера Firefox 16. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.8, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 17 намічений на 20 листопада, а Firefox 18 на першу половину січня.

Також були випущені Thunderbird 16, Seamonkey 2.13 і Firefox 16 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 16.0 усунуто 15 уразливостей, серед яких 11 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (при детальному дослідженні виявляється, що всього 23 уразливості, з яких 20 критичних).

Зазначу, що в останніх трьох версіях - Firefox 14, 15 і 16 - в браузері виправляється велика кількість уразливостей (порівняно з попередніми версіями). В кожній з цих версій було виправлено від 14 до 17 дірок і це при тому, що в деяких патчах виправляється більше однієї дірки (в даному випуску маємо 14 патчів, що виправляють 23 уразливості).

Таке в Мозіли вже траплялося не раз - це давня практика, але якщо раніше вони лише DoS дірки, що можуть потенційно привести до RCE, таким чином виправляли (Miscellaneous memory safety hazards), то зараз вони почали пачками виправляти heap memory corruption, Use-after-free, buffer overflow та out of bounds read уразливості (таким чином вони почали брати приклад з Microsoft). Окрім того, Мозіла неодноразово приховано виправляла уразливості. Все це свідчить про зростання уразливостей в браузері й компанія не завжди встигає їх знаходити і виправляти (що добре видно по численним виправленням дірок і багів у фікс-релізах, таких як 15.0.1 і 16.0.1).

• Релиз Firefox 16 (деталі)