Опубликованы (https://www.mozilla.org/en-US/firefox/67.0.3/releasenotes/) корректирующие выпуски Firefox 67.0.3 и 60.7.1, в котором устранена критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/) (CVE-2019-11707),  позволяющая вызвать крах браузера при выполнении вредоносного JavaScript-кода. Уязвимость вызвана проблемой с обработкой типов в методе Array.pop. Доступ к детальной информации пока ограничен (https://bugzilla.mozilla.org/show_bug.cgi?id=1544386). Также не ясно ограничивается ли проблема заявленным крахом или потенциально может быть использована для организации выполнения кода злоумышленника.

URL: https://www.mozilla.org/en-US/firefox/67.0.3/releasenotes/
Новость: https://www.opennet.dev/opennews/art.shtml?num=50897

• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 22:46 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 22:50 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,НяшМяш, 22:55 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,VINRARUS, 22:56 , 18-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,VINRARUS, 22:55 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 01:08 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,iPony129412, 06:09 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,th3m3, 09:52 , 19-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,iPony129412, 17:06 , 19-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,VINRARUS, 22:18 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 18:31 , 19-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,VINRARUS, 22:09 , 19-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 23:00 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Анонимусис, 08:34 , 19-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 23:22 , 18-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,InuYasha, 23:23 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,AnonPlus, 23:46 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,L29Ah, 01:37 , 19-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,iPony129412, 06:13 , 19-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,paulus, 10:15 , 19-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 23:27 , 18-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 23:56 , 18-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 01:13 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,L29Ah, 01:37 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 01:42 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,X86, 05:55 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,mumu, 09:04 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 16:07 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,донни, 16:32 , 20-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Ivan_83, 00:21 , 19-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 00:37 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 01:42 , 19-Июн-19
    • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Дегенератор, 07:49 , 19-Июн-19
      • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Анон111, 09:25 , 19-Июн-19
        • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Дегенератор, 12:30 , 19-Июн-19
      • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,ыы, 09:54 , 19-Июн-19
        • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Дегенератор, 12:35 , 19-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,анонимчик, 10:39 , 19-Июн-19
• Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Анимайзер, 11:37 , 19-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,мяя, 15:16 , 20-Июн-19
  • Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости,Аноним, 17:39 , 20-Июн-19

Самый дырявый браузер

Если выходят обновления не значит что он дырявый.

Необходим дедушка Фрейд для установления диагноза.

> Самый дырявый браузер

Он не дырявый, это вентиляция.

А как быстро щас латают Firefox с логотипом Ubuntu например?
Асталось 7 дней...?

Вот запустил щас обновление. Пришло только новое ядро.

Им уже и так намекают, и эдак... Но не понимают.
https://snapcraft.io/firefox

Долго. Может вообще не прилететь. Там тормозят до последнего.

Лучше подключить PPA: https://launchpad.net/~ubuntu-mozilla-security

С PPA, вчера уже прилетела обнова. И наконец, Firefox стал обновляться быстрее, чем пишут новости. Иногда даже за несколько дней.

> Может вообще не прилететь

Не, если есть секурные измения, то относительно быстро - в течении суток (как и сейчас).
Но а если их нет, то само собой, что никто подрываться не будет.

> С PPA, вчера уже прилетела обнова. И наконец, Firefox стал обновляться быстрее, чем пишут новости. Иногда даже за несколько дней.

А я скрипт-обновлятор написал, проверяющий наличие новой версии на сайте при каждом закрытии браузера.
Просто, удобно, надёжно.

Kubuntu 18.04 LTS.
Только что пришло обновление Firefox 67.0.3

~$  apt-cache policy firefox
firefox:
  Установлен: 67.0.3+build1-0ubuntu0.18.04.1
  Кандидат:   67.0.3+build1-0ubuntu0.18.04.1

Ну сутка не так и плохо.

> Доступ к детальной информации пока ограничен.

У меня все открывается.

Речь про уязвимость, а не about firefox

А где же Михаил, который скажет, что они в альте заранее знали об уязвимости и даст ссылку на ченджлоги?

А для ФФ 50 патчи не подтянут?
Хоть какой бы фуррифокс, умеющий плагины... (

Нет, а с чего именно для этой версии? Это даже не прошлый ESR (который уде не поддерживается).

В PaleMoon подтянут.

Месяца через два, как обычно 🙂
И то может быть, в то если там какой ФуриКон намечается, то уже не до этого. А там уж всё равно про эту уязвимость все забудут, а у фурифокса итак доля весьма небольшая, чтобы уж как-то сильно злоумышленики о нём пеклись... Так что можно будет и вообще забить.

>В PaleMoon подтянут.

Ой, ли... :) Не могут даже осилить отключение dpms при видео на полный экран и т.д. :)

> Array.pop.
> позволяет атакующему получить контроль за системой и выполнить код с правами браузера

А можно браузер, в котором физически JS отсутствует?

Lynx. Не за что.

Хотя бы TUI бы хотелось всё-таки иметь.

dillo

А что вместо JS? Любой встроенный язык несёт потенциальные уязвимости.

Чем вас noscript на все сайты не устраивает? Или отключение js в настройках?

Лучше интернет без js. Он был прекрасен. Похапэ выполнялось на стороне сервера. Википедия прекрасно без него работала. Что ещё надо?

Icecat

В FF можно его отключить. Идём в about:config, там javascript.enabled поставить в false.

Уже было хотел рестартануть фф, который ещё днём пересобрался, но вспомнил что скрипты выключены на всех сайтах, кроме тех что в белом списке, так что не актуально.

быстрее обновляйтесь, они исправили одну и добавили пару новых дыр

Откуда столько пессимизма? Ну или где факты?

Это фичи. Пример с Хромом на Винде: я вошел в синхронизированный аккаунт гугл, пароли на сайты сохраняются и вводятся автоматически. При попытке просмотра пароля нужно ввести пароль текущего пользователя винды. Случайный человек, на несколько секунд получивший доступ к браузеру испытает неудобство при желании подсмотреть содержимое пароля. Причем сессия доступности для просмотра пароля ограничена временем. А что в "дружественном сделанном людьми для людей"? Ты маслаешь мастер-пароль каждый раз при запуске браузера, при этом если не закрыт браузер - "для людей", любой мгновенно просмотрит содержимое паролей. (Ну да, сразу посыпятся советы "блокируй вручную/поставь автоблокировку". Но мне удобно использовать автовход с учетными данными, которые не знают другие пользователи, но работают с этой учетной записью).

Опция называется "Использовать мастер-пароль".
Ты оправдываешь свой ник.
Пользуйся и дальше гуглозондами.

> Опция называется "Использовать мастер-пароль".
> Ты оправдываешь свой ник.
> Пользуйся и дальше гуглозондами.

Спасибо, Кэп.

>я вошел в синхронизированный аккаунт гугл,

Вы отдали ключи от квартиры случайному прохожему на улице с целью чтобы он открывал вашу квартиру за вас...и утверждаете что это вам это очень удобно.

Гедонизм как показывает практика кончается плохо.

>>я вошел в синхронизированный аккаунт гугл,
> Вы отдали ключи от квартиры случайному прохожему на улице с целью чтобы
> он открывал вашу квартиру за вас...и утверждаете что это вам это
> очень удобно.
> Гедонизм как показывает практика кончается плохо.

Да, я отдаю ключи от своей квартиры случайным прохожим с улицы. Но я не хочу, чтобы эти ключи (доступ в эту квартиру) получили мои родственники. Можно примеры практики проблем с хранимыми паролями в Гугл и статистику насколько это безопаснее в аккаунте ФФ?

в void-е уже накатили

> уязвимость позволяет атакующему получить контроль за системой и выполнить код с правами браузера

Один из вариантов использования этой уязвимости - установить криптомайнер, который будет ночью тихонечко майнить крипту, пока все спят и ни о чём не догадываются. Биток то уже по 9K$, возникает большой соблазн!

ПС: И как защититься от этой и от других подобных уязвимостей? Не отключать же JavaScript совсем?!  

Клать бинарник в папку с только для чтения, выполнение только для firefox.exe, а саму лису запускать от другого пользователя в песочнике. Будут неудобства с пробросом данных для лисы зато безопасно. Даже если какой-то там майнер пролезет то после перезапуска лисы он слетит, а если попытается записаться как дополнение то тоже слетит т.к. он будет не подписанным.

> 2019
> майнить бетховен в браузере