Websecurity - Веб безпека

Компанія Google в цьому місяці, 04.02.2011, випустила стабільну версію браузера Chrome 9.

Остання версія браузеру дає користувачам кілька нових функцій, що були раніше доступні тільки тестерам, у тому числі Chrome Instant, підтримка WebGL і доступ до Chrome Web Store.

Chrome Instant базується на технології Google Instant, але реалізований у рядку пошуку браузера, однак для користувачів найбільш значними будуть дві останні новинки, що дозволяють працювати із сучасною графікою в Інтернеті та скачувати програми для розширення функціонала браузера.

За рахунок підтримки WebGL, користувачі можуть створювати 3D-графіку, що буде прискорюватися апаратними засобами комп’ютера всередині браузера. А Chrome Web Store - це онлайн магазин, де можна придбати додатки, ігри, розширення та теми для Google Chrome.

• Вышла девятая версия Google Chrome (деталі)

В листопаді, після виходу версії 3.1.3, вийшла Invision Power Board 3.1.4. Це оновлення для 3.1.х гілки форуму IPB.

• Русская версия IP.Board 3.1.4 (деталі)

Компанія IBResource повідомляє про вихід російської версії IP.Board 3.1.4. Ця версія включає виправлення помилок, виявлених у версії IPB 3.1.3, а також додає необхідні вихідні коди для сумісності нових версій модулів.

В цьому місяці, 07.02.2011, вишла нова версія WordPress 3.0.5.

WordPress 3.0.5 це секюріті випуск 3.0 серії. В якому розробники виправили три уразливості: дві Cross-Site Scripting уразливості (що потребують ролі Author чи Contributor для атаки) та одну Information Disclosure уразливість (що потребує роль Author для атаки).

А також розробники додали нові секюріти покращення в WP. Одне з них покращує безпеку будь-яких плагінів, що некоректно використовують секюріті API движка. Інше надає додатковий захист проти уразливості, що була виправлена в попередній версії.

В листопаді вийшла Invision Power Board 3.1.3. Це оновлення для 3.1.х гілки форуму IPB, що в тому числі покращує безпеку форуму.

• Русская версия IP.Board 3.1.3 (деталі)

Компанія IBResource повідомляє про вихід російської версії IP.Board 3.1.3 (IPB). Ця версія включає виправлення багатьох помилок, виявлених у версії IPB 3.1.2, включає всі додаткові виправлення англомовної версії, а також закриває потенційну уразливість.

На початку вересня вийшло оновлення безпеки для Invision Power Board 3.1.2. В даному оновленні виправлена Cross-Site Scripting уразливість, яка стосується 3.x версій движка.

• Обновление безопасности в IP.Board v3.1.2 (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки в IP.Board останніх версій, а саме IPB 3.1.2. Була знайдена некритична уразливість, пов’язана з недостатньою перевіркою вхідних даних при обробці BB-кодів. В останній версії дистрибютива ІPB 3.1.2 дана уразливість вже виправлена.

Торік, 09.08.2010, вийшла Invision Power Board 3.1.2. Це перша версія форуму Invision Power Board гілки 3.1.х, що отримала фінальний статус.

• Форум IP.Board 3.1.2 (деталі)

Компанія IBResource повідомляє про вихід нової версії форуму IP.Board 3.1.2 (IPB). У порівнянні з версією 3.0 нова лінійка IP.Board 3.1 включає цілий ряд поліпшень і нових можливостей.

В минулому році, після попереднього оновлення, вийшло нове оновлення безпеки для версій Invision Power Board 3.0.x. В даному оновленні виправлена Cross-Site Scripting уразливість, яка стосується 3.0.x версій движка.

• Обновление безопасности в IP.Board версий 3.0.x (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки для IP.Board версій 3.0.x. Можлива уразливість дає невелику імовірність вставки зловмисником JavaScript коду на ваш форум. В останній версії дистрибютива IPB 3.0.5 та подальших версіях дана уразливість вже виправлена.

Додаток DotDotPwn - The Directory Traversal Fuzzer - це фазер Directory Traversal уразливостей у додатках. Версія DotDotPwn v2.1 була анонсована в жовтні 2010 в The Web Security Mailing List.

Дана програма призначена для пошуку Directory Traversal (також відомих як Path Traversal) уразливостей у веб додатках та серверних додатках (таких як веб, ftp та tftp сервери). І як заявляють розробники додатку, за його допомогою були виявлені уразливості в 4 web серверах, 2 ftp серверах та 2 tftp серверах.

Сам я завжди шукаю Directory Traversal дірки вручну і кожен веб секюріті професіонал цілком може самостійно знайти дані дірки, але в цілому даний інструмент може стати в нагоді секюріті дослідникам. Особливо тим дослідникам, що полюбляють використовувати автоматизовані сканери для пошуку уразливостей . Як він може стати в нагоді й розробникам серверних додатків та веб додатків, а також адмінам сайтів.

Про уразливості у флешках та пов’язаних з флешем я писав багато разів в себе в новинах за весь роботи мого сайта, зокрема в статтях XSS уразливості в 8 мільйонах флеш файлах та XSS уразливості в 34 мільйонах флеш файлах.

Aung Khant з YGN Ethical Hacker Group нещодавно презентував новий секюріті інструмент Known Flash-based XSS and Content spoofing Hunter. Це веб додаток на JavaScript, який перевіряє флешки на найбільш поширені уразливості.

Вам потрібно лише ввести URL флешки, яку ви бажаєте перевірити, і даний інструмент перевірить вказаний swf-файл на найбільш поширені Cross-Site Scripting and Content Spoofing уразливості. Він звісно не перевірить всіх можливих уразливостей (в тому числі всіх можливих варіантів XSS та Content Spoofing), але все рівно може стати в нагоді флеш розробникам та адмінам сайтів, що використовують флешки. Лише потрібно трохи покращити даний веб додаток, про що я вже написав автору.

А для більш детальної перевірки флешек на уразливості потрібно або самому їх детально перевіряти, або замовляти аудит безпеки.

Нещодавно, 06.01.2011, вийшли PHP 5.3.5 та 5.2.17. В яких виправлена одна критична уразливість. Даний реліз направлений на покращення стабільності та безпеки 5.2.x та 5.3.x гілок PHP.

В PHP 5.3.5 та 5.2.17 зроблене наступне секюріті виправлення:

• Виправлена DoS уразливість (баг #53632), що виникала при конвертаціїї з типу string в double та могла привести до підвисання систем, що використовують x87 FPU регістри. Дана проблема торкається тільки x86 32-бітних систем.

По матеріалам http://www.php.net.