Websecurity - Веб безпека

15.12.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-099 - Important Cumulative Security Update for Internet Explorer (2618444) (деталі)

29.12.2011

Додаткова інформація.

• Microsoft Windows Media Player DVR-MS Buffer Overflow Vulnerability (MS11-092) (деталі)

17.11.2011

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.0, AIR 3.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних.

• Security update available for Adobe Flash Player (деталі)

28.12.2011

Додаткова інформація.

• Adobe Flash Player “SAlign” Memory Corruption Vulnerability (CVE-2011-2459) (деталі)

Виявлені численні уразливості безпеки в серії програмних продуктів Websense. Випускати вразливі додатки є типовим для секюріті компаній, в цьому вони не відрізняються від інших компаній виробників ПЗ. Зокрема це стосується Websense, про уразливості в програмах якої я вже неодноразово писав.

Уразливі продукти: Websense Web Security Gateway Anywhere v7.6, Websense Web Security Gateway v7.6, Websense Web Security v7.6, Websense Web Filter v7.6.

Виконання коду, міжсайтовий скриптінг.

• Websense Triton 7.6 - Authentication bypass in report management UI (деталі)
• Websense Triton 7.6 - Stored XSS in report management UI (деталі)
• Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - Reflected XSS in report management UI (деталі)

Виявлена можливість витоку інформації в PHP.

Уразливі версії: PHP 5.4.

Звертання за межі виділеної пам’яті при розборі EXIF-заголовків JPEG.

• Integer overflow in the exif extension in PHP 5.4.0beta2 (деталі)

Виявлені недовірені сертифікати Digicert Sdn. Bhd.

Уразливі продукти: OpenSSL 0.9, OpenSSL 1.0.

Центром, що засвідчує, було видано кілька слабких сертифікатів.

Ситуація з цим видавцем сертифікатів подібна до інцидента з Comodo, що стався весною, та інцидента з DigiNotar, що стався влітку. Такі виробники браузерів як Mozilla та Microsoft вже анулювали сертифікати Digicert в своїх продуктах.

• openssl security update (деталі)

Виявлені численні уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 15.0.

Виконання коду, підвищення привілеїв, DoS.

• Численні уразливості безпеки в Google Chrome (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.3.

Міжсайтовий скриптінг, виконання коду, пошкодження пам’яті, витік інформації.

• Mozilla Foundation Security Advisory 2011-46 (деталі)
• Mozilla Foundation Security Advisory 2011-47 (деталі)
• Mozilla Foundation Security Advisory 2011-48 (деталі)
• Mozilla Foundation Security Advisory 2011-49 (деталі)
• Mozilla Foundation Security Advisory 2011-50 (деталі)
• Mozilla Foundation Security Advisory 2011-51 (деталі)
• Mozilla Foundation Security Advisory 2011-52 (деталі)

01.11.2011

Виявлені численні уразливості в Oracle Java.

Уразливі продукти: Oracle JRE 1.4, JRE 5, JDK 5, JRE 6, JDK 6, JRE 7, JDK 7, JavaFX 2.0, JRockit 28.1.

Щоквартальне оновлення закриває 20 різних уразливостей.

• Oracle Java MixerSequencer.nAddControllerEventCallback Remote Code Execution Vulnerability (деталі)
• Oracle Java IIOP Deserialization Type Confusion Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Rhino Script Engine Remote Code Execution Vulnerability (деталі)
• DNS Poisoning via Port Exhaustion (деталі)

18.11.2011

Додаткова інформація.

• Java for Mac OS X 10.7 Update 1 and Java for Mac OS X 10.6 Update 6 (деталі)

Численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Director File Parsing data of rcsl chunk multiple DOS vulnerabilities (деталі)
• Adobe Shockwave Player Director File Parsing PAMM memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)

Виявлена можливість підвищення привілеїв в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Підвищення привілеїв через керуючий додаток.

• Apache Tomcat - Privilege Escalation via Manager app (деталі)