The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел Firefox 2.0.0.12 с исправлением 10 проблем безопасности

08.02.2008 10:49

Анонсирован выход Firefox 2.0.0.12 с исправлением 10 проблем безопасности, три из которых отмечены как критические.

Наиболее серьёзные проблемы:

  • MFSA 2008-06 - ошибка реализации режима "designMode", которую можно использовать для получения информации об истории открытия страниц пользователем, вызова краха браузера или выполнения кода злоумышленника;
  • MFSA 2008-03 - удаленный запуск кода злоумышленника вне изолированного окружения. Использование XMLDocument.load() для подстановки скрипта, который будет выполнен в контексте другого сайта (XSS);
  • MFSA 2008-01 - вызов краха браузера или повреждения памяти, через выполнение некорректного JavaScript;
  • MFSA 2008-05 - скрипт злоумышленника может загрузить javascript или css файл с локальной машины, что, например, может быть использовано для чтения информации о cookie открытых страниц, через загрузку sessionstore.js;
  • MFSA 2008-04 - при сохранении пароля на сайте злоумышленника, возможна подстановка новой записи или порча содержимого базы сохраненных пользователем паролей;
  • MFSA 2008-08 - скрипт атакующего может переключить фокус по таймеру и закрыть окно уведомления системы безопасности.

Также можно отметить выход обновления пакета SeaMonkey 1.1.8.

Дополнение: Через несколько часов после выхода релиза Firefox 2.0.0.12 была найдена новая уязвимость (утечка информации через выполнение локальных javascript файлов).

  1. Главная ссылка к новости (http://developer.mozilla.org/d...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/14098-firefox
Ключевые слова: firefox, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, guest (??), 11:28, 08/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Млин! Когда они наконец-то уволят Window Snyder и наймут разработчиков с прямыми руками?!
    Неужели корпорация с многомиллионным доходом не может позволить себе десяток полноценных разработчиков?
     
     
  • 2.9, Michael Shigorin (ok), 12:52, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, Вы просто не понимаете того, что сложный нетривиальный во многом до сих пор наследственный код одними разработчиками не правится.

    Тётка занимается совсем другим -- управлением.  Если Вам лично не повезло и с толковыми манагерами никогда не сталкивались -- ну, желаю столкнуться.

    До тех пор проще не задумываться, это другой уровень как проблем, так и решений, чем тот, которым Вы оперируете.

     
  • 2.11, spamtrap (ok), 13:18, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    под "разработчиков с прямыми руками" вы себя имеете ввиду?
     
  • 2.26, R007 (??), 04:16, 09/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Дружище, а ты возьмешься за эту же работу и готов ее сделать лучше?И прямо так железно уверен что управление таким немаленьким проектом у тебя получится лучше?Для таких как вы хочу сказать: исходники доступны.Заткнитесь и сделайте лучше.Если кишка не тонка.Вам все скажут огромное спасибо.

    P.S. языком трындеть не мешки ворочать.

     

  • 1.2, Аноним (2), 11:33, 08/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот в винде фаерфокс сам грит, что вышло обновление. А во фре ниче подобного не сообщает и не пытается скачать. Что каждый раз с сырцов пересобиарть и ждать появления в портах?
     
     
  • 2.5, Inspirra (ok), 12:08, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Если вы выбрали для себя FreeBSD - что же тогда Вам мешает пересобрать порт? FreeBSD для этого и предназначена.  
    И ждать ничего не надо:
    make -C /usr/ports/www/firefox DISTVERSION=2.0.0.12 PORTEPOCH="" PORTREVISION=""
    а если еще и deltup настроен, то и скачается всего 227 килобайт разницы меду 2.0.0.11 и .12

     
     
  • 3.7, ЩекнИтрч (?), 12:40, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    pkg_info | grep need
    :)
     
     
  • 4.8, ЩекнИтрч (?), 12:45, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >pkg_info | grep need
    >:)

    Пардон, пардон, пардон!!!
    Перед этим порты накатить нужно, конечно :)
    А то, вдруг, вы упустили это из виду :)


     
  • 4.13, Inspirra (ok), 13:53, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял, что именно Вы хотите увидеть?
    Это?:
    # pkg_info -E firefox-2\*
    firefox-2.0.0.12
    # firefox --version
    Mozilla Firefox 2.0.0.12, Copyright (c) 1998 - 2008 mozilla.org
     
     
  • 5.16, ЩекнИтрч (?), 16:09, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    О чем вы? Я предлагал pkg_info -E firefox-2\* ?
    Или таки pkg_info | grep need ?
     
     
  • 6.17, ЩекнИтрч (?), 16:11, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вот так попробуйте
    pkg_version -v | grep "need"
     
     
  • 7.19, Inspirra (ok), 16:49, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    я не понимаю смысла показывать этот вывод... Вы хотите увидеть, что firefox-2.0.0.12 < firefox-2.0.0.11 - ну и что с того?..
     
     
  • 8.20, Аноним (20), 18:06, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    pkg_version сравнивает версию установленного пакета с версией в портах предпола... текст свёрнут, показать
     
     
  • 9.25, Inspirra (ok), 03:33, 09/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    я не понимаю - чем может помешать принудительное обновление firefox или других ... текст свёрнут, показать
     
  • 3.15, greyork (??), 14:52, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А можно про использование deltup поподробнее? Я почитал про него, но остались вопросы.
    Во первых, почему у FreeBSD нет собственного ("официального") deltup-сервера и, соответственно, можно ли использовать deltup в "продакшн"?
    И во вторых, почему в портах версия 0.4.2, в то время как на сайте есть версия 0.4.3. И, самое главное, исправлен ли баг с контрольными суммами для пожатых bzip2 дистфайлов? (про bzip2 подробности см. http://linux01.gwdg.de/~nlissne/isitsafe.html)
     
     
  • 4.18, Inspirra (ok), 16:41, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > А можно про использование deltup поподробнее?

    http://www.bsdportal.ru/viewtopic.php?t=12109&highlight=deltup

    > Во первых, почему у FreeBSD нет собственного ("официального") deltup-сервера

    Потому что эта фича нужна только не имеющим безлимитный интернет. Т.е. - попросту - функциональность не востребована.

    > и, соответственно, можно ли использовать deltup в "продакшн"?

    Не понял сути вопроса... Что этому может помешать?

    > И, самое главное, исправлен ли баг с контрольными суммами

    см. ссылку выше.

     
  • 3.21, FSA (??), 19:25, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще поставил вендовый Firefox под wine :) Работает отменно, да и к тому же с флешем проблем нет.
     
     
  • 4.22, FSA (??), 19:26, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    P.S. Забыл сказать, что поставил туда Firefox 3.0 beta.
     
  • 4.28, R007 (??), 04:22, 09/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я вообще поставил вендовый Firefox под wine :) Работает отменно, да и
    >к тому же с флешем проблем нет.

    А в линуксе какие проблемы с флешем то?У адобы-жлобы для линукса уж давно есть флешатина.С некоторой возней даже в х64 версии работает, хотя адобу все-равно факофф за игнорирование х64 платформы.

     
     
  • 5.29, Michael Shigorin (ok), 20:38, 09/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А в линуксе какие проблемы с флешем то?

    Сейчас ближе к никаким, кроме безопасности.  У нас вон security officer не поленился дорисовать скриптик к системе сборки пакетов в чруте -- hsh-run(1), чтоб запускать ff (или что угодно другое из пакетов) тоже в чруте :)

    >С некоторой возней даже в х64 версии работает, хотя
    >адобу все-равно факофф за игнорирование х64 платформы.

    Они не игнорируют -- ещё 8 (или 8.5?) надеялись спортировать на 64-битные платформы (и win64 тоже).  Там всё плохо внутри примерно настолько же, как в Lotus Notes (который оказалось проще переписать на базе Eclipse в виде Workplace, чем поотрывать предположения по части систем координат в API вывода, например).

    См. http://blogs.adobe.com/penguin.swf/2006/10/whats_so_difficult_64bit_editi.htm и по ссылкам в посте.

    Не судите опрометчиво (c) Ришелье...

     
  • 2.6, kost BebiX (?), 12:09, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот в винде фаерфокс сам грит, что вышло обновление. А во фре ниче подобного не сообщает и не пытается скачать. Что каждый раз с сырцов пересобиарть и ждать появления в портах?

    Зачем фрю ставил? Чтоб из репозиториев все получать? Ага, щас. Назвался друзем - компиль сорцы из svn :-)

     
  • 2.10, Аноним (-), 13:06, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    было бы странно, если ФФ, запущенный не от рута пытался обновиться. Вы так не думаете?
     
     
  • 3.14, GateKeeper (??), 14:03, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >было бы странно, если ФФ, запущенный не от рута пытался обновиться. Вы
    >так не думаете?

    Ну в винде же пытается :) До сих пор, кстати, не могу понять, откуда берутся запросы логина на проксю в еще не авторизованной сессии ФФ или ТБ у которых обновление всего и вся вырублено.

     
  • 2.12, spamtrap (ok), 13:21, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    "обновлятьСЯ" это фича для систем, не имеющих встроенного функционала для обновления
     
  • 2.27, R007 (??), 04:20, 09/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот в винде фаерфокс сам грит, что вышло обновление. А во фре
    >ниче подобного не сообщает и не пытается скачать. Что каждый раз
    >с сырцов пересобиарть и ждать появления в портах?

    А в кубунте появился значок наличия обновлений в трее.При его кликании манагер пакетов слил новую версию и инстальнул.Вы сами выбрали себе путь.Если он вам не нравится - кто вам доктор то?В мире есть системы оптимизированные на повседневное использование.А есть для тех кому охота по***ться долго и хардкорно.На все вкусы.Ну а выбор...выбор за вами.И это хорошо.Если вы умеете выбирать так чтобы потом не было мучительно больно.

     

  • 1.3, Grand piano (?), 11:40, 08/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ubunta с утра обновилась, как зайка просто )))) гы гы гы.
     
  • 1.4, Аноним (-), 11:45, 08/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а ФФ3 бета 3 тоже сегодня выйдет?
     
     
  • 2.24, Аноним (-), 20:12, 08/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Интересно, а ФФ3 бета 3 тоже сегодня выйдет?

    всё, нашёл, если всё будет ОК, выйдет 12 февраля: http://developer.mozilla.org/devnews/index.php/2008/02/07/firefox-3-beta-3-ex

     

  • 1.23, Аноним (20), 20:03, 08/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такс, что на этот раз поломали?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру