The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от opennews on 02-Мрт-11, 13:34 
Разработчики Mozilla выпустили (https://developer.mozilla.org/devnews/index.php/2011/03/01/f.../) корректирующие релизы для поддерживаемых веток web-браузера Firefox - 3.6.14 (http://www.mozilla-europe.org/ru/firefox/3.6.14/releasenotes/) и 3.5.17 (http://www.mozilla-europe.org/ru/firefox/3.5.17/releasenotes/), в которых устранено 11 уязвимостей (http://www.mozilla.org/security/known-vulnerabilities/firefo...), из которых девяти присвоен статус критических. Дополнительно в версии Firefox 3.6.14 исправлена 41 ошибка (https://bugzilla.mozilla.org/buglist.cgi?quicksearch=ALL...), а в версии 3.5.17 - 30 ошибок (https://bugzilla.mozilla.org/buglist.cgi?quicksearch=ALL...).

Одновременно выпущен (https://developer.mozilla.org/devnews/index.php/2011/03/01/t.../) корректирующий релиз почтового клиента Thunderbird 3.1.8 (http://www.mozil...

URL: https://developer.mozilla.org/devnews/index.php/2011/03/01/f.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=29765

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 02-Мрт-11, 13:37 
> уязвимость в коде декодирования JPEG-изображений, может быть использована для
> выполнения кода злоумышленника при обработке специально оформленного JPEG-изображения.

Пользователи NoScript как всегда чувствуют себя неуязвимыми и продолжают самоуверенно утверждать о своей защищенности ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +1 +/
Сообщение от achekalin (ok) on 02-Мрт-11, 13:44 
Этим аскетам вообще мало что может повредить :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +7 +/
Сообщение от terr0rist (??) on 02-Мрт-11, 13:46 
Покажите того, кого считаете лучше всех защищённым.:)
Имхо, каждый человек не защищён от природы. Тут его машина может сбить, там террористы, ещё где-то землетрясения и мало ли что. Подумаешь, уязвимость в мозиле.
По крайней мере, при носкрипте всякое г*** глаза не мозолит.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +5 +/
Сообщение от User294 (ok) on 02-Мрт-11, 14:03 
> Пользователи NoScript как всегда чувствуют себя неуязвимыми
> и продолжают самоуверенно утверждать о своей защищенности ?

Я конечно понимаю что набросить на вентилятор - неотъемлимый атрибут, но посмотрите на число уязвимостей в JS или вызываемых через него и заткнутых тут и подумайте что с NoScript они не сработали бы. А чем меньше дырок - тем лучше, IMHO ;). В идеале их должно быть 0 :)))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  –1 +/
Сообщение от Yoga (??) on 02-Мрт-11, 14:08 
>Я конечно понимаю что набросить на вентилятор - неотъемлимый атрибут, но посмотрите на число уязвимостей в JS или вызываемых через заткнутых тут и подумайте что с NoScript они не сработали бы. А чем меньше дырок - тем лучше, IMHO ;). В идеале их должно быть 0 :)))

Links - это как раз то что вам надо

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от User294 (ok) on 02-Мрт-11, 14:21 
> Links - это как раз то что вам надо

Я сам решаю что мне надо и вообще-то я забыл это у вас спросить ;). А вот нежелательная активность скриптов которую я не просил и не хотел узреть мне не нужна. Доходчивый пример в картинках что следует делать с теми кто злоупотребляет нежелательной/незапрошенной активностью: http://fun.platinum.linux.pl/pics/comics/the_noob_archive/08...

P.S. а как вы проверили число дыр в links? Вы лично проаудитили весь код? А то бывает ситуация "неуловимый джо" - никому нафиг не нужен, потому и "без дыр".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 02-Мрт-11, 22:14 
Я про то, что очень многие пользователи тешат себя иллюзией, что нет JS - нет проблемы или что если посещать только "хорошие" сайты ничего не случится. А дыра в парсере JPEG открывает совершенно другой горизонт - закачал хитрый баннер в баннерную сеть, накрутил себе в плюс миллион показов на своем порноресурсе и 200 тысяч пользователей Firefox под колпаком.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  –1 +/
Сообщение от Аноним (??) on 02-Мрт-11, 13:44 
В Chrome за всю историю существования проекта было найдено 8 критических уязвимостей (http://www.chromium.org/Home/chromium-security/hall-of-fame), а в Firefox в каждом релизе исправляют десяток.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от terr0rist (ok) on 02-Мрт-11, 13:53 
> В Chrome за всю историю существования проекта было найдено 8 критических уязвимостей
> (http://www.chromium.org/Home/chromium-security/hall-of-fame), а в Firefox в каждом
> релизе исправляют десяток.

Таки хром или хромиум?
И этот список по ссылке - это 8 узявимостей? Кажется, там более двухсот навскидку.
А теперь просуммируйте за все годы существования и сравните, у кого больше и у кого критичнее. И ещё хочу заметить, что хромы, хромиумы, эпифани и прочие используются всё-таки на порядок меньшим кол-вом юзеров, а значит, и вероятность найти баги на порядок меньше. Сколько же их там в реальности - знает один хромобог.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 02-Мрт-11, 22:19 
>> В Chrome за всю историю существования проекта было найдено 8 критических уязвимостей
>> (http://www.chromium.org/Home/chromium-security/hall-of-fame), а в Firefox в каждом
>> релизе исправляют десяток.
> Таки хром или хромиум?

Без разницы, кодовая база одна.

> И этот список по ссылке - это 8 узявимостей? Кажется, там более
> двухсот навскидку.

Критических только 8 (заплачено больше 1000$), остальные 200 в лучшем случае приведут к закрытию одного таба, даже браузер не рухнет. Код запустить в Chrome/Сhromium только эти 8 уязвимостей позволяют, все что 1000$ и меньше так мелкие баги, не поддающиеся эксплуатации.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от User294 (ok) on 02-Мрт-11, 14:11 
> В Chrome за всю историю существования проекта было найдено 8 критических

Нихрена себе, это при том что http://www.opennet.dev/opennews/art.shtml?num=29755 на ПЕРВОЙ СТРАНИЦЕ новостей опеннета? Где написано про ДЕВЯТНАДЦАТЬ дыр! Я фигею, дорогая редакция! :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Zenitur on 02-Мрт-11, 14:49 
Не обращай внимания. Человек - провокатор.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 02-Мрт-11, 22:22 
> Нихрена себе, это при том что http://www.opennet.dev/opennews/art.shtml?num=29755 на
> ПЕРВОЙ СТРАНИЦЕ новостей опеннета? Где написано про ДЕВЯТНАДЦАТЬ дыр! Я фигею,
> дорогая редакция! :)

Прочитайте второй абзац в той новости. Критическая дыра (critical) и опасная дыра (high) - это небо и земля,  critical по рейтингу Google позволяет выполнить код, а high - всего лишь безобидно устроить крах процесса.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

35. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от User294 (ok) on 05-Мрт-11, 20:35 
> безобидно устроить крах процесса.

Угу, только обычно крах процесса - это почти выполнение кода. Ну может вот так сходу и не придумали как довести до выполнения кода. Но примеров когда изгальнулись и все-таки запустилось - навалом! Вон например хакерье прошибает хваленые DEP и ALSR в ишаке, ну да, извращений в сплойте чуть побольше. Но прощибает в итоге. А как некоторые орали про секурити, непробиваемость, блаблабла. Хотелось бы чтобы в открытом софте честнее относились к пользователям, а не по принципу "все-равно никто этот говнокод/ссыкотный багрепорт/редкую проблему не найдет - ну и хрен с ними".

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

17. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Имени нету on 02-Мрт-11, 21:52 
Как минимум 19 на медни, 16 из которых опасные

http://googlechromereleases.blogspot.com/2011/02/stable-chan...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 02-Мрт-11, 22:25 
> Как минимум 19 на медни, 16 из которых опасные
> http://googlechromereleases.blogspot.com/2011/02/stable-chan...

Опасные, но не _критические_. Опасными Google считает пролом одного из уровней защиты, которых в Chrome несколько, т.е. дальше краха опасная дыра не выведет.

Пример критической уязвимости см. http://googlechromereleases.blogspot.com/2011/02/stable-chan...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Alexey (??) on 03-Мрт-11, 01:32 
Тут когда-то была статья в которой автор показывал как из опасного бага сделать критический. По сути, опасный - это когда падение есть, но сразу не очевидно как его использовать для атаки, а критический - баги, эксплуатация которых не представляет проблемы.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 03-Мрт-11, 09:01 
> Тут когда-то была статья в которой автор показывал как из опасного бага
> сделать критический.

Что касается Chrome, то чтобы дойти от опасного бага до выполнения кода в системе, нужно найти способ обхода sendbox, что практически нереально.

http://deliveryimages.acm.org/10.1145/1560000/1556050/reis_f...

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

12. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Zenitur on 02-Мрт-11, 14:48 
Я уже заждался. Думал, что до релиза 4 версии обновлений вообще не будет! 11 уязвимостей... Это много. Редко так бывало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от iZEN (ok) on 02-Мрт-11, 20:15 
Всё те же переполнения буферов. Н-да, критические ошибки в архитектуре C++ всё ещё не дают хацкерам и асам ручного управления памятью и закатом солнца отказаться от такой весёлой игрушки с эффектом русской рулетки "вылетит-не вылетит". А то — адреналиновые алкоголики, подсевшие на маразматическое творение Страуструппа. :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от kido on 02-Мрт-11, 21:33 
Да-да. Давайте юзать питон. Утечек будет меньше, зато про скорость даже простейших операций можно забыть.
Пишу не просто так - есть для сравнения Qcomixbook  на Qt и Comix на python2. и даже на моей топовой машине второй на порядок медленнее первого.
*Учу C++  и доволен.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  –1 +/
Сообщение от iZEN (ok) on 03-Мрт-11, 01:35 
>*Учу C++  и доволен.

Для устранения проблем C++ специально был создан язык Java и программная платформа на его базе.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +2 +/
Сообщение от Аноним (??) on 03-Мрт-11, 03:33 
>Для устранения проблем C++ специально был создан язык Java и программная платформа на его базе.

И они блестяще облажались в этом деле :)
Вижулбасик для клёпки очередного склада\магазина\учета - да слегка заменили ... и всЁ :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +1 +/
Сообщение от watcher (??) on 03-Мрт-11, 09:57 
> Для устранения проблем C++ специально был создан язык Java и программная платформа
> на его базе.

Попробуй ка на яве написать свою любимую фряху

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от watcher (??) on 03-Мрт-11, 10:04 
>> Для устранения проблем C++ специально был создан язык Java и программная платформа
>> на его базе.
> Попробуй ка на яве написать свою любимую фряху

да что там фряху, хотя бы что-нибудь типа LX-DE

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от iZEN (ok) on 03-Мрт-11, 10:16 
>>> Для устранения проблем C++ специально был создан язык Java и программная платформа
>>> на его базе.
>> Попробуй ка на яве написать свою любимую фряху

Фри написана на C, а не на C++.

> да что там фряху, хотя бы что-нибудь типа LX-DE

Looking Glass: http://java.sun.com/developer/technicalArticles/J2SE/Desktop.../

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Andrey Mitrofanov on 03-Мрт-11, 13:42 
>>> Попробуй ка на яве написать свою любимую фряху
> Фри написана на C, а не на C++

Чё, "адреналиновые наркоман" подсел "на маразматическое творение" Кернигана и ко.? От переполнения буферов в Си даже Джабба не лечит? :-P

...уже пишешь верификатор фри/Си-кода на жаве, да? И оперы, оперы!! Проблема _почти_ решена?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

15. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 02-Мрт-11, 21:20 
А подскажите, какие хорошие стредства защиты есть от этого?
Кроме как создать нового пользователя и сидеть под ним, ничего в голову не приходит. (качать с помощью wget)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  –1 +/
Сообщение от iZEN (ok) on 02-Мрт-11, 23:50 
> А подскажите, какие хорошие стредства защиты есть от этого?

Запустить Opera Mini?
http://news.ferra.ru/hard/2011/02/17/108353/


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "Обновление Firefox 3.6.14/3.5.17 и Thunderbird 3.1.8 c устра..."  +/
Сообщение от Аноним (??) on 03-Мрт-11, 13:30 
> в ParanoidFragmentSink добавлена возможность работы с URL вида "javascript:" в документах chrome.

Работа состоит в чём‐то вроде удаления.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру