Websecurity - Веб безпека

Після виходу Opera 11.10, 18.05.2011 вийша Opera 11.11.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера.

Серед виправлень безпеки в Opera 11.11:

• Виправлена уразливість з обробкою frameset, що могла привести до виконання довільного коду.
• Виправлена велика кількість вибивань браузера, а також одне зависання. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

По матеріалам http://www.opera.com.

В березні окрім Chrome 10 та Internet Explorer 9 також вийшов Mozilla Firefox 4. Нова версія браузера Firefox вийшла 22.03.2011.

Якщо між виходом Firefox 1.0 та 2.0 пройшло 2 роки, між виходом Firefox 2.0 та 3.0 трохи менше двох років, то між виходом Firefox 3.0 та 4.0 майже три роки. При тому, що Mozilla випустила в 2009 і 2010 роках проміжні версії 3.5 і 3.6 браузера.

Головні нововведення та можливості Firefox 4:

• Інтеграція браузерного движка Gecko 2.0 і нового JavaScript-движка JagerMonkey.
• Переміщений рядок вкладок у верхню частину і додані інструменти для угруповання вкладок.
• Забезпечення підтримки специфікації WebGL і видеокодека VP8.
• Інтеграція системи синхронізації настроювань Firefox Sync.
• Реалізація нової техніки написання доповнень JetPack.

Нові можливі браузера для забезпечення безпеки:

• Додано підтримку HTTP-заголовка Do Not Track (”DNT”), що дозволяє інформувати сайти про небажання користувача передавати на збереження інформацію, що фігурує в рамках сесії, у ситуації її використання для відстеження переміщень і переваг користувача.
• Здійснено перехід на поліпшений механізм розподілу пам’яті, що дозволить захиститися від цілого ряду уразливостей, пов’язаних з разіменуванням NULL-вказівників.
• Підтримка технології CSP (Content Security Policy), спрямованої на інтеграцію в web-браузери засобів для захисту від проведення CSRF-атак, організації міжсайтового скриптінга (XSS) і підстановки в сторінки “IFRAME/JavaScript src” блоків.
• Інтегровано технологію ізольованого виконання плагінів. Наприклад, Flash плагін відтепер буде працювати в контексті окремого процесу, не впливаючи на стабільність основного браузера.
• Підтримка протоколу HSTS (HTTP Strict Transport Security), що дозволяє власникам сайтів настояти на використанні SSL-шифрування.

Також в цій версії Mozilla нарешті виправила CSS History Hack (вони запланували ще в березні 2010 і ось через рік, з виходом Firefox 4, нарешті це зробили).

• Релиз Firefox 4.0. Обзор новшеств (деталі)

Раніше я вже згадував про вихід Firefox 2.0. А от про вихід Mozilla Firefox 3 та його наступних релізів 3.5 і 3.6 я раніше не згадував (лише писав про деякі з 3.x версій). І от зараз я надолужу це і розповім про всі версії та підверсії Firefox починаючи з 3.0.

Дати виходу версій Mozilla Firefox:

Firefox 3.0 - 17.06.2008
Firefox 3.0.1
Firefox 3.0.2
Firefox 3.0.3
Firefox 3.0.4
Firefox 3.0.5
Firefox 3.0.6
Firefox 3.0.7
Firefox 3.0.8
Firefox 3.0.9
Firefox 3.0.10
Firefox 3.0.11
Firefox 3.0.12
Firefox 3.0.13
Firefox 3.0.14
Firefox 3.0.15
Firefox 3.0.16
Firefox 3.0.17
Firefox 3.0.18
Firefox 3.0.19
Firefox 3.5 - 30.06.2009
Firefox 3.5.1
Firefox 3.5.2
Firefox 3.5.3
Firefox 3.5.4
Firefox 3.5.5
Firefox 3.5.6
Firefox 3.5.7
Firefox 3.5.8
Firefox 3.5.9
Firefox 3.5.10
Firefox 3.5.11
Firefox 3.5.12
Firefox 3.5.13
Firefox 3.5.14
Firefox 3.5.15
Firefox 3.5.16
Firefox 3.5.17
Firefox 3.5.18
Firefox 3.5.19
Firefox 3.6 - 21.01.2010
Firefox 3.6.1
Firefox 3.6.2
Firefox 3.6.3
Firefox 3.6.4
Firefox 3.6.5
Firefox 3.6.6
Firefox 3.6.7
Firefox 3.6.8
Firefox 3.6.9
Firefox 3.6.10
Firefox 3.6.11
Firefox 3.6.12
Firefox 3.6.13
Firefox 3.6.14
Firefox 3.6.15
Firefox 3.6.16
Firefox 3.6.17

Кожна наступна версія браузера, окрім виправлення багів, також покращувала рівень його безпеки. І окрім безпосереднього виправлення дірок в Firefox, в нових версіях додався новий секюріті функціонал. Зокрема в Firefox 3.0 до антифішинг фільтру (що був ще в версії 2.0) додали антималваре фільтр.

Нещодавно, 26.04.2011, вишла нова версія WordPress 3.1.2. Вона вийшла одразу після мого оприлюднення уразливостей в WP 2.5 - 3.1.1.

WordPress 3.1.2 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили одну уразливість.

Це Abuse of Functionality уразливість, що дозволяла користувачам з правами Contributor некоректно публікувати пости. При цьому Code Execution уразливість в WordPress, яку я нещодавно оприлюднив, виправлена не була.

Після виходу Opera 11.01, спочатку 17.03.2011 вийла версія Opera 11.10 beta, а потім 12.04.2011 вийша фінальна версія Opera 11.10.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень. І хоча розробник не зазначив секюріті покращень, я все ж виявив деякі виправлення, що стосуються безпеки (зроблених в бета та фінальній версії 11.10 браузера).

Серед виправлень безпеки в Opera 11.10:

• Покращені SSL та TLS.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності” (про що вона офіційно заявляє). Тому й не вказує вибивання в переліку секюріті виправлень.

По матеріалам http://www.opera.com.

В минулому місяці, 15.03.2011, компанія Microsoft випустила фінальну версію браузера Internet Explorer 9. Вихід нової версії відбувся через два роки після виходу IE8.

Розповім детальніше про IE9 та його покращення в плані безпеки.

Нові можливості інтерфейсу IE9 включають:

• Минималистичный інтерфейс заощаджує місце на екрані, дозволяючи бачити сайт, а не панелі браузера.
• Інтелектуальний адресний рядок з функцією One Box - це єдине поле для переходу до конкретного сайту чи для пошуку.
• Користувач може розміщати вкладки на одній панелі разом з адресним рядком, а може переносити їх на окремий рядок, забезпечуючи більше місця відкритим вкладкам.
• З функцією закріплення сайтів на панелі задач на улюблені сторінки можна зайти одним кликом, не відкриваючи попереднє вікно браузера.
• Списки переходів надають простий і швидкий спосіб переходу до окремої задачі веб-сайта, будь те створення поштового повідомлення, перевірка вхідних листів чи публікація коментарю.
• Поліпшена навігація по вкладках з функцією Windows Aero Snap.
• Розширена підтримка стандартів HTML5, SVG, CSS3, ECMAScript 5 і DOM.

Серед нових можливостей браузера для забезпечення безпеки та приватності в Мережі:

• На додаток до функцій InPrivate Browsing та InPrivate Filtering, доступним ще в Internet Explorer 8, Internet Explorer 9 підсилює захист конфіденційної інформації за допомогою технології “Захист від спостереження” (Tracking Protection). Завдяки їй користувач може вказувати, які дані про нього можуть бути передані сторонніми сайтам.
• Функція Hang Recovery. Нова можливість Internet Explorer 9 служить для обмеження наслідків зависання вкладки: якщо одна з вкладок перестає відповідати, інші вкладки і весь браузер продовжують роботу.
• Функція ActiveX Filtering. Технологія ActiveX дозволяє розробникам додатків створювати інтерактивний контент сайтів, але так само може становити небезпеку для користувацьких даних. Internet Explorer 9 дозволяє заблокувати можливості ActiveX для всіх сайтов, за винятком перевірених.
• Перегляд у режимі сумісності. Якщо браузер виявляє веб сайт, на якому не зазначений кращий режим відображення, в адресному рядку відображається кнопка перегляду в режимі сумісності.
• Автоматичне оновлення браузера.
• Підтримка групової політики.

По матеріалам http://www.thg.ru.

В березні, 09.03.2011, через місяць після виходу Google Chrome 9.0, вийшов Google Chrome 10.

Основні нововведення в даній версії:

• Оновлення JavaScript-движка V8, у нову версію якого додана нова підсистема JIT-компіляції.
• Підтримка використання GPU-акселерації при програванні відео.
• У сервісі синхронізації параметрів браузера між комп’ютерами за замовчуванням активована підтримка синхронізації збережених паролів до сайтів.
• Цілком перероблений інтерфейс настроювання параметрів браузера.
• Підтримка фонового виконання web-додатків (Background WebApps).
• Новий API для створення розширень для web-навігації (webNavigation API).
• Посилення безпеки: застарілі плагіни тепер за замовчуванням автоматично блокуються. Розширено можливості по повідомленню користувача про наявність шкідливого коду на сторінках. На платформі Windows Flash-плагін відтепер виконується в ізольованому оточенні.

Також виправлені 23 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 3 - помірні і 5 - незначні.

• Релиз web-браузера Chrome 10 (деталі)

Нещодавно, 05.04.2011, вишла нова версія WordPress 3.1.1.

WordPress 3.1.1 це секюріті випуск 3.1 серії. В якому розробники зробили майже тридцять виправлень, в тому числі виправили три уразливості.

Це CSRF уразливість в медіа аплоадері, DoS в деяких середовищах через спеціальні лінки в коментарях та XSS уразливість.

У березні, 17.03.2011, вийшов PHP 5.3.6. В якому виправлено більше 60 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.6:

• Посилена безпека в парсінгу fastcgi протоколу з fpm SAPI.
• Виправлений баг #54247 (format-string уразливість в Phar).
• Виправлений баг #54193 (Integer overflow в shmop_read()).
• Виправлений баг #54055 (buffer overrun з високими значеннями для precision ini налаштування).
• Виправлений баг #54002 (вибивання на спеціальному тезі в exif).
• Виправлений баг #53885 (вибивання в ZipArchive з FL_UNCHANGED на пустих архівах).
• Оновлений PCRE до версії 8.11.
• Виправлений баг #53577 (регресія, що була введена в 5.3.4 в open_basedir з завершальним слешем).

По матеріалам http://www.php.net.

У січні, 27.01.2011, через місяць після виходу Opera 11, вийшла Opera 11.01.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера.

Серед виправлень безпеки в Opera 11.01:

• Removed support for “javascript:” URLs in CSS -o-link values, to make it easier for sites to filter untrusted CSS.
• Fixed an issue where large form inputs could allow execution of arbitrary code.
• Fixed an issue which made it possible to carry out clickjacking attacks against internal opera: URLs.
• Fixed issues which allowed web pages to gain limited access to files on the user’s computer.
• Fixed an issue where email passwords were not immediately deleted when deleting private data.
• Fixed an issue which could cause the wrong executable to be used to display a downloaded file in its folder.
• А також виправлена велика кількість вибивань браузера.

По матеріалам http://www.opera.com.