Релиз Firefox 3.6.2 с устранением уязвимости. Несколько связанных с Firefox событий

23.03.2010 10:19

Разработчики проекта Mozilla в экстренном порядке выпустили корректирующий релиз Firefox 3.6.2 в котором исправлена критическая уязвимость. Проблема связана с наличием целочисленного переполнения в коде декодирования WOFF-файлов, в результате чего можно инициировать загрузку шрифта в буфер значительно меньшего размера, чем размер загружаемых данных. Успешное проведение атаки позволяет злоумышленнику организовать выполнение кода с привилегиями запустившего браузер пользователя.

Следует отметить, что поддержка формата Web Open Font Format (WOFF), используемого для распространения шрифтов OpenType, Open Font Format или TrueType в сжатом виде, появилась начиная с Firefox 3.6, т.е. уязвимость не затрагивает прошлые ветки браузера 3.0 и 3.5. Релиз 3.6.1 был пропущен). Внеплановый выпуск корректирующего релиза Firefox 3.6.2 связан с появлением в сети рабочего эксплоита.

В дополнение можно упомянуть несколько связанных с Firefox событий, произошедших в последние дни:

Опубликована первая статистика изменения рыночной доли web-браузеров после вступления в действие требования о предоставлении возможности выбора браузера для дальнейшего использования после установки Windows на территории Евросоюза (появляется окно в котором в случайном порядке предлагается на выбор установить Internet Explorer, Firefox, Opera, Chrome, Safari и несколько других альтернативных браузеров). Спустя три недели после внесения данного изменения доля Internet Explorer уменьшилась c 50 до 47%, доля Firefox напротив выросла с 34 до 38%.
Вышла третья тестовая версия Gecko 1.9.3 (Firefox 3.7 Alpha 3), которая послужит основой для создания релиза Firefox 4.0. По сравнению со второй альфа версией осуществлен переход на улучшенный механизм распределения памяти, который позволит защититься от целого ряда уязвимостей, связанных с разыменованием NULL-указателей. Кроме того, для платформы Windows добавлена реализация бэкенда для вывода на экран с использованием технологии Direct2D, улучшена поддержка изолированного выполнения плагинов, расширены возможности JS-ctypes API.
Доступна статистика, накопленная в результате исследования активности использования различных элементов меню пользователями Firefox. С большим отрывом лидирует кнопка закрытия таба, примерно в два раза опережая кнопку открытия, которая в свою очередь в два раза популярнее использования блока закладок, кнопки возврата на прошлую страницу и перезагрузки содержимого страницы.
Представлены победители конкурса по созданию концепции оформления домашней вкладки Firefox. В одном из будущих выпусков Firefox планируется переместить блок вкладок (табов) в верхнюю часть страницы, отдельно выделив всегда доступную вкладку "Home", над оформлением которой и было предложено подумать энтузиастам. Победители выбраны жюри и объявлены в категориях: инновации, оформление, рискованный подход, практичность и реализуемость. Победители, выбранные в результате общественного голосования, были названы ранее.
Анонсирован конкурс разработчиков расширений для мобильной версии Firefox. В рамках конкурса предлагается создать любое полезное дополнение к Firefox Mobile. Работы принимаются до 12 апреля. Авторы 10 лучших дополнений получат в качестве приза телефон Nokia N900.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/25913-Firefox

Ключевые слова: Firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, Zenitur (?), 11:03, 23/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
3.6.2? А был ли 3.6.1? Вчера ещё не было...

2.14, tumkir (?), 12:43, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Номера версий даются в соответствие с номером Gecko. У fx 3.6.2 gecko 1.9.2.2, а gecko 1.9.2.1 была у Firefox for mobile.

3.33, Zenitur (?), 19:43, 24/03/2010 [^] [^^] [^^^] [ответить]	+/–
Спасибо! Очень полезная информация - просто так её не узнаешь... Вот 64-битная версия браузера. Сам собирал... Минусы: не запускается в дистрибутивах 2007 года и младше (просит библиотеку libgio, а официальаня 32-битная версия не просит!), на 7 мегабайтов больше официальной. Плюсы: содержит в себе последнюю версию 64-битного Adobe Flash, а также русскую и английскую версию сразу. http://www.filehoster.ru/files/ex5870

1.2, Vitto74 (ok), 11:24, 23/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Жаль, что для вывода на экран используют Direct2D. Надеюсь, что они передумают и сделают ускорение вывода с помощью OpenGL.

2.3, Аноним (-), 11:28, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
>Жаль, что для вывода на экран используют Direct2D. Надеюсь, что они передумают и сделают ускорение вывода с помощью OpenGL Ну напишите им письмо, в котором технически грамотным языком объясните им, что Direct2D на винде - это плохо, a OpenGL - хорошо. Они там люди грамотные, если убедите их - поменяют.

3.6, Vitto74 (ok), 12:08, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
>Ну напишите им письмо, в котором технически грамотным языком объясните им, что >Direct2D на винде - это плохо, a OpenGL - хорошо. Они >там люди грамотные, если убедите их - поменяют. Дело не в том, то Direct2D это плохо, а в том, что если ускорение на других платформах будет, то это все равно будет OpanGL и поддерживать одновременно свой метод ускорения на каждой платформе сложнее. С этой точки зрения OpenGL лучше. Я просто не понимаю выбор разработчиков.

4.11, svchost (ok), 12:22, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
А винда умеет ускорение браузера через OpenGL? Там все эти фишки (типа dxva, например) работают через DirectX.

5.12, Vitto74 (ok), 12:25, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Я бы задал вопрос по другому: что умеет Direct2D и не умеет OpenGL?

6.18, тоже Аноним (?), 13:46, 23/03/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Работать в свежеустановленном ХР с MS-драйверами видеокарты. Поддержка OpenGL там практически отсутствует :(

7.23, Vitto74 (ok), 19:28, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
>Работать в свежеустановленном ХР с MS-драйверами видеокарты. >Поддержка OpenGL там практически отсутствует :( А еще на MS-драйверах половина игр не идет. В этом разработчики игр виноваты? А еще по умолчанию нет Flash, но разработчики опять в этом не виноваты. Браузеры просто выводят предложение его установить. Это в порядке вещей. PS если человек не осилил установку дров с диска, который ему с компом дали, то и до установки firefox вряд ли дойдет.

8.32, тоже Аноним (?), 19:16, 24/03/2010 [^] [^^] [^^^] [ответить]	+/–
При чем тут виноваты Просто реалии таковы, что никто не гарантирует работу Op... текст свёрнут, показать

3.21, linux4ever (?), 17:11, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Потом мозиловцам отвечать за даунов не поставивших драйверы производителя видеокарты?

2.5, dimqua (ok), 12:02, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Не все ли равно, что там на винде?

3.8, User294 (ok), 12:14, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Вебмастерам например не все равно. Сайты делаются для юзеров, ага?

1.4, timurkin (?), 12:00, 23/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Да уж... А вот посмотрим, когда выйдет IE 9. Сильно ли он будет отличаться от Fx? Думаю, что нет. :-)

2.7, User294 (ok), 12:13, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Только вот кому и нафиг нужен IE9? Да, конечно, ускорение графики это круто. Вот только он canvas не умеет. И что будет ускоряться в итоге? Также попиарив поддержку стандартов MS прошел ACID3 аж до 55 пунктов. Орлы, блин! У MS пиар как всегда опережает здравый смысл. А меганазойливую рекламу удавить? Скрипты для некоторых сайтов отключить? Темку внешнего вида сменить? Это все у MS можно, или "как обычно"?

3.13, zoonman (ok), 12:29, 23/03/2010 [^] [^^] [^^^] [ответить]	+2 +/–
Идет студентка в магазин и покупает ноут с вин7, в котором уже ие8. Докупает туда юсб модем и сидит в одноклассниках. И думать не надо. Думать - это больно! Аналогичных примеров миллионы. А все начинается со школы. Потому что будучи ребенком она первую игру запустила под виндовс. Первый интерфейс, который она увидела был виндовс. Это стадо. Им помахали тряпкой и сказали "круто". Они повелись. Если завтра по ящику покажут Линукс с кде4 и спецэффектами от компиза да еще и скажут "все халявное!", а еще вставят юсб модем и откроются одноклассники с фкантактом, то тогда Линь и получит признание и популярность. А пока этого всего нет, нечего говорить о том, что нововведения в ие9 никому не нужны. Они вам ненужны. В МС обкатают новую технологию на ие9. А в ие10 введут и канву. Онлайн-игры перепишут. Не волнуйтесь. Но вот будущее МС весьма сомнительно. И это радует!

4.16, User294 (ok), 13:08, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
Вин 7 на ноуте добавляет к его цене ~3 штуки деревяшек. Такую математику понимают даже дебилы - когда вопросы заходят о бабках, все почему-то резко умнеют :).А студенты кормят рыб на флеше в своем фкантактике и им в общем то ишак не сильно сдался. А вот то что через него вирусни больше цепляется - медицинский факт. Во всяком случае, после пересадки знакомых юзеров на фокс я куда как реже выгребаю срач из их систем, и то - это г теперь с флех и из левых кряков цепляют.

5.22, zoonman (ok), 17:22, 23/03/2010 [^] [^^] [^^^] [ответить]	–2 +/–
Да. Фокс более менее адекватен во всех отношениях. Я тоже стараюсь пересаживать всех знакомых на СПО. Даже линукс-инсталл-фест проводили. Только все равно надо пиар по-крупному делать. Такой, чтобы был агрессивным и резким. Чтобы реклама по телеку на первом канале была. Чтобы на мейл.ру баннер "скачай бубунту или мандриву и т.д." или "прокачай комп - обнови ядро!" ;) Хотя, до этого надо все-таки потрудиться: сделать клоны AIMP и QIP, хороший редактор для создания домашнего видео, и тему с аккуратными компактными виджетами. Ну и самое главное, чтобы игры шли. Пока нет крутых игр, Линь ничто по сравнению с форточками.

6.24, Lain_13 (?), 21:01, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
> Пока нет крутых игр, Линь ничто по сравнению с форточками. Ололо, сказали пользователи игровых приставок и продолжили играть так и не запустив на линуксе ни чего сложнее scummvm (да и то не все), но это уже тема для другого сайта.

6.25, use (?), 21:29, 23/03/2010 [^] [^^] [^^^] [ответить]

+/–

>Только все равно надо пиар по-крупному делать. Такой, чтобы был агрессивным и резким.

Не дай бог, честное слово.

>сделать клоны AIMP и QIP

Зачем? Разве аналогов не достаточно?

>Ну и самое главное, чтобы игры шли. Пока нет крутых игр, Линь ничто по сравнению с форточками.

А ещё есть извращенцы, что под Wine запускают. Я в том числе. Конечно, не всё удаётся, но всё же.

6.27, h31 (ok), 23:55, 23/03/2010 [^] [^^] [^^^] [ответить]

+/–

>Хотя, до этого надо все-таки потрудиться: сделать клоны AIMP и QIP, хороший редактор для создания домашнего видео, и тему с аккуратными компактными виджетами.

Уже всё есть. Qmmp, Qutim, Kdenlive/OpenShot, Ambiance/Radiance.
>Ну и самое главное, чтобы игры шли. Пока нет крутых игр, Линь ничто по сравнению с форточками.

Что вы все за эти игры уцепились?

6.28, polymorphm1 (ok), 02:19, 24/03/2010 [^] [^^] [^^^] [ответить]	+/–
> сделать клоны AIMP и QIP ... о боже!! только не это!!!

7.30, аноним (?), 03:03, 24/03/2010 [^] [^^] [^^^] [ответить]	+/–
Выдыхай. AIMP нормальный плеер, красивый и стабильный.

8.31, Пронин (?), 08:11, 24/03/2010 [^] [^^] [^^^] [ответить]	+/–
Apollo попробуй Как наркотик ... текст свёрнут, показать

3.20, me (??), 16:35, 23/03/2010 [^] [^^] [^^^] [ответить]	+1 +/–
>>MS прошел ACID3 аж до 55 пунктов Можно даже придумать хорошую рекламу для IE - "ни один из современных браузеров не обеспечивает поддержку стандартов на уровне IE9".

1.9, jura12 (??), 12:18, 23/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а чем шрифты ttf кодировать в WOFF?

2.10, Аноним (-), 12:20, 23/03/2010 [^] [^^] [^^^] [ответить]	+/–
>а чем шрифты ttf кодировать в WOFF? Эксплоитом можно :-)

2.29, polymorphm1 (ok), 02:21, 24/03/2010 [^] [^^] [^^^] [ответить]

+/–

> а чем шрифты ttf кодировать в WOFF?

лучше ничем -- это слишом геморойно и безсмысленно

ttf+eot и так хорошо работают

(eot <-- для IE, через консольную утилиту ttf2eot)

1.15, anonymous (??), 12:58, 23/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> неплановый выпуск корректирующего релиза Firefox 3.6.2 связан с появлением в сети рабочего эксплоита. Только по ссылке как раз пишут что не рабочий. Да и так, автор свой продукт пиарнуть захотел, похоже, мутная история.

1.26, pa (??), 22:34, 23/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>сделать клоны AIMP и QIP Для AIMP - аналог Audacious и Qutim плохой аналог QIP-у.

1.34, Аноним (-), 13:36, 25/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Лучше подскажите как настроить геолокацию под FireFox.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: