Websecurity - Веб безпека

Через п’ять днів після реліза чотирнадцятої версії Chrome, фахівці компанії Google представили екстрене оновлення для браузера, обновивши додаток до версії 14.0.835.186.

Причиною оперативного випуску патча стала виявлена в коді Flash-плагіна критична zero-day-уразливість. Тобто діра, що допускає можливість захоплення зловмисниками повного контролю над комп’ютером користувача і для якої виробник програмного продукту - Adobe Systems - ще не встиг випустити відповідну заплатку.

• Google устранила критическую уязвимость в Chrome 14 (деталі)

У вересні, 16.09.2011, через півтора місяці після виходу Google Chrome 13, вийшов Google Chrome 14.

В браузері зроблено ряд нововведень. А також виправлено 32 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 10 - помірні і 7 - незначні. Серед небезпечних проблем фігурує кілька звертань до областей пам’яті після їхнього очищення, ефект гонки при роботі з кешем сертифікатів, крахи в движку V8, проблема зі збирачем сміття в переглядачі PDF.

• Релиз web-браузера Chrome 14 (деталі)

На минулому тижні, 28.09.2011, вийшов Mozilla Firefox 7. Нова версія браузера вийшла через півтора місяця після виходу Firefox 6 і через 22 доби після виходу Firefox 6.0.2.

Mozilla офіційно представила реліз веб браузера Firefox 7.0, до складу якого включені давно очікувані наробітки по скороченню споживання пам’яті. Випуск Firefox 8 очікується через 6 тижнів, у середині листопада, а Firefox 9 вийде наприкінці року. Крім того, також були випущені Firefox 3.6.23, Firefox 7 for Android, Seamonkey 2.4 і Thunderbird 7.0.

Додам, що вже 29.09.2011 Мозіла випустила Firefox 7.0.1, в якому виправила проблему з доповненнями до браузера (що зникали в версії 7.0).

Зазначу, що окрім нововведень і виправлення помилок у Firefox 7.0 і Firefox 3.6.23 усунути численні уразливості. Усього усунуто 10 уразливостей, з яких 8 мають критичний характер і можуть привести до виконання коду зловмисника при відкритті спеціально створених сторінок.

• Релиз Firefox 7.0 и сопутствующих проектов Mozilla (деталі)

Після виходу Mozilla Firefox 6, Mozilla випустила два оновлення для шостої гілки Firefox - 6.0.1 і 6.0.2. Після чого нещадавно випустила сьому версію браузера. Для порівняння, для гілки Firefox 5.0 не було зроблено секюріті оновлень (була лише випущена версія 5.0.1 для Mac OS X без секюріті виправлень) і одразу була випущена шоста версія (з секюріті виправленнями).

Mozilla Firefox 6.0.1 вийшов 30.08.2011, а Firefox 6.0.2 вийшов 06.09.2011. В даних версіях браузера були зроблені наступні покращення:

• В Firefox 6.0.1 був доданий захист від підроблених сертифікатів DigiNotar.
• В Firefox 6.0.2 був доданий додатковий захист від підроблених сертифікатів DigiNotar.

В серпні, 02.08.2011, через два місяці після виходу Google Chrome 12, вийшов Google Chrome 13.

В браузері зроблено ряд нововведень. А також виправлено 30 помилок у безпеці, з яких 14 уразливостей позначені як небезпечні, 9 - помірні і 7 - незначні. В тому числі виправлена URL Spoofing уразливість, про яку я писав раніше.

• Релиз web-браузера Chrome 13 с исправлением 30 уязвимостей (деталі)

У серпні, 18.08.2011, вийшов PHP 5.3.7, а вже через п’ять днів, 23.08.2011, вийшов PHP 5.3.8. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.7 вияснилося, що в ній має місце уразливість - в функції crypt(). Тому розробники опублікували на сайті офіційне застереження з цього приводу і вже за добу випустили нову версію, в якій зокрема виправили дану уразливість.

Cеред секюріті покращень та виправлень в PHP 5.3.7:

• Оновлений crypt_blowfish до 1.2.
• Виправлений збій в error_log().
• Виправлений buffer overflow при довгій солі в crypt().
• Виправлений баг #54939 (File path injection уразливість в RFC1867 імені файла для завантаження).
• Виправлений stack buffer overflow в socket_connect().
• Виправлений баг #54238 (use-after-free в substr_replace()).
• Оновлений Sqlite3 до версії 3.7.7.1.
• Оновлений PCRE до версії 8.12.
• Виправлено 20 різних вибивань.

Cеред секюріті покращень та виправлень в PHP 5.3.8:

• Виправлений баг #55439 (crypt() повертав лише сіль для MD5).
• Відмінена зміна в обробці таймаутів, для відновлення поведінки PHP 5.3.6, яка призводила до того, що mysqlnd SSL з’єднання підвисали (баг #55283).

По матеріалам http://www.php.net.

Нещодавно, 16.08.2011, вийшов Mozilla Firefox 6. Нова версія браузера вийшла через два місяця після виходу Firefox 5.

Після виходу версії 5.0, Mozilla випустила одразу 6.0. При цьому підтримка гілки 5.x браузера припинена (так само як це раніше відбулося з 3.5.x і 4.0.x). Тому виправлення уразливостей в Firefox 5.0 випускатися не будуть і всім користувачам рекомендується оновити браузер до шостої версії.

Це другий випуск Firefox зроблений в рамках нового 16-тижневого циклу розробки. Одночасно з Firefox 6 також вийшли Firefox 3.6.20, Seamonkey 2.3, Thunderbird 3.1.12 і Thunderbird 6.0. Також представлена мобільна версія браузера Firefox 6 для платформи Android.

• Релиз Firefox 6.0, Firefox 6 для Android и Thunderbird 6.0 (деталі)

Минулого місяця, 12.07.2011, лише через вісім діб після виходу WordPress 3.2, вишла нова версія WordPress 3.2.1.

WordPress 3.2.1 це багфікс випуск нової 3.2 серії. В якому розробники виправили декілька багів.

Зокрема виправлений баг з серверною несумісністю пов’язаною з JSON. А також зроблені деякі виправлення в дизайні Дошки оголошень і темі Twenty Eleven.

Після виходу Opera 11.11, спочатку 31.05.2011 вийла версія Opera 11.50 beta, а потім 28.06.2011 вийша фінальна версія Opera 11.50.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень.

Серед виправлень безпеки в Opera 11.50:

• Посилена політика безпеки в декількох місцях.
• Виправлена уразливість середнього рівня ризику.
• Виправлена уразливість, що дозволяла через data URI проводити XSS атаки на непов’язані сайти.
• Виправлена уразливість зі сторінками про промилку, що могла призвести до вибивання системи.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

Зазначу, що торік я вже писав про XSS через data URI в Opera, що розробник в несерйозній манері виправив в своєму браузері.

По матеріалам http://www.opera.com.

Після виходу Google Chrome 12, в браузері було знайдено чимало уразливостей. Які Google виправила в нещодавньому оновленні.

У червні, 29.06.2011, вийшло секюріті оновлення веб-браузера Google Chrome 12, в якому усунуто 7 уразливостей, з яких 6 мають статус небезпечних. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера. Дві уразливості присутні в коді роботи з SVG, одна в CSS-парсері, одна в HTML-парсері, одна в движку v8 і одна в коді виділення тексту.

Одночасно оновлена версія плагіна Adobe Flash, що постачається в складі браузера, в якому виправлені чергові проблеми безпеки.

• Обновление Chrome 12 с устранением уязвимостей (деталі)