URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126945
[ Назад ]
Исходное сообщение
"Обновление Firefox 97.0.2 с устранением критических 0-day уязвимостей"
Отправлено opennews , 05-Мрт-22 09:19 
Доступен корректирующий выпуск Firefox 97.0.2 с  устранением двух уязвимостей, которым присвоен статус критических проблем. Уязвимости позволяют обойти sandbox-изоляцию и  добиться выполнения своего кода с привилегиями браузера при обработке специально оформленного контента. Утверждается, что для обеих проблем выявлено наличие рабочих эксплоитов, которые уже используются для совершения атак...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56808

Содержание
Сообщения в этом обсуждении
"Обновление Firefox 97.0.2 с устранением критических 0-day уя..."
Отправлено Анонимно , 05-Мрт-22 09:19 
rust не помог?
"Обновление Firefox 97.0.2 с устранением критических 0-day уя..."
Отправлено полураспад , 05-Мрт-22 09:23 
помог бы если бы использовали
"Обновление Firefox 97.0.2 с устранением критических 0-day уя..."
Отправлено Корец , 05-Мрт-22 09:52 
Почему не используют?
"Обновление Firefox 97.0.2 с устранением критических 0-day уя..."
Отправлено Аноним , 05-Мрт-22 09:58 
Потому, что для фапа - это не то использование, что вы ищете.
"Обновление Firefox 97.0.2 с устранением критических 0-day уя..."
Отправлено Аноним , 05-Мрт-22 10:30 
Ты же сам прекрасно знаешь не шмогли они в раст не шмогли.  Виноваты сишники.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено timur.davletshin , 05-Мрт-22 09:26 
А смысл? Уже 98-ой в стадии release candidate 3. Возможно он уже и будет финальным.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено iPony129412 , 05-Мрт-22 10:25 
А пока неделю сидите с дырой 👌
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено timur.davletshin , 05-Мрт-22 10:40 
> А пока неделю сидите с дырой 👌

В RC все те же патчи.

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено iPony129412 , 05-Мрт-22 16:25 
Уже двое написали глупости про УМВР  – рад за вас.
Разработчик такое для своего продукта для массовой аудитории позволить не может.


"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено th3m3 , 05-Мрт-22 15:03 
Уже неделю на 98. Всё норм.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 16:04 
Тоже уже на win 98. Всё норм.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Anonwrg5 , 05-Мрт-22 22:19 
В 98-м этих фиксов, возможно, нет, если их только что выявили. В этом случае они войдут в очередной релиз-кандидат.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено КО , 05-Мрт-22 12:06 
А ESR так для вида?
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено timur.davletshin , 05-Мрт-22 12:18 
>  А ESR так для вида?

В оригинальной публикации не говорилось про ESR, дополнили позже.

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 10:29 
А вот если бы переписали на раст? Да ничего бы не произошло они и раст не смогли нормально написать. Не то что браузер на нём переписать.  
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 21:43 
Да подумаешь всего-то делов - браузер переписать. Давно уже пора свой запилить и профиты с рекламы миллионами долларов иметь.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Гнъ Анонимъ , 05-Мрт-22 11:39 
Rust или не Rust, но тѣмъ интереснѣе, что въ данномъ случаѣ мы видимъ именно ошибки съ памятью, такiя какъ use-after-free. И старые языки отъ такихъ ошибокъ не предоставляютъ никакихъ защитъ. Я не знаю, способенъ ли Растъ замѣнить Си и сдѣлать программированіе болѣе безопаснымъ (а то почему-то много къ нему вижу всякихъ претензій), но безусловно то, что новый языкъ низкоуровневого программированія нуженъ.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено timur.davletshin , 05-Мрт-22 12:32 
> Rust или не Rust, но тѣмъ интереснѣе, что въ данномъ случаѣ мы
> видимъ именно ошибки съ памятью, такiя какъ use-after-free. И старые языки
> отъ такихъ ошибокъ не предоставляютъ никакихъ защитъ. Я не знаю, способенъ
> ли Растъ замѣнить Си и сдѣлать программированіе болѣе безопаснымъ
> (а то почему-то много къ нему вижу всякихъ претензій), но безусловно
> то, что новый языкъ низкоуровневого программированія нуженъ.

y0k0wka ты и тут?

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Гнъ Анонимъ , 05-Мрт-22 15:06 
Вы о чёмъ?
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 11:46 
>а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU.

WebGPU же в релизе нет?

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено timur.davletshin , 05-Мрт-22 12:01 
Нет.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 11:49 
apt list firefox
>firefox/impish-updates,impish-security,now 97.0+build2-0ubuntu0.21.10.1 amd64 [установлен]

apt update
...  
Все пакеты имеют последние версии.

Oh shit.

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено ИмяХ , 06-Мрт-22 06:34 
Бубунтушникам только и остаётся ждать, когда майнтейнеры запилят для них ебилды, ибо самостоятельно мамкины хакеры собрать пакет не в состоянии.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено бубунтушник , 06-Мрт-22 09:11 
В состоянии, а толку? Сколько его не пересобирай - точно такой же 97.0+build2-0ubuntu0.21.10.1 обратно получается.

Но ты-то не мамкин хакер, у тебя-то lfs?

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 07-Мрт-22 18:41 
Сейчас бы шуметь вентилляторами собирая себе браузер. Пока апстрим починится, можно и в хроме ютубчик посмотреть.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 13:03 
В Fedora ещё 97.0.1.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 14:33 
Я понимаю, что тутовая аудитория использует в основном FF, ибо в дистр впилено, привылки за годы и ещё много причин.

Но объясните мне пожалуйста, зачем оно может ещё кому-то понадобится?

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 14:44 
Вкладки выше, чем у другого обозревателя?
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 06-Мрт-22 02:03 
Не понимаю о чём вы, у меня в любом браузере вкладки высотой почти с экран. Или смотря как окно программы разверну.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 06-Мрт-22 09:26 
> Не понимаю о чём вы

Да.

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 06-Мрт-22 15:27 
Процент у FF видели? Никому он и не нужен.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 17:02 
Почему в браузерах вечные уязвимости? Что с ними не так?
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 18:56 
WEB 2.0
Вот, что не так.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 22:06 
Они невероятно сложные, и работают с большим количеством разнообразного входа. А это значит что некорректная его обработка приведет часто к уязвимости.

Проктолы обмена данными (tcp, udp, http(s, /2, quick, tls), ws(s)), форматы данных (PDF, json, HTML, CSS, Изображения, Видео, javascript).

Только Javascript чего стоит. Это язык программирования с виртуальной машиной для исполнения инструкций поступающих в браузер из сети.

Еще например WebGL (загугли) один из этого списка https://developer.mozilla.org/ru/docs/Web/API

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Kuromi , 05-Мрт-22 20:15 
О, WebGPU еще даже не полноценный стандарт, а критические дыры уже есть. Толи еще будет...
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Anonwrg5 , 06-Мрт-22 00:12 
Ты путаешь стандарт с реализацией. В любой реализации есть баги. В любом ПО есть баги. Уязвимости это подкласс багов.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Kuromi , 06-Мрт-22 06:13 
И тем не менее суть WebGPU - в доступе сайтов к GPU. Достаточно вспомнить какие крики были со стороны Микрософт на тему WebGL, а с WebGPU это все можно умножить в разы.
Да, конечно можно сказать что WebGL-ом пугали, а впустую, но он и не взлетел толком и браузеры к тому моменту обвешались песочницами, фильтрами вызовов и прочими механизмами.
Опять же припомним сколько ЛЕТ та же Мозилла причесывала и пыталась довести до ума свою реализацию WebGL (которая даже на Виндоус так никогда и не достигла паритета по скорости с реализацией в Хроме, а а Линуксе так вообще тормозила безбожно в силу "неудачно архитектуры" как ФФ так и графического стека Линукса). И это еще притом что как таковой WebGL в Мозилле и зародился (Гугл продвигал другой стандарт, но первыми эксперименты с 3D контекстом начали инженеры Мозиллы). Доводить свои разработки до наконец-то достойного качества как раз накануне объявления их устаревшими и deprecated - это фишка. Вон, только на дня в Линуксе наконец-то включили WebGL в отдельном процессе. 6 Лет багу стукнуло.
В общем, от WebGPU ничего хорошего не жду.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Ilya Indigo , 05-Мрт-22 20:46 
Может мне кто-нибудь помочь с удалением аккаунта firefox с двуфакторной аутентификацией?

1 Я недавно зарегистрировал домен и создал на нём почту и хотел привязать эту почту к аккаунту firefox для синхронизации.
Оказалось что прежний владелец этого домена имел такую же почту и уже создал аккаунт с двуфакторной аутентификацией и я теперь не могу его удалить чтобы зарегистрировать его заново.
Как мне его удалить имея доступ только к email?

2 Я пытался задать этот вопрос на форуме поддержки https://support.mozilla.org/ru/questions/new/desktop но дальше этой страницы меня не пускают.
Я могу только ответить на чей-то вопрос но задать свой вопрос мне не дают. Нажатие на кнопку Получить помощь приводит к началу, выбора продукта и далее та же страница.

"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 20:57 
РФ?
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Ilya Indigo , 05-Мрт-22 21:01 
Домен не РФ, заходил на форум из РФ.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 05-Мрт-22 21:58 
Заведи другую почту. Делов-то.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Ilya Indigo , 05-Мрт-22 22:03 
Охота это сделать официально и по нормальному, возможно указав Мозилле на этот недостаток.
Если убежусь что в Мозилле неадекваты и договорится с ними не возможно, то придётся так и сделать, но пока хочу это решить как положено.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 07-Мрт-22 18:48 
В Мозилле как раз адекваты и не будут изобретать новые бизнес-процессы ради очередняры из интернета, который не может завести почтовый алиас. Но ты, я вижу, из тех, кому шашечки важнее, чем ехать и свободного времени у тебя навалом. Расскажи потом как прошло.
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено Аноним , 06-Мрт-22 15:38 
Tor формировать внеплановое обновление отказался (https://gitlab.torproject.org/tpo/applications/tor-browser/-...), зато есть время на https://gitlab.torproject.org/tpo/applications/tor-browser/-...
"Обновление Firefox 97.0.2 и 91.6.1 с устранением критических..."
Отправлено MihaNix , 29-Мрт-22 02:22 
В Chrome та же фигня.
Но там чуть раньше поправили.