форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление Firefox 36.0.4 с устранением критической уязвимости"	+/–
Сообщение от opennews (??) on 22-Мрт-15, 08:12
Доступно (https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/) корректирующее обновление web-браузера Firefox 36.0.4, в котором устранена критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-28/) (CVE-2015-0818), позволяющая организовать выполнение произвольного JavaScript-кода с повышенными привилегиями доступа ко внутренностям браузера. Проблема проявляется при обработке специально оформленных SVG-изображений. Атака с использованием данной уязвимости была продемонстрирована на недавно проведённом конкурсе  Pwn2Own 2015 (http://www.opennet.ru/opennews/art.shtml?num=41879), в рамках которого были представлены zero-day уязвимости для всех значительных браузеров. Проблема также устранена в Firefox ESR 31.5.3 и SeaMonkey 2.33.1. Позавчера, почти сразу после конкурса был представлен (https://www.mozilla.org/en-US/firefox/36.0.3/releasenotes/) выпуск Firefox 36.0.3, в котором было заявлено устранение раскрытых на соревновании Pwn2Own проблем (список (https://www.mozilla.org/en-US/security/advisories/) исправленных уязвимостей был обновлён с запозданием), но на деле исправлена одна критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/) (CVE-2015-0817), связанная с ошибкой обработки типизированных массивов в JIT-компиляторе, используемом в asm.js. Уязвимость может привести к выполнению кода в системе. Так как в соревновании были представлены 3 уязвимости, судя по всему, одна проблема пока остаётся неисправленной (до выпуска исправления участники соревнования Pwn2Own не имеют право публично разглашать подробности). URL: https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/ Новость: http://www.opennet.ru/opennews/art.shtml?num=41884
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	–1 +/–
Сообщение от Аноним (??) on 22-Мрт-15, 08:12
Теперь опять торброузер пересобирать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+2 +/–
	Сообщение от Аноним (??) on 22-Мрт-15, 11:04
	SELinux/Apparmor/etc. Вне этих систем браузер запускать опасно, как по мне.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	11. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Аноним (??) on 22-Мрт-15, 13:13
	Ога, давайте пробурим дно лодки, а потом попытаемся вычерпывать воду вовремя.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	13. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+2 +/–
	Сообщение от Аноним (??) on 22-Мрт-15, 13:17
	Нет. Проектируем лодку так, чтобы когда возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	40. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от anonymous (??) on 22-Мрт-15, 20:17
	Только вот вбивать цифири номера кредитки всё равно придётся лезть в затопленный отсек...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	43. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Аноним (??) on 22-Мрт-15, 21:19
	Почему затопленные? У тебя ведь не один отсек, а несколько отсеков с браузером в чем беда?
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

	45. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Аноним (??) on 23-Мрт-15, 00:43
	>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка Да-да, про "Титаник" именно так и говорили.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	49. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от SkyRanger (ok) on 23-Мрт-15, 09:15
	>>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка > Да-да, про "Титаник" именно так и говорили. Титаник затонул не поэтому, если в самый непотопляемый корабль пониже ватерлинии запулить в ряд по 3 торпеды, результат будет тот же, плюс кривые руки капитана тоже внесли свою лепту...
	Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

	27. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от anonymous (??) on 22-Мрт-15, 18:22
	SELinux - развлечение для рута, простым пользователям он не доступен. Но есть одна забавная опция. Вернуть javascript в интерпретируемый режим. И огородить. А на скорость забить, только больной извращенец будет писать полноценную прогу в браузере.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
Сообщение от Аноним (??) on 22-Мрт-15, 11:21
а нечего хранить секреты во внутренностях браузера. и вообще пользуйте вебкиоск под виртуалкой :) к примеру, я пользуюсь альтовским сборочным цехом (см. http://www.altlinux.org/Mkimage/Profiles/m-p) для создания себе свежего живого вебкиоска и других live-интересностей, которыми пользуюсь как в виртуальной среде, так и на широком спектре техники от десктопов до портативных пк (в том числе и на маках). кстати, в starterkits у альта есть live-образ сборочного цеха (*-builder-*) для тех у кого нет желания устанавливать альт. да простит меня Михаил за не скрытую рекламу :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от бедный буратино (ok) on 22-Мрт-15, 12:07
	а можно собрать такую фигню, чтобы содержала только ядро и initrd?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	14. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Аноним (??) on 22-Мрт-15, 13:52
	> а можно собрать такую фигню, чтобы содержала только ядро и initrd? можно
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	18. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от paulus (ok) on 22-Мрт-15, 15:24
	возьми PRA linux и не используй не нужные модули. http://goo.gl/h1GMeV
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	37. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	–1 +/–
	Сообщение от Michael Shigorin (ok) on 22-Мрт-15, 19:52
	> и вообще пользуйте вебкиоск под виртуалкой :) > [...] для тех у кого нет желания устанавливать альт. Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12 > да простит меня Михаил за не скрытую рекламу :) Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно понял. "Рекламу" было бы здорово увидеть в форме статьи о том, как именно пригодилось (и что не так); кстати, есть http://altlinux.org/starterkits/builder PS: завтра в сизиф долетит собственно сабж(tm): https://twitter.com/girar_builder/status/579658937772953600 PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	41. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от frak (ok) on 22-Мрт-15, 20:54
	> Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12 согласен, у пользователей альта, в этом плане, удобства на лицо :) > Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно > понял. все ок. я все понимаю и ожидания в данном случае того стоят. > "Рекламу" было бы здорово увидеть в форме статьи о том, как именно > пригодилось (и что не так)... больная тема отсутствия времени и лени при присутствии оного...   > PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент > Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp моя вина - лень логиниться было и троллей подкормил :)
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	42. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Michael Shigorin (ok) on 22-Мрт-15, 21:02
	Ответ ушёл почтой, чтоб не заспамливать обсуждение -- но всяко рад слышать!
	Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

	47. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Аноним (??) on 23-Мрт-15, 03:59
	> PS: завтра в сизиф долетит собственно сабж(tm) А убунтуи как обычно релизнули на день раньше и в основную репу. Вот как они ухитряются сделать так что их системой пользоваться удобно? ;)
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

7. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
Сообщение от Аноним (??) on 22-Мрт-15, 11:51
36-й релиз у нас что, LTS? Уже четвёртое обновление!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+1 +/–
	Сообщение от Аноним (??) on 22-Мрт-15, 12:08
	Firefox 38 должен быть LTS/ESR
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	–1 +/–
Сообщение от iZEN (ok) on 22-Мрт-15, 14:51
Во FreeBSD порт Firefox оперативно обновили: http://www.freshports.org/www/firefox/ (пишу из него)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "Обновление Firefox 36.0.4 с устранением критической уязвимости"	+3 +/–
	Сообщение от Аноним (??) on 22-Мрт-15, 17:00
	У меня и моих подопечных лиса работает без нареканий.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	24. "Обновление Firefox 36.0.4 с устранением критической уязвимости"	+3 +/–
	Сообщение от th3m3 (ok) on 22-Мрт-15, 17:10
	Всё нормально в Firefox. Не знаю, откуда вы такие всё вылазите с зондами от гугла.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	28. "Обновление Firefox 36.0.4 с устранением критической уязвимости"	+2 +/–
	Сообщение от Xasd (ok) on 22-Мрт-15, 18:23
	> Ацкое глюкалово дауж, вся проблема Firefox -- это слишком много свободы для настроек и кастумизаций... :) в результате появляются такие как ВЫ -- накрутят галочек и всяких расширений, а потом плачут мол "глюкалово".. дефолтный Firefox -- (и без: плагинов\расширений\резалок_рекламы) -- работает шустро и не глючит.. а что вы там себе наизменяли-и-наустанавливали это ваши индивидуальные проблемы. не нужно валить вашу вину на Firefox > Не удивительно, что доля Мозиллы среди браузеров всё падает и падает не удивитеьно -- потому что в Google Chrome лучше (продуманее) GUI чем в Firefox и более активная пропаганда Chrome от Google. кой-какие улучшения относительно GUI в Firefox уже предпринты -- но этого мало. нужно больше перенимать хорошего от Chrome (и меньше обращать внимания на визги старпёров с синдромом утёнка). и ещё у Firefox есть главное (хорошее) отличие от Chrome -- это уважение к частной жизни пользователя... нужно не забывать об этом. то есть -- дальше-и-дальше перенимать _хорошие_ идеи от Chrome, но при этом НЕ забывать про уважение к частной жизни пользователя.. а кому нужна одна лишь сраная производительность -- пусть валят на Google Chrome.. нам в сообществе такие Firefox-пользователи не нужны.. :-)
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Часть нити удалена модератором

	33. "Обновление Firefox 36.0.4 с устранением критической уязвимости"	+/–
	Сообщение от Xasd (ok) on 22-Мрт-15, 19:12
	> После того, как Firefox 29 стал похожим на Хром, у меня уже не оставалось причин сидеть именно на нём то есть раньше ты сидел на Firefox *ТОЛЬКО* лишь потому тебе было *привычно* использовать старое GUI? (явно уже не отвечающее современным стандартам качества GUI) ОК! такие пользователи как ты (которые продолжали сидеть на Firefox только благодаря своей привычке) -- совершенно не являются теми пользвоателями, на которых можно ориентироватсья при разработке программы: 1. если ввести новый (качественно правильный) функционал в программу -- то вы начинаете психовать типа -- "зачем всё поменяли! всё и так было хорошо! я ещё не успел привыкнуть!". 2. а если НЕ вводить новый функционал то вы всё равно уйдёте на другую программу, но лишь с той разницей что сделаете это чуть позже -- в момент внезапного озарения (типа: "а ведь Google Chrome не так уж и плох! а вот этот Firefox совсем уже давно перстал развиваться!!") другими словами -- вы тот самый паразитный слой пользователей, который мешает программистам делать хорошие программы, вводить правильные улучшения. приведу аналогию: представь что ты живёшь с капризной девушкой и выполняешь всё её капризы, а иначе она *грозится_уйти* от тебя. поэтому, ты стараешься выполнять КАЖДЫЙ её каприз -- досконально точно... а потом эта девушка всё равно уходит от тебя со словами "я не люблю подкаблучников, ты не похож на настоящего самца! как личность -- ты безинициативная пустышка". ну зачем ты нужен, такой пользователь, если ты не ценишь в Mozilla старания которые эта компания делает для охраны твоей личной жизни? для тебя сделали PDF.js (чтобы хакеры тебя не взламывали через PDF-файлы, а ты только ворчишь про производительность..)
	Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

Часть нити удалена модератором

	36. "Обновление Firefox 36.0.4 с устранением критической уязвимости"	–1 +/–
	Сообщение от Xasd (ok) on 22-Мрт-15, 19:37
	> Этот комментарий имел бы смысл в том случае, если Firefox сохранил своё > лицо после преобразований, а не стал бы жалкой копией Хрома, как > и тысяча его клонов. то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI -- это действительно заслуга разработчиков Хрома. а то что ты по своей старпёрской привычке лично-ты не хочешь это признать -- это лишь твоя личная психологическая проблема. или ты хочешь сказать что кроме GUI -- разработчики Firefox что-то ещё "скопировали" из Хрома? или ты считаешь что Firefox теперь также как и Chrome -- завешан во всю зондами? (которые отправляют Гуглу информацию на каждый чих пользователя?) и потом: если даже предположить что теперь Firefox стал таким же как Chrome -- то какой смысл пользоваться Хромом? или ты что-то не договариваешь? а может ты вообще ни когда не любил Firefox и тебе завидно что теперь и у Firefox тоже (как и у Chrome) замечательный GUI? :-) # P.S.: а может ты -- как раз один из тех людей кто привыкли использовать ТОЛЬКО_САМОЕ_ЛУЧШЕЕ(!) ??.. если архитатор, то только WinRAR (потому что WinRAR самый лучший!!), если музыкальный плеер, то только WinAMP (потому что WinAMP самый лучший муз-плеер!)... если браузер -- то тоже только самый лучший! (а самым лучшим браузером наверняка считается официально Google Chrome.. а все остальные браузеры лишь жалкие догоняющие)
	Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

	46. "Обновление Firefox 36.0.4 с устранением критической уязвимости"	+1 +/–
	Сообщение от dcsdcds on 23-Мрт-15, 02:46
	> то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI Не верил что есть люди которые на самом деле так считают, но вот надо же, увидел. Наверное и остальное г многих в восторг приводит. М-да, пичалька. А так то известно что у гугла, по определению, вообще все гуано кроме поиска. Но это и хорошо. А то бы он всю планету уже пожрал.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

29. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
Сообщение от grec on 22-Мрт-15, 18:26
> ко внутренностям браузера. Режет слух как-то.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	48. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Есюки on 23-Мрт-15, 06:07
	Выражение "Режет слух как-то", как-то слух режет.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

50. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
Сообщение от qwerty (??) on 23-Мрт-15, 12:36
Все же, не пойму комментаторов пользующих браузер в в виртуалке который уверены что защищенный на 100%.  Суть конкурса как я понял, деньги дают за багу в браузере, не кто не искал баги в виртуалки, в ядре, и т.д.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	51. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от frak (ok) on 23-Мрт-15, 15:28
	суть в том, что баги в браузерах были, есть и будут. и понятно же, что в реальности их находят раньше, чем их находят "официально". А следовательно и стать "жертвой баги" вполне реально до ее исправления. Про 100% защищенность, пожалуйста, не надо - никто не говорил об этом, ибо не бывает :) А вот использование livecd с вебкиоском в виртуалке - где вы загрузились в браузер с "чистой" средой, зашли на нужный вам сайт (предполагается, что доверенный), произвели оплату/и т.п., выключили виртуалку (и следовательно обнулили среду) - мне не кажется странным. Также данный подход можно использовать для походов по подозрительным/заведомо вредоносным сайтам без особой опаски для хостовой системы - шансов, что через браузер гостевой системы ломанут хост гораздо меньше :) P.S. в качестве виртуалки, в данном контексте, я для себя использую VirtualBox.
	Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

	52. "Обновление Firefox 36.0.4 с устранением критической уязвимос..."	+/–
	Сообщение от Аноним (??) on 23-Мрт-15, 20:08
	Не на 100%, но лучше чем без. http://www.opennet.ru/openforum/vsluhforumID3/101804.html#25
	Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема