The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Firefox 36.0.4 с устранением критической уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 36.0.4 с устранением критической уязвимости"  +/
Сообщение от opennews (??) on 22-Мрт-15, 08:12 
Доступно (https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/) корректирующее обновление web-браузера Firefox 36.0.4, в котором устранена критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-28/) (CVE-2015-0818), позволяющая организовать выполнение произвольного JavaScript-кода с повышенными привилегиями доступа ко внутренностям браузера. Проблема проявляется при обработке специально оформленных SVG-изображений. Атака с использованием данной уязвимости была продемонстрирована на недавно проведённом конкурсе  Pwn2Own 2015 (http://www.opennet.dev/opennews/art.shtml?num=41879), в рамках которого были представлены zero-day уязвимости для всех значительных браузеров. Проблема также устранена в Firefox ESR 31.5.3 и SeaMonkey 2.33.1.

Позавчера, почти сразу после конкурса был представлен (https://www.mozilla.org/en-US/firefox/36.0.3/releasenotes/) выпуск Firefox 36.0.3, в котором было заявлено устранение раскрытых на соревновании Pwn2Own проблем (список (https://www.mozilla.org/en-US/security/advisories/) исправленных уязвимостей был обновлён с запозданием), но на деле исправлена одна критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/) (CVE-2015-0817), связанная с ошибкой обработки типизированных массивов в JIT-компиляторе, используемом в asm.js. Уязвимость может привести к выполнению кода в системе. Так как в соревновании были представлены 3 уязвимости, судя по всему, одна проблема пока остаётся неисправленной (до выпуска исправления участники соревнования Pwn2Own не имеют право публично разглашать подробности).

URL: https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/
Новость: http://www.opennet.dev/opennews/art.shtml?num=41884

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  –1 +/
Сообщение от Аноним (??) on 22-Мрт-15, 08:12 
Теперь опять торброузер пересобирать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +2 +/
Сообщение от Аноним (??) on 22-Мрт-15, 11:04 
SELinux/Apparmor/etc. Вне этих систем браузер запускать опасно, как по мне.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 22-Мрт-15, 13:13 
Ога, давайте пробурим дно лодки, а потом попытаемся вычерпывать воду вовремя.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +2 +/
Сообщение от Аноним (??) on 22-Мрт-15, 13:17 
Нет.
Проектируем лодку так, чтобы когда возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

40. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от anonymous (??) on 22-Мрт-15, 20:17 
Только вот вбивать цифири номера кредитки всё равно придётся лезть в затопленный отсек...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

43. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 22-Мрт-15, 21:19 
Почему затопленные? У тебя ведь не один отсек, а несколько отсеков с браузером в чем беда?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 23-Мрт-15, 00:43 
>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка

Да-да, про "Титаник" именно так и говорили.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

49. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от SkyRanger email(ok) on 23-Мрт-15, 09:15 
>>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка
> Да-да, про "Титаник" именно так и говорили.

Титаник затонул не поэтому, если в самый непотопляемый корабль пониже ватерлинии запулить в ряд по 3 торпеды, результат будет тот же, плюс кривые руки капитана тоже внесли свою лепту...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

27. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от anonymous (??) on 22-Мрт-15, 18:22 
SELinux - развлечение для рута, простым пользователям он не доступен.

Но есть одна забавная опция. Вернуть javascript в интерпретируемый режим. И огородить. А на скорость забить, только больной извращенец будет писать полноценную прогу в браузере.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 22-Мрт-15, 11:21 
а нечего хранить секреты во внутренностях браузера. и вообще пользуйте вебкиоск под виртуалкой :)

к примеру, я пользуюсь альтовским сборочным цехом (см. http://www.altlinux.org/Mkimage/Profiles/m-p) для создания себе свежего живого вебкиоска и других live-интересностей, которыми пользуюсь как в виртуальной среде, так и на широком спектре техники от десктопов до портативных пк (в том числе и на маках). кстати, в starterkits у альта есть live-образ сборочного цеха (*-builder-*) для тех у кого нет желания устанавливать альт.

да простит меня Михаил за не скрытую рекламу :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от бедный буратино (ok) on 22-Мрт-15, 12:07 
а можно собрать такую фигню, чтобы содержала только ядро и initrd?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 22-Мрт-15, 13:52 
> а можно собрать такую фигню, чтобы содержала только ядро и initrd?

можно

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от paulus (ok) on 22-Мрт-15, 15:24 
возьми PRA linux и не используй не нужные модули. http://goo.gl/h1GMeV
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

37. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 22-Мрт-15, 19:52 
> и вообще пользуйте вебкиоск под виртуалкой :)
> [...] для тех у кого нет желания устанавливать альт.

Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12

> да простит меня Михаил за не скрытую рекламу :)

Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно понял.

"Рекламу" было бы здорово увидеть в форме статьи о том, как именно пригодилось (и что не так); кстати, есть http://altlinux.org/starterkits/builder

PS: завтра в сизиф долетит собственно сабж(tm): https://twitter.com/girar_builder/status/579658937772953600

PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

41. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от frak (ok) on 22-Мрт-15, 20:54 
> Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12

согласен, у пользователей альта, в этом плане, удобства на лицо :)

> Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно
> понял.

все ок. я все понимаю и ожидания в данном случае того стоят.

> "Рекламу" было бы здорово увидеть в форме статьи о том, как именно
> пригодилось (и что не так)...

больная тема отсутствия времени и лени при присутствии оного...  

> PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент
> Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp

моя вина - лень логиниться было и троллей подкормил :)

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Michael Shigorin email(ok) on 22-Мрт-15, 21:02 
Ответ ушёл почтой, чтоб не заспамливать обсуждение -- но всяко рад слышать!
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 23-Мрт-15, 03:59 
> PS: завтра в сизиф долетит собственно сабж(tm)

А убунтуи как обычно релизнули на день раньше и в основную репу. Вот как они ухитряются сделать так что их системой пользоваться удобно? ;)

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

7. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 22-Мрт-15, 11:51 
36-й релиз у нас что, LTS? Уже четвёртое обновление!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +1 +/
Сообщение от Аноним (??) on 22-Мрт-15, 12:08 
Firefox 38 должен быть LTS/ESR
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  –1 +/
Сообщение от iZEN (ok) on 22-Мрт-15, 14:51 
Во FreeBSD порт Firefox оперативно обновили: http://www.freshports.org/www/firefox/
(пишу из него)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Обновление Firefox 36.0.4 с устранением критической уязвимости"  +3 +/
Сообщение от Аноним (??) on 22-Мрт-15, 17:00 
У меня и моих подопечных лиса работает без нареканий.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Обновление Firefox 36.0.4 с устранением критической уязвимости"  +3 +/
Сообщение от th3m3 (ok) on 22-Мрт-15, 17:10 
Всё нормально в Firefox. Не знаю, откуда вы такие всё вылазите с зондами от гугла.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Обновление Firefox 36.0.4 с устранением критической уязвимости"  +2 +/
Сообщение от Xasd (ok) on 22-Мрт-15, 18:23 
> Ацкое глюкалово

дауж, вся проблема Firefox -- это слишком много свободы для настроек и кастумизаций... :)

в результате появляются такие как ВЫ -- накрутят галочек и всяких расширений, а потом плачут мол "глюкалово"..

дефолтный Firefox -- (и без: плагинов\расширений\резалок_рекламы) -- работает шустро и не глючит.. а что вы там себе наизменяли-и-наустанавливали это ваши индивидуальные проблемы. не нужно валить вашу вину на Firefox

> Не удивительно, что доля Мозиллы среди браузеров всё падает и падает

не удивитеьно -- потому что в Google Chrome лучше (продуманее) GUI чем в Firefox и более активная пропаганда Chrome от Google.

кой-какие улучшения относительно GUI в Firefox уже предпринты -- но этого мало. нужно больше перенимать хорошего от Chrome (и меньше обращать внимания на визги старпёров с синдромом утёнка).

и ещё у Firefox есть главное (хорошее) отличие от Chrome -- это уважение к частной жизни пользователя... нужно не забывать об этом. то есть -- дальше-и-дальше перенимать _хорошие_ идеи от Chrome, но при этом НЕ забывать про уважение к частной жизни пользователя..

а кому нужна одна лишь сраная производительность -- пусть валят на Google Chrome.. нам в сообществе такие Firefox-пользователи не нужны.. :-)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору
Часть нити удалена модератором

33. "Обновление Firefox 36.0.4 с устранением критической уязвимости"  +/
Сообщение от Xasd (ok) on 22-Мрт-15, 19:12 
> После того, как Firefox 29 стал похожим на Хром, у меня уже не оставалось причин сидеть именно на нём

то есть раньше ты сидел на Firefox *ТОЛЬКО* лишь потому тебе было *привычно* использовать старое GUI? (явно уже не отвечающее современным стандартам качества GUI)

ОК! такие пользователи как ты (которые продолжали сидеть на Firefox только благодаря своей привычке) -- совершенно не являются теми пользвоателями, на которых можно ориентироватсья при разработке программы:

1. если ввести новый (качественно правильный) функционал в программу -- то вы начинаете психовать типа -- "зачем всё поменяли! всё и так было хорошо! я ещё не успел привыкнуть!".

2. а если НЕ вводить новый функционал то вы всё равно уйдёте на другую программу, но лишь с той разницей что сделаете это чуть позже -- в момент внезапного озарения (типа: "а ведь Google Chrome не так уж и плох! а вот этот Firefox совсем уже давно перстал развиваться!!")

другими словами -- вы тот самый паразитный слой пользователей, который мешает программистам делать хорошие программы, вводить правильные улучшения.

приведу аналогию:

представь что ты живёшь с капризной девушкой и выполняешь всё её капризы, а иначе она *грозится_уйти* от тебя. поэтому, ты стараешься выполнять КАЖДЫЙ её каприз -- досконально точно... а потом эта девушка всё равно уходит от тебя со словами "я не люблю подкаблучников, ты не похож на настоящего самца! как личность -- ты безинициативная пустышка".

ну зачем ты нужен, такой пользователь, если ты не ценишь в Mozilla старания которые эта компания делает для охраны твоей личной жизни? для тебя сделали PDF.js (чтобы хакеры тебя не взламывали через PDF-файлы, а ты только ворчишь про производительность..)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору
Часть нити удалена модератором

36. "Обновление Firefox 36.0.4 с устранением критической уязвимости"  –1 +/
Сообщение от Xasd (ok) on 22-Мрт-15, 19:37 
> Этот комментарий имел бы смысл в том случае, если Firefox сохранил своё
> лицо после преобразований, а не стал бы жалкой копией Хрома, как
> и тысяча его клонов.

то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI -- это действительно заслуга разработчиков Хрома.

а то что ты по своей старпёрской привычке лично-ты не хочешь это признать -- это лишь твоя личная психологическая проблема.

или ты хочешь сказать что кроме GUI -- разработчики Firefox что-то ещё "скопировали" из Хрома?

или ты считаешь что Firefox теперь также как и Chrome -- завешан во всю зондами? (которые отправляют Гуглу информацию на каждый чих пользователя?)

и потом: если даже предположить что теперь Firefox стал таким же как Chrome -- то какой смысл пользоваться Хромом? или ты что-то не договариваешь?

а может ты вообще ни когда не любил Firefox и тебе завидно что теперь и у Firefox тоже (как и у Chrome) замечательный GUI? :-)

# P.S.: а может ты -- как раз один из тех людей кто привыкли использовать ТОЛЬКО_САМОЕ_ЛУЧШЕЕ(!) ??.. если архитатор, то только WinRAR (потому что WinRAR самый лучший!!), если музыкальный плеер, то только WinAMP (потому что WinAMP самый лучший муз-плеер!)... если браузер -- то тоже только самый лучший! (а самым лучшим браузером наверняка считается официально Google Chrome.. а все остальные браузеры лишь жалкие догоняющие)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

46. "Обновление Firefox 36.0.4 с устранением критической уязвимости"  +1 +/
Сообщение от dcsdcds on 23-Мрт-15, 02:46 
> то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI

Не верил что есть люди которые на самом деле так считают, но вот надо же, увидел. Наверное и остальное г многих в восторг приводит. М-да, пичалька.

А так то известно что у гугла, по определению, вообще все гуано кроме поиска. Но это и хорошо. А то бы он всю планету уже пожрал.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

29. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от grec on 22-Мрт-15, 18:26 
> ко внутренностям браузера.

Режет слух как-то.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Есюки on 23-Мрт-15, 06:07 
Выражение "Режет слух как-то", как-то слух режет.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

50. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от qwerty (??) on 23-Мрт-15, 12:36 
Все же, не пойму комментаторов пользующих браузер в в виртуалке который уверены что защищенный на 100%.  Суть конкурса как я понял, деньги дают за багу в браузере, не кто не искал баги в виртуалки, в ядре, и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от frak (ok) on 23-Мрт-15, 15:28 
суть в том, что баги в браузерах были, есть и будут. и понятно же, что в реальности их находят раньше, чем их находят "официально". А следовательно и стать "жертвой баги" вполне реально до ее исправления. Про 100% защищенность, пожалуйста, не надо - никто не говорил об этом, ибо не бывает :) А вот использование livecd с вебкиоском в виртуалке - где вы загрузились в браузер с "чистой" средой, зашли на нужный вам сайт (предполагается, что доверенный), произвели оплату/и т.п., выключили виртуалку (и следовательно обнулили среду) - мне не кажется странным. Также данный подход можно использовать для походов по подозрительным/заведомо вредоносным сайтам без особой опаски для хостовой системы - шансов, что через браузер гостевой системы ломанут хост гораздо меньше :)

P.S. в качестве виртуалки, в данном контексте, я для себя использую VirtualBox.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."  +/
Сообщение от Аноним (??) on 23-Мрт-15, 20:08 
Не на 100%, но лучше чем без.
http://www.opennet.dev/openforum/vsluhforumID3/101804.html#25
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру