Websecurity - Веб безпека

Вийшла нова версія браузера Chrome від Гугла - Google Chrome 0.2.149.29.

Компанія Google, під впливом знайдених і оприлюднених уразливостей в їх новому браузері, вирішила випустити оновлену версію Хрома. В якій виправили декілька уразливостей та багів.

Серед виправлень безпеки:

• Виправлена buffer overflow уразливість в Save As діалозі.
• Виправлена buffer overflow уразливість при наведені курсора на спеціальну лінку. Про цю дірку Гуглу не повідмоляли, вони її виявили самі (причому схоже, що вони її виявили після отримання від мене інформації про DoS при MouseOver в Хромі).
• Виправлене некоректне читання пам’яті при обробці лінок, URL яких закінчується на :% (що приводило до DoS).
• Зроблено неможливим встановити Desktop в якості папки для зкачувань. Цим Гугл думає запобігти численним Automatic File Download уразливостям, що я знайшов в Хромі (замість того, щоб виправити самі дірки). Хоча цей підхід особливо не допоможе, про що я вже казав секюріті команді Гугла.

Серед виправлень багів:

• Виправлені проблеми з передачою даних в сервісі Safe Browsing.
• Виправлений баг з JavaScript, що мав місце на facebook.com.
• Виправлена робота з пошуковими порадами для деяких пошукових систем (search.daum.net, search.empas.com, meta.ua, search.naver.com та search.yahoo.com).

По матеріалам http://chromekb.com.

Вчора офіціно вийшла бета версія Google Chrome - браузера від компанії Google. Тим самим Гугл долучився до браузерних війн разом з виробниками їнших браузерів, зокрема Microsoft, Mozilla, Apple та Opera.

З учорашнього дня викачати браузер могли лише мешканці деяких країн, а з сьогоднішнього дня їх число розширилося, в тому числі стало можливим викачання браузеру в Україні (з українських IP). Причому з україномовним інтерфейсом. Наявність локалізованих версій браузеру одразу для багатьох країн - це одна зі стратегій Гугла і це буде зручно як для користувачів, так і для поширення самого браузеру.

Про браузер ви можете дізнатися з коміксу Гугла про Google Chrome. А з сьогоднішнього дня окрім доступу до завантаження Гугл Хрому, також був розміщений опис функцій браузеру - Google Chrome - Функціональні можливості. До речі, в описі також наявні відео-ролики (котрі Гугл, як і текстовий опис функцій, зробив на українській мові), що буде зручно для тих, хто бажає наочно оцінити функціонал та інтерфейс браузеру. Але для повної оцінки його варто зкачати і випробувати власноруч.

Серед ключових особливостей свого додатку Гугл відзначає: Одне полу вводу, Сторінка “Нова вкладка”, Ярлики програм, Динамічні вкладки, Керування аварійним завершенням роботи, Режим анонімного перегляду, Безпечний перегляд, Миттєві закладки, Імпортування закладок та налаштування, Просте завантаження. Мене найбільше цікавить безпека браузеру - про що я напишу окремо .

Завантажити та ознайомитися з браузером ви можете на сайті Гугла. На даний момент доступна бета-версія Google Chrome під Windows (з часом очікуються версії під Mac OS X та Linux).

На початку місяця, 07.08.2008, вийшов PHP 4.4.9, у якому виправлений ряд помилок і уразливостей. Даний реліз направлений на покращення безпеки гілки 4.4.x і є останнім релізом для PHP 4.4.

Серед секюріті покращень та виправлень в PHP 4.4.9:

• Обновлений PCRE до версії 7.7.
• Виправлене переповнення в memnstr().
• Виправлений збій в imageloadfont при використанні некоректних шрифтів.
• Виправлена проблема з обробкою open_basedir в розширенні curl.
• Виправлена проблема, коли mbstring.func_overload встановлений в .htaccess ставав глобальним.

По матеріалам http://www.php.net.

Три дні тому, 15.08.2008, вийшла нова версія WordPress 2.6.1 - оновлення для гілки WP 2.6.x.

WordPress 2.6.1 це багфікс випуск для 2.6 серії. В даній версії були виправлені баги, що були знайдені в WP 2.6. Зокрема покращена підтримка іноземних мов, виправлений баг в gettext, виправлені проблеми з пермалінками на IIS та проблеми зі вставкою зображень в IE, а також збільшена швидкодія адмінки (виправлений баг, що мав місце при великій кількості плагінів).

Всього в версії 2.6.1 виправлено 60 багів.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.3. В новій версії:

• Додана підтримка функції div в операторі if.
• Виправлена робота функції sqrt в write та writeln.
• Покращена робота write та writeln з дійсними числами.
• Покращена робота дебаг-режиму в онлайн інтерпретаторі.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Як повідомив Michal Zalewski в своєму записі Meet ratproxy, our passive web security assessment tool в секюріті блозі Гугла, компанія Google випустила ratproxy - сканер безпеки який використовується співробітниками компанії. Цей додаток являє собою проксі, що працює як пасивний сканер безпеки.

Сканер ratproxy може застосовуватися для перевірки безпеки веб сайтів та веб додатків. Скачати програму можна з Google Code.

Три дні тому, 15.07.2008, вийшла нова версія WordPress 2.6.

Дана версія WordPress 2.6 - це значне оновлення движка (яка продовжила багато тенденцій розпочатих в 2.5). В цій версії WP додана велика кількість нововведень та покращень.

Головні нововведення:

• Post Revisions: Wiki-like tracking of edits.
• Press This!: Post from wherever you are on the web.
• Shift Gears: Turbo-speed your blogging.
• Theme Previews: See it before your audience does.

Нові функції для користувачів та покращення:

1. Word count.
2. Image captions.
3. Bulk management of plugins.
4. A completely revamped image control.
5. Drag-and-drop reordering of Galleries.
6. Plugin update notification bubble.
7. Customizable default avatars.
8. You can now upload media when in full-screen mode.
9. Remote publishing via XML-RPC and APP is now secure (off) by default.
10. Full SSL support in the core, and the ability to force SSL for security.
11. You can now have many thousands of pages or categories with no interface issues.
12. Ability to move your wp-config file and wp-content directories to a custom location, for “clean” SVN checkouts.
13. Select a range of checkboxes with “shift-click”.
14. You can toggle between the Flash uploader and the classic one.
15. A number of proactive security enhancements, including cookies and database interactions.
16. Stronger better faster versions of TinyMCE, jQuery, and jQuery UI.

Також в версії 2.6 виправлено біля 194 багів.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.2. В новій версії:

• Додана константа e (з 16-бітною точністю).
• Оптимізована робота з константами.
• Покращена робота write та writeln з пробілами.
• Покращена робота вбудованих функцій з пробілами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

На початку місяця, 01.05.2008, вийшов PHP 5.2.6, у якому виправлено більше 120 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.6:

• Виправлене можливе переповнення буфера в FastCGI SAPI.
• Виправлене цілочислене переповнення в printf().
• Виправлена уразливість, що описана в CVE-2008-0599.
• Виправлений обхід safe_mode в cURL.
• Краще виправлена уразливість з неповними багатобайтними символами в escapeshellcmd().
• Обновлений PCRE до версії 7.6.

По матеріалам http://www.php.net.

Наприкінці квітня вийшов Invision Power Board v2.3.5, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Форум Invision Power Board (IP.Board) v2.3.5 (деталі)

Опубліковано нову версію форуму Invision Power Board v2.3.5. У цьому випуску покращена продуктивність IP.Board, покращений профіль користувача і виправлено більше 60 різних помилок.