Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-043 - Critical Cumulative Security Update for Internet Explorer (3049563) (деталі)

В даній добірці експлоіти в веб додатках:

• Bonita BPM 6.5.1 - Multiple Vulnerabilities (деталі)
• Alcatel-Lucent OmniSwitch - CSRF Vulnerability (деталі)
• Adobe Flash Player domainMemory ByteArray Use After Free (деталі)
• i.FTP 2.21 - Time Field SEH Exploit (деталі)
• Adobe Flash Player ShaderJob Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Bulletproof-Security, XCloner, Another WordPress Classifieds, SupportEzzy Ticket System, CM Download Manager. Для котрих з’явилися експлоіти.

• WordPress Bulletproof-Security .51 XSS / SQL Injection / SSRF (деталі)
• Joomla/WordPress XCloner Command Execution / Password Disclosure (деталі)
• Another WordPress Classifieds Cross Site Scripting / SQL Injection (деталі)
• WordPress SupportEzzy Ticket System 1.2.5 Cross Site Scripting (деталі)
• WordPress CM Download Manager 2.0.0 Code Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Численні DoS уразливості.

• OpenSSL vulnerabilities (деталі)

У травні, 12.05.2015, вийшов Mozilla Firefox 38. Нова версія браузера вийшла через півтора місяці після виходу Firefox 37.

Mozilla офіційно випустила реліз веб-браузера Firefox 38, а також мобільну версію Firefox 38 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 39 намічений на 30 червня, а Firefox 40 на 11 серпня.

Також були випущені Seamonkey 2.34 та оновлені гілки із тривалим терміном підтримки Firefox 31.7 і Thunderbird 38.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 38.0 усунуто 13 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 38 (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Cisco Secure Access Control System (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• Multiple vulnerabilities in phpMyAdmin (деталі)
• Security advisory for Bugzilla 4.5.6, 4.4.6, 4.2.11, and 4.0.15 (деталі)
• Critical vulnerabilities in T-Mobile HOME NET Router LTE (Huawei B593u-12) (деталі)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах електронних платіжних систем та банків України та Росії:

• БНК Клієнт-банк
• money.yandex.ru
• Яндекс.Деньги

Також згадував про взломані онлайн магазини в Уанеті:

• gps2simtv.com.ua
• www.vipshopping.in.ua
• www.youhavetobuyit.com.ua
• www.kosivshop.com
• sushi.palad.kiev.ua
• shop.palad.kiev.ua
• www.shop-kr.net

А також згадував про інфіковані онлайн магазини в Уанеті:

• chatel.kharkov.com
• teploset.kiev.ua
• ukrinfo.net
• charmante.com.ua
• teploset.kiev.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2 і 2013 SP1, Excel Services on SharePoint Server 2010 SP2 і 2013 SP1, Excel Web App 2010 SP2, SharePoint Foundation 2010 SP2, SharePoint Server 2013 SP1.

Пошкодження пам’яті при розборі документів.

• Microsoft Security Bulletin MS15-046 - Important Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3057181) (деталі)

В даній добірці експлоіти в веб додатках:

• HP WebInspect <= 10.4 XML External Entity Injection (деталі)
• GeoVision (GeoHttpServer) Webcams Remote File Disclosure Exploit (деталі)
• SixApart MovableType Storable Perl Code Execution (деталі)
• Phoenix Contact ILC 150 ETH PLC Remote Control Script (деталі)
• CUPS < 2.0.3 - Multiple Vulnerabilities (деталі)

У квітні, 14.04.2015, через півтора місяці після виходу Google Chrome 41, вийшов Google Chrome 42.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 45 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 42 (деталі)