Websecurity - Веб безпека

У липні, 19.07.2012, вийшли PHP 5.3.15 та PHP 5.4.5. В яких виправлена одна уразливість, а також виправлено більше 30 багів. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.15 та PHP 5.4.5:

• Виправлена buffer overflow уразливість в реалізації stream.

По матеріалам http://www.php.net.

У червні, 14.06.2012, вийшли PHP 5.3.14 та PHP 5.4.4. В яких виправлені дві уразливості, а також виправлено більше 30 багів. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.14 та PHP 5.4.4:

• Виправлена слабкість в реалізації DES функції crypt.
• Виправлена heap overflow уразливість в розширені phar.

По матеріалам http://www.php.net.

У липні, 17.07.2012, вийшов Mozilla Firefox 14. Нова версія браузера вийшла через півтора місяця після виходу Firefox 13 і майже через місяць після Firefox 13.0.1.

Mozilla офіційно представила реліз веб-браузера Firefox 14. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.6. Реліз Firefox 15 намічений на 28 серпня, а Firefox 16 на 9 жовтня.

Також були випущені Thunderbird 14 і Seamonkey 2.11, а Firefox 14 для Android вийшов ще 26 червня.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 14.0 усунуто 18 уразливостей, серед яких 9 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 14 и почтового клиента Thunderbird 14 (деталі)

В червні, 27.06.2012, вийшла нова версія WordPress 3.4.1.

WordPress 3.4.1 це секюріті та багфікс випуск нової 3.4 серії. В якому розробники виправили декілька уразливостей і 6 багів (причому до одного з багів віднесли FPD, що виникала на PHP 5.2.4 і 5.4). А також зробили деякі секюріті покращення.

Про дірки сказано мало, згадується лише про Іnformation disclosure та баг пов’язаний з мультисайтовими інсталяціями. З наявної інформації схоже, що виправили FPD.

Також були виправлені XSS і Redirector уразливості, про які вони не згадали в офіційній публікації, лише назвавши ці виправлення, як секюріті покращення (security hardening). Зокрема з WP 3.4 і 3.4.1 постачається оновлена версія плагіна Akismet з виправленими Cross-Site Scripting і Redirector уразливостями.

Цього місяця, 14.06.2012, вийшла Opera 12. Нова мажорна версія браузера вийшла через півтора роки після виходу Opera 11.

Особливістю Opera 12 є вихід 64-бітної версії під Windows. Таким чином, Opera стала першою компанією після Microsoft, що змогла випустити 64-бітний білд під Windows, цього дотепер не змогли зробити ні розробники Chrome, ні Firefox.

Головною інновацією в Opera 12 стала підтримка повного апаратного прискорення всіх компонентів: від користувацького інтерфейсу до рендеринга сторінок, з підтримкою бекендів OpenGL і DirectX.

• Вышла Opera 12 с полным аппаратным ускорением (деталі)

У червні, 15.06.2012, вийшов Mozilla Firefox 13.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 13 і в ній виправлі деякі баги останнього релізу.

Mozilla представила коригувальний випуск веб браузера Firefox 13.0.1 в якому усунуто кілька помилок, серед яких рішення проблем при роботі в сервісі Hotmail (наприклад, автоматично не обновлялася папка з вхідними листами) і усунення краху при виході у випадку використання Flash 11.3.

Одночасно вийшов реліз поштового клієнта Thunderbird 13.0.1, що також виправляє деякі баги.

• Релиз Firefox 13.0.1 и Thunderbird 13.0.1 с устранением ошибок (деталі)

В червні, 13.06.2012, вийшла нова версія WordPress 3.4.

WordPress 3.4 це перший випуск нової 3.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращення в налаштуванні тем (розширені можливості налаштування, попередній перегляд і зручний браузер тем) та індивідуальних заголовків, для яких можна використовувати зображення з бібліотеки (media library). А також покращення стосовно включення постів з Twitter та заголовків зображень.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. Зокрема API для XML-RPC, тем та індивідуальних заголовків, а також збільшена швидкодія WP_Query та системи перекладу.

А також була покращена безпека движка, хоча розробники про це ніде не згадали (достатньо часто вони втихаря виправляють дірки). Зокрема були виправлені уразливості в плагіні Akismet, що є core-плагіном, і саме з WP 3.4 постачаться оновлена версія плагіна з виправленими Cross-Site Scripting і Redirector уразливостями.

Учора, 05.06.2012, вийшов Mozilla Firefox 13. Нова версія браузера вийшла через півтора місяця після виходу Firefox 12.

Mozilla офіційно представила реліз веб-браузера Firefox 13. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.5. Реліз Firefox 14 очікується в середині липня, а Firefox 15 вийде в кінці серпня.

Також були випущені Thunderbird 13.0 і Seamonkey 2.10, а найближчим часом вийде нова версія Firefox for Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 13.0 усунуто сім уразливостей, серед яких присутні чотири проблеми, що мають критичний ступінь небезпеки, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 13 (деталі)

У травні, 15.05.2012, через півтора місяці після виходу Google Chrome 18, вийшов Google Chrome 19.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 7 - помірні і 5 - незначні. Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Серед небезпечних уразливостей: звертання до вже звільненої пам’яті через маніпуляції з елементом style, через API Indexed DB, при обробці таблиць і PDF-файлів, некоректний запис даних у реалізації регулярних виразів движка v8, запис за границі буфера при роботі OGG-контейнерів, вихід за границі буфера в PDF-переглядачі. Окремо відзначені уразливості, що проявляються через проблеми в сторонніх компонентах: уразливість через помилку в Linux-драйвері для відеокарт NVIDIA і вихід за границі буфера в libxml.

• Релиз web-браузера Chrome 19 (деталі)

У травні, 08.05.2012, через п’ять днів після виходу PHP 5.3.12 та PHP 5.4.2, вийшли PHP 5.3.13 та PHP 5.4.3. В яких виправлені дві уразливості. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.13 та PHP 5.4.3:

• Повністю виправлена можливість відправки довільних команд PHP інтерпретатору (що була лише частково виправлена в версіях 5.3.12 та 5.4.2).

Як я вже зазначав, до цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими).

Cеред секюріті виправлень лише в PHP 5.4.3:

• Виправлена Buffer Overflow уразливість в apache_request_headers() (яка стосується лише гілки 5.4.x).

По матеріалам http://www.php.net.