Websecurity - Веб безпека

Учора, 23.10.2008, вийшла нова версія WordPress 2.6.3 - оновлення для гілки WP 2.6.x.

WordPress 2.6.3 це секюріті випуск для 2.6 серії. В ній виправлена уразливість в бібліотеці Snoopy, що була анонсована учора. WordPress використовує Snoopy для одержання RSS фідів, зокрема в адмінці на сторінці Dashboard.

І хоча розробники WP вважають, що це дірка з низьким ризиком для користувачів движка, вони все ж вирішили його оновити (і зробиили це дуже оперативно).

Нещодавно, 08.10.2008, вийшла нова версія Opera 9.60.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. В даній версії окрім додання нових функцій та виправлення багів, також було виправлено декілька уразливостей. Причому жодна зі знайдених мною DoS дірок в Opera, що я оприлюднив в минулому й цьому місяці, виправлена не була.

Серед виправлень безпеки:

• Для Verisign та Comodo додана офіційна підтримка EV.
• Виправлена уразливість, що дозволяла виконати довільний код через спеціально створені адреси.
• Java аплети більше не можуть використовуватися для читання важливої інформації.

По матеріалам http://www.opera.com.

Позавчора, 06.10.2008, вийшов Invision Power Board v2.3.6, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Форум Invision Power Board (IP.Board) v2.3.6 (деталі)

Опубліковано нову версію форуму Invision Power Board v2.3.6. У цій версії були включені всі попередні оновлення й інтегровані нові міри проти спаму на форумі: поліпшена вбудована captcha система для захисту від масових реєстрацій на форумі, а також уведена підтримка системи захисту reCAPTCHA.

Компанія Invision Power Services випустила оновлення для форумів Invision Power Board версій 2.3.x, що поліпшуює систему запобігання реєстрацій ботів. Тому що в Captcha, яка використовувалася в ІP.Board 2.3.x була виявлена уразливість, що дозволяла спам-ботам обходити її.

Зазначу, що сам стикнувся в останні дні з численими реєстраціями спамерів на своєму форумі. На початку жовтня в Інтернеті розпочалися активні спам-атаки на форуми на IPB.

Патч виправляє Insufficient Anti-automation уразливість в xmlout.php (в капчі).

Уразливі версії Invision Power Board v2.3.5 та попередні версії.

• Обновление системы защиты от спама (деталі)

На початку вересня розробники Invision Power Board випустили оновлення для безпеки Invision Power Board (IP.Board) лінійки версій 2.2 та 2.3.

Виправлення критичне. Даний патч виправляє SQL Injection уразливість в xmlout.php. Про дану SQL Injection в IPB я вже писав.

Уразливі версії Invision Power Board v2.3.5 (версія до 02.09.2008) та попередні версії.

• Обновление безопасности Invision Power Board 2.2.x-2.3.x (деталі)

Наприкінці весерсня, 25.09.2008, вийшла нова версія браузеру Mozilla Firefox 3.0.2. В даній версії виправлені численні уразливості, що були знайдені в Firefox 3.0.x, та виправлені деякі баги.

Зокрема в Firefox 3.0.2 були виправлені наступні уразливості:

• resource: traversal vulnerabilities
• BOM characters stripped from JavaScript before execution
• Crashes with evidence of memory corruption (rv:1.9.0.2/1.8.1.17)
• Privilege escalation via XPCnativeWrapper pollution
• Forced mouse drag

Перші дві з п’яти уразливостей відмічені як середнього ризику, наступні дві як критичні, а остання як низького ризику.

На наступний день, 26.09.2008, вийшла нова версія браузеру Mozilla Firefox 3.0.3. Дана версія виправляє баг, що був виявлений в Firefox 3.0.2, коли користувачі не могли отримати раніше збережені паролі й не могли зберегти нові паролі.

По матеріалам http://www.mozilla.org.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.4. В новій версії:

• Додана підтримка функції mod в операторі if.
• Додана підтримка арифметичних виразів в операторі if.
• Виправлена робота функції ord в write та writeln.
• Покращена робота функцій length та pos з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

На початку місяця, 08.09.2008, вийшла нова версія WordPress 2.6.2 - оновлення для гілки WP 2.6.x.

WordPress 2.6.2 це багфікс та секюріті випуск для 2.6 серії. В ній виправлена уразливість, що могла призвести до захоплення акаунту адміна в WordPress. Це SQL Column Truncation уразливість, що пов’язана з особливостями роботи MySQL, яка в парі з особливостями роботи mt_rand() в PHP, могла використовуватися для отримання пароля адміна.

Також в даній версії було виправлено чимало багів.

Вийшла нова версія браузера Chrome від Гугла - Google Chrome 0.2.149.29.

Компанія Google, під впливом знайдених і оприлюднених уразливостей в їх новому браузері, вирішила випустити оновлену версію Хрома. В якій виправили декілька уразливостей та багів.

Серед виправлень безпеки:

• Виправлена buffer overflow уразливість в Save As діалозі.
• Виправлена buffer overflow уразливість при наведені курсора на спеціальну лінку. Про цю дірку Гуглу не повідмоляли, вони її виявили самі (причому схоже, що вони її виявили після отримання від мене інформації про DoS при MouseOver в Хромі).
• Виправлене некоректне читання пам’яті при обробці лінок, URL яких закінчується на :% (що приводило до DoS).
• Зроблено неможливим встановити Desktop в якості папки для зкачувань. Цим Гугл думає запобігти численним Automatic File Download уразливостям, що я знайшов в Хромі (замість того, щоб виправити самі дірки). Хоча цей підхід особливо не допоможе, про що я вже казав секюріті команді Гугла.

Серед виправлень багів:

• Виправлені проблеми з передачою даних в сервісі Safe Browsing.
• Виправлений баг з JavaScript, що мав місце на facebook.com.
• Виправлена робота з пошуковими порадами для деяких пошукових систем (search.daum.net, search.empas.com, meta.ua, search.naver.com та search.yahoo.com).

По матеріалам http://chromekb.com.

Вчора офіціно вийшла бета версія Google Chrome - браузера від компанії Google. Тим самим Гугл долучився до браузерних війн разом з виробниками їнших браузерів, зокрема Microsoft, Mozilla, Apple та Opera.

З учорашнього дня викачати браузер могли лише мешканці деяких країн, а з сьогоднішнього дня їх число розширилося, в тому числі стало можливим викачання браузеру в Україні (з українських IP). Причому з україномовним інтерфейсом. Наявність локалізованих версій браузеру одразу для багатьох країн - це одна зі стратегій Гугла і це буде зручно як для користувачів, так і для поширення самого браузеру.

Про браузер ви можете дізнатися з коміксу Гугла про Google Chrome. А з сьогоднішнього дня окрім доступу до завантаження Гугл Хрому, також був розміщений опис функцій браузеру - Google Chrome - Функціональні можливості. До речі, в описі також наявні відео-ролики (котрі Гугл, як і текстовий опис функцій, зробив на українській мові), що буде зручно для тих, хто бажає наочно оцінити функціонал та інтерфейс браузеру. Але для повної оцінки його варто зкачати і випробувати власноруч.

Серед ключових особливостей свого додатку Гугл відзначає: Одне полу вводу, Сторінка “Нова вкладка”, Ярлики програм, Динамічні вкладки, Керування аварійним завершенням роботи, Режим анонімного перегляду, Безпечний перегляд, Миттєві закладки, Імпортування закладок та налаштування, Просте завантаження. Мене найбільше цікавить безпека браузеру - про що я напишу окремо .

Завантажити та ознайомитися з браузером ви можете на сайті Гугла. На даний момент доступна бета-версія Google Chrome під Windows (з часом очікуються версії під Mac OS X та Linux).