Обновления Firefox 67.0.3 и 60.7.1 с устранением уязвимости

18.06.2019 22:43

Опубликованы корректирующие выпуски Firefox 67.0.3 и 60.7.1, в которых устранена критическая уязвимость (CVE-2019-11707), позволяющая вызвать крах браузера при выполнении вредоносного JavaScript-кода. Уязвимость вызвана проблемой с обработкой типов в методе Array.pop. Доступ к детальной информации пока ограничен. Также не ясно ограничивается ли проблема заявленным крахом или потенциально может быть использована для организации выполнения кода злоумышленника.

Дополнение: По данным Агентства кибербезопасности и безопасности инфраструктуры США (CISA) уязвимость позволяет атакующему получить контроль за системой и выполнить код с правами браузера. Более того, уже зафиксированы факты совершения атак с использованием данной уязвимости. Всем пользователям рекомендуется срочно установить выпущенное обновление.

Дополнение: Следом доступен новый выпуск Tor Browser 8.5.2, в котором устранена вышеотмеченная уязвимость и обновлена версия NoScript 10.6.3.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/50897-firefox

Ключевые слова: firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.1, Аноним (1), 22:46, 18/06/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–10 +/–

2.2, Аноним (2), 22:50, 18/06/2019 Скрыто ботом-модератором [к модератору]	+1 +/–

2.4, НяшМяш (ok), 22:55, 18/06/2019 Скрыто ботом-модератором [к модератору]	+2 +/–

2.5, VINRARUS (ok), 22:56, 18/06/2019 Скрыто ботом-модератором [к модератору]	+3 +/–

....ответы скрыты (3)

1.3, VINRARUS (ok), 22:55, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А как быстро щас латают Firefox с логотипом Ubuntu например? Асталось 7 дней...?

2.14, Аноним (14), 01:08, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
Вот запустил щас обновление. Пришло только новое ядро.

2.21, iPony129412 (?), 06:09, 19/06/2019 [^] [^^] [^^^] [ответить]	–3 +/–
Им уже и так намекают, и эдак... Но не понимают. https://snapcraft.io/firefox

2.27, th3m3 (ok), 09:52, 19/06/2019 [^] [^^] [^^^] [ответить]

+1 +/–

Долго. Может вообще не прилететь. Там тормозят до последнего.

Лучше подключить PPA: https://launchpad.net/~ubuntu-mozilla-security

С PPA, вчера уже прилетела обнова. И наконец, Firefox стал обновляться быстрее, чем пишут новости. Иногда даже за несколько дней.

3.36, iPony129412 (?), 17:06, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
> Может вообще не прилететь Не, если есть секурные измения, то относительно быстро - в течении суток (как и сейчас). Но а если их нет, то само собой, что никто подрываться не будет.

3.39, VINRARUS (ok), 22:18, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
> С PPA, вчера уже прилетела обнова. И наконец, Firefox стал обновляться быстрее, чем пишут новости. Иногда даже за несколько дней. А я скрипт-обновлятор написал, проверяющий наличие новой версии на сайте при каждом закрытии браузера. Просто, удобно, надёжно.

2.37, Аноним (37), 18:31, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
Kubuntu 18.04 LTS. Только что пришло обновление Firefox 67.0.3 ~$ apt-cache policy firefox firefox: Установлен: 67.0.3+build1-0ubuntu0.18.04.1 Кандидат: 67.0.3+build1-0ubuntu0.18.04.1

3.38, VINRARUS (ok), 22:09, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
Ну сутка не так и плохо.

1.6, Аноним (6), 23:00, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Доступ к детальной информации пока ограничен. У меня все открывается.

2.24, Анонимусис (?), 08:34, 19/06/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Речь про уязвимость, а не about firefox

1.7, Аноним (7), 23:22, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А где же Михаил, который скажет, что они в альте заранее знали об уязвимости и даст ссылку на ченджлоги?

1.8, InuYasha (?), 23:23, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А для ФФ 50 патчи не подтянут? Хоть какой бы фуррифокс, умеющий плагины... (

2.10, AnonPlus (?), 23:46, 18/06/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Нет, а с чего именно для этой версии? Это даже не прошлый ESR (который уде не поддерживается).

2.16, L29Ah (ok), 01:37, 19/06/2019 [^] [^^] [^^^] [ответить]	+1 +/–
В PaleMoon подтянут.

3.22, iPony129412 (?), 06:13, 19/06/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Месяца через два, как обычно 🙂 И то может быть, в то если там какой ФуриКон намечается, то уже не до этого. А там уж всё равно про эту уязвимость все забудут, а у фурифокса итак доля весьма небольшая, чтобы уж как-то сильно злоумышленики о нём пеклись... Так что можно будет и вообще забить.

3.29, paulus (ok), 10:15, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
>В PaleMoon подтянут. Ой, ли... :) Не могут даже осилить отключение dpms при видео на полный экран и т.д. :)

1.9, Аноним (9), 23:27, 18/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Array.pop. > позволяет атакующему получить контроль за системой и выполнить код с правами браузера А можно браузер, в котором физически JS отсутствует?

2.11, Аноним (11), 23:56, 18/06/2019 [^] [^^] [^^^] [ответить]	+4 +/–
Lynx. Не за что.

3.15, Аноним (9), 01:13, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
Хотя бы TUI бы хотелось всё-таки иметь.

2.17, L29Ah (ok), 01:37, 19/06/2019 [^] [^^] [^^^] [ответить]	–1 +/–
dillo

2.18, Аноним (18), 01:42, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
А что вместо JS? Любой встроенный язык несёт потенциальные уязвимости.

2.20, X86 (ok), 05:55, 19/06/2019 [^] [^^] [^^^] [ответить]	+3 +/–
Чем вас noscript на все сайты не устраивает? Или отключение js в настройках?

2.25, mumu (ok), 09:04, 19/06/2019 [^] [^^] [^^^] [ответить]	+4 +/–
Лучше интернет без js. Он был прекрасен. Похапэ выполнялось на стороне сервера. Википедия прекрасно без него работала. Что ещё надо?

2.35, Аноним (-), 16:07, 19/06/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Icecat

2.41, донни (?), 16:32, 20/06/2019 [^] [^^] [^^^] [ответить]	+/–
В FF можно его отключить. Идём в about:config, там javascript.enabled поставить в false.

1.12, Ivan_83 (ok), 00:21, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Уже было хотел рестартануть фф, который ещё днём пересобрался, но вспомнил что скрипты выключены на всех сайтах, кроме тех что в белом списке, так что не актуально.

1.13, Аноним (13), 00:37, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
быстрее обновляйтесь, они исправили одну и добавили пару новых дыр

2.19, Аноним (18), 01:42, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
Откуда столько пессимизма? Ну или где факты?

3.23, Дегенератор (ok), 07:49, 19/06/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Это фичи. Пример с Хромом на Винде: я вошел в синхронизированный аккаунт гугл, пароли на сайты сохраняются и вводятся автоматически. При попытке просмотра пароля нужно ввести пароль текущего пользователя винды. Случайный человек, на несколько секунд получивший доступ к браузеру испытает неудобство при желании подсмотреть содержимое пароля. Причем сессия доступности для просмотра пароля ограничена временем. А что в "дружественном сделанном людьми для людей"? Ты маслаешь мастер-пароль каждый раз при запуске браузера, при этом если не закрыт браузер - "для людей", любой мгновенно просмотрит содержимое паролей. (Ну да, сразу посыпятся советы "блокируй вручную/поставь автоблокировку". Но мне удобно использовать автовход с учетными данными, которые не знают другие пользователи, но работают с этой учетной записью).

4.26, Анон111 (?), 09:25, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
Опция называется "Использовать мастер-пароль". Ты оправдываешь свой ник. Пользуйся и дальше гуглозондами.

5.32, Дегенератор (ok), 12:30, 19/06/2019 [^] [^^] [^^^] [ответить]

+/–

> Опция называется "Использовать мастер-пароль".
> Ты оправдываешь свой ник.
> Пользуйся и дальше гуглозондами.

Спасибо, Кэп.

4.28, ыы (?), 09:54, 19/06/2019 [^] [^^] [^^^] [ответить]

+2 +/–

>я вошел в синхронизированный аккаунт гугл,

Вы отдали ключи от квартиры случайному прохожему на улице с целью чтобы он открывал вашу квартиру за вас...и утверждаете что это вам это очень удобно.

Гедонизм как показывает практика кончается плохо.

5.33, Дегенератор (ok), 12:35, 19/06/2019 [^] [^^] [^^^] [ответить]	+/–
>>я вошел в синхронизированный аккаунт гугл, > Вы отдали ключи от квартиры случайному прохожему на улице с целью чтобы > он открывал вашу квартиру за вас...и утверждаете что это вам это > очень удобно. > Гедонизм как показывает практика кончается плохо. Да, я отдаю ключи от своей квартиры случайным прохожим с улицы. Но я не хочу, чтобы эти ключи (доступ в эту квартиру) получили мои родственники. Можно примеры практики проблем с хранимыми паролями в Гугл и статистику насколько это безопаснее в аккаунте ФФ?

1.30, анонимчик (?), 10:39, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
в void-е уже накатили

1.31, Анимайзер (?), 11:37, 19/06/2019 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> уязвимость позволяет атакующему получить контроль за системой и выполнить код с правами браузера

Один из вариантов использования этой уязвимости - установить криптомайнер, который будет ночью тихонечко майнить крипту, пока все спят и ни о чём не догадываются. Биток то уже по 9K$, возникает большой соблазн!

ПС: И как защититься от этой и от других подобных уязвимостей? Не отключать же JavaScript совсем?!

2.40, мяя (?), 15:16, 20/06/2019 [^] [^^] [^^^] [ответить]	+/–
Клать бинарник в папку с только для чтения, выполнение только для firefox.exe, а саму лису запускать от другого пользователя в песочнике. Будут неудобства с пробросом данных для лисы зато безопасно. Даже если какой-то там майнер пролезет то после перезапуска лисы он слетит, а если попытается записаться как дополнение то тоже слетит т.к. он будет не подписанным.

2.42, Аноним (42), 17:39, 20/06/2019 [^] [^^] [^^^] [ответить]	+/–
> 2019 > майнить бетховен в браузере

игнорирование участников | лог модерирования

Добавить комментарий

Текст: