Нещодавно, 6 і 7 березня, вийшли PHP 5.5.10 і PHP 5.4.26 відповідно. У версії 5.5.10 виправлено декілька багів і три уразливості, а у версії 5.4.26 виправлено 4 баги і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.
У PHP 5.4.26 і PHP 5.5.10 виправлено:
У PHP 5.5.10 виправлено:
По матеріалам http://www.php.net.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Виявлені численні уразливості безпеки в Microsoft Internet Explorer.
Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.
Численні пошкодження пам’яті.
В даній добірці експлоіти в веб додатках:
За повідомленням www.opennet.ru, на змаганні Pwn2Own 2014 продемонстровані взломи Chrome, Chrome OS, Firefox, IE, Safari та Flash.
Підведено підсумки змагання Pwn2Own 2014, проведеного в рамках конференції CanSecWest у Ванкуверу. На змаганні були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей, що привели до успішного виконання коду нападника в системі.
Захід вийшов як ніколи насиченим перемогами - за два дні змагань у сумі був виплачено 850 тисяч доларів винагород за демонстрацію 14 успішних атак. Найбільше яскраво відзначилась команда з компанії Vupen, що продемонструвала 5 успішних атак і заробила на них 400 тисяч доларів.
Були продемонстровані успішні атаки на Google Chrome, Chrome OS, Mozilla Firefox, Microsoft Internet Explorer та Apple Safari. А також на програми компанії Adobe: Flash і Reader.
За повідомленням threatpost.ru, Google виправила чотири баги з Pwn2Own в Chrome 33.
Після конкурсу Pwn2Own виробники браузерів почали випускати патчі для уразливостей, знайдених конкурсантами. Google випустила виправлення для декількох уразливостей у Chrome, виявлених і експлуатованих під час Pwn2Own, обновивши версії браузера для Windows, Mac і Linux.
VUPEN одержала нагороду $100000 від Google за дві уразливості у Chrome, а анонімний дослідник заробив $60000 за дві інші уразливості. Всього Гугл виправив 6 дірок в Chrome 33.
За повідомленням www.xakep.ru, Євросоюз прийняв нові закони по захисту персональних даних в Інтернеті.
Європейський парламент проголосував за великий пакет нових законів, що націлені на посилення захисту персональних даних жителів Євросоюзу. Прийняті Євросоюзом закони ще не набрали сили. Вони повинні бути затверджені новим складом парламенту після травневих виборів, а потім одержати схвалення Європейської ради. Проте, інтернет-компаніям можна готуватися до нового правового простору, що незабаром з’явиться в Європі.
Продовжуючи розпочату традицію, після попереднього відео про 0day уразливість в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.
В даному відео ролику демонструється використання експлоіта для проведення атаки на уразливість в Adobe Flash Player 11.1. Який призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE6) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.
Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на веб браузери.
У лютому, 20.02.2014, через півтора місяці після виходу Google Chrome 32, вийшов Google Chrome 33.
В браузері зроблено декілька нововведень, в тому числі за замовчуванням активоване блокування плагінів NPAPI (Netscape Plugin Application Programming Interface). А також виправлено 28 уразливостей. 20 з яких позначені як небезпечні та 8 як помірні.
18 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.
В даній добірці уразливості в веб додатках:
У лютому, 14.02.2014, вийшов Mozilla Firefox 27.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 27. І в ній виправлено два баги допущені в останньому релізі.
Mozilla представила коригувальний випуск Firefox 27.0.1 у якому усунуті наступні проблеми:
Хоча офіційно жодних дірок не виправлено, я відношу проблему з ClearTimeoutOrInterval до уразливостей. Це DoS уразливість в браузері.
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):
* 
You are currently browsing the archives for Березень, 2014.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.