Websecurity - Веб безпека

Від січня і до кінця 2025 року вийшли Mozilla Firefox 134 - Firefox 146 та 146.0.1. Нові версії браузера вийшли після виходу Firefox 133.

Mozilla офіційно випустила ці версії веб-браузера Firefox, а також відповідні мобільні версії браузера для платформи Android.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox усунуто численні уразливості в багатьох патчах.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023. Це нові дані.

У вересні:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/48eaRxu.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/46ru6ST.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/48dpy3U.
Супутниковий знімок знищеного російського десантного корабля та підводного човна в Севастополі https://bit.ly/3EDBw9u.
Українські Кібер Війська рік слідкували за підводним човном у Севастополі та його нарешті підірвали https://bit.ly/44SgAX9.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3r76WlI.
Це документ російських терористів https://bit.ly/4687u9u.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3PHdQrh.
Українські Кібер Війська виявили супутниковий знімок знищеного російського С-400 під Євпаторією https://bit.ly/3sZtzJm.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/48k28tH.

У лютому, 13.02.2025, вийшли PHP 8.3.17 і PHP 8.4.4. У версії PHP 8.3.17 виправлено багато багів і уразливостей, у версії PHP 8.4.4 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.17 і 8.4.4 виправлено:

• Численні вибивання.
• Витік пам’яті в PDO.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://journal.iitta.gov.ua (хакером L4663R666H05T) - 07.09.2024 - похаканий державний сайт
• https://web.zp.ua (хакером Mr.Rm19) - 19.05.2024
• https://presto.zp.ua (хакером Mr.Rm19) - 19.05.2024
• https://kstz.kiev.ua (хакером Hunter Bajwa) - 20.05.2024
• https://ligos.ua (хакером PikunPe0ple) - 11.12.2024

В даній добірці експлоіти в веб додатках:

• Microchip TimeProvider 4100 Grandmaster (Banner Config Modules) 2.4.6 - Stored Cross-Site Scripting (XSS) (деталі)
• Microchip TimeProvider 4100 Grandmaster (Data plot modules) 2.4.6 - SQL Injection (деталі)
• Sony XAV-AX5500 1.13 - Firmware Update Validation Remote Code Execution (RCE) (деталі)
• InfluxDB OSS 2.7.11 - Operator Token Privilege Escalation (деталі)
• GestioIP 3.5.7 - Cross-Site Request Forgery (CSRF) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Admin Bar & Dashboard Access Control, Neontext, Duplicator, File Upload, Membership. Для котрих з’явилися експлоіти.

• WordPress Plugin Admin Bar & Dashboard Access Control Version: 1.2.8 - “Dashboard Redirect” field Stored Cross-Site Scripting (XSS) (деталі)
• Neontext Wordpress Plugin - Stored XSS (деталі)
• WordPress Plugin Duplicator < 1.5.7.1 - Unauthenticated Sensitive Data Exposure to Account Takeover (деталі)
• WordPress File Upload Plugin < 4.23.3 - Stored XSS (деталі)
• Wordpress Plugin Membership For WooCommerce < v2.1.7 - Arbitrary File Upload to Shell (Unauthenticated) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023. Це нові дані.

У вересні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3sMpUOF.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/486TDlV.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3LetbwO.
Це документ російських терористів https://bit.ly/3R67yT8.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3EuGV2x.
Українські Кібер Війська записали колону військової техніки в Керчі в Криму https://bit.ly/3r7gKfo.
Українські Кібер Війська заблокували сайти терористів naspravdi.info, dnrsovet.su, та mvddnr.ru https://bit.ly/3ExNeSY.
Дев’ять років фіксую докази, як російські окупанти проводять псевдовибори https://bit.ly/45LRWZA.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3Pzbies.
Українські Кібер Війська часто виявляють як громадяни протестують проти загарбників на окупованій території https://bit.ly/3ZjBRrt.

У січні, 16.01.2025, вийшли PHP 8.3.16 і PHP 8.4.3. У версії PHP 8.3.13 виправлено багато багів і уразливостей, у версії PHP 8.4.3 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.16 і 8.4.3 виправлено:

• Численні вибивання.
• Декілька витоків пам’яті.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.