The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости

12.02.2016 08:43

Доступны корректирующие выпуски Firefox 44.0.2 и 38.6.1 ESR, в которых устранены критические уязвимости. Кроме изменений, связанных с безопасностью, в выпуске Firefox 44 также устранена ошибка, приводившая к крахам и зависаниям во время запуска браузера на платформе Windows.

  • В выпуске 44.0.2 устранена уязвимость (CVE-2016-1949), позволяющая через манипуляции с Service Workers и Flash-плагином обойти механизм same-origin и получить доступ к данным сайта, открытом в другом окне.
  • В 38.6.1 обновлена библиотека graphite2, в которой исправлена уязвимость (CVE-2016-1523), позволяющая организовать выполнение кода при обработке специально оформленного шрифта (в Firefox 44 используется версия Libgraphite 1.3.5, которая не подвержена проблеме).


  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Обновление Firefox 44.0.1. Представитель Mozillа вошёл в Совет по архитектуре Интернета
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43859-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, АнонимХ (??), 08:56, 12/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >оформленного шрифта

    Если бы не мода пихать в шрифты картинки (изображения контролов), как на гитхабе, давно бы отказался от загружаемых шрифтов.

     
     
  • 2.9, paulus (ok), 13:12, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    да, раньше можно было спокойно жить без подгружаемых шрифтов :(
     
  • 2.15, Аноним (-), 15:10, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Люто плюсую! Там еще twitter и дофигища всего прочего :(
     

  • 1.3, Аноним (-), 09:11, 12/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Приводящая к крахам и зависаниям В ВИНДЕ
     
     
  • 2.5, botman (ok), 10:25, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Буквально вчера вечером отцу в Windows 10 брат кинул ссылку на сайт объявлений где не отрабатывался переход между фотками. Не скажу что это крах и зависание но глюк пропал именно после обновления 44.0.1 до 44.0.2. А на YouTube и без этого хватает косяков, ну и что что это не в виндовс.
     
     
  • 3.11, meequz (ok), 14:33, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И как, выжил?
     
  • 3.22, Led (ok), 00:10, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    вендузятники должны страдать.
     

  • 1.6, QuAzI (ok), 10:28, 12/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Осталась уязвимость, при которой переданные в строке URL параметры авторизации для FTP (адрес вида ftp://login:pass@host) передаются на третью сторону при наличии в пароле некоторых символов. Пользователь это видит как отрытие указанного урла в строке поиска.
    А ещё есть у линухового Skype есть весёлая уязвимость передающая данные авторизации налево. Если вход на сайт защищён авторизацией (имеется ввиду авторизация на уровне http-сервера, а не веб-морды), то Skype при клике на ссылку в сообщениях спрашивает к ней логин/пароль. Диаложка ввода выглядит как браузерная. И внимания бы не обратил, если бы следом браузер ОПЯТЬ не спросил бы авторизацию.
     
     
  • 2.8, Аноним (-), 12:09, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Багрепорт уже отправлен, надеюсь?
     
     
  • 3.10, Аноним (-), 13:14, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В MS забили на Skype for Linux, новых версий можно вроде как не ждать. [http://community.skype.com/t5/Linux/Skype-5-0-for-linux/td-p/1068146/page/15&
     
     
  • 4.12, Аноним (-), 14:46, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Удалите скобку в конце ссылки, тогда откроется.
     
  • 4.13, Аноним (-), 14:54, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В MS забили на Skype for Linux

    И правда – cовсем неожиданный поворот событий! Ведь кто бы мог предположить!

    *вспоминает, как еще пару месяцев назад некоторые особо упоро^W одаренные убунтоводы опеннета, важно надувая щеки, с гордостью заявляли, что-де у них скайп из коробки, в отличии от всяких проприетарных подстилок!*

     
     
  • 5.21, q47568756 (?), 23:32, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Запустить Skype для браузера БЕТА
     
     
  • 6.24, Аноним (-), 00:43, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Звук и видео требуют установки плагина, который опять почему-то работает только в Винде и Маке. Зачем нужен скайп без аудио и видео? Чатиков в влинуксе и так полно.
     
  • 6.25, Аноним (-), 01:12, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Запустить Skype для браузера БЕТА

    Ну вот вы и спалились

    https://support.skype.com/ru/faq/FA34515/znakomstvo-so-skype-dla-brauzera-beta
    > Эта статья недоступна для выбранной платформы.
    >  Поддерживаемые веб-браузеры на устройствах с операционной системой Windows: Microsoft Edge, Internet Explorer 10 и более поздние версии,
    >а также последние версии Chrome и Firefox. На устройствах с операционной системой Mac OS: Safari 6 и более поздние версии.

     
     
  • 7.27, q47568756 (?), 02:15, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял к чему это. Пояснения мне не нужно.

    Я хоть и знаю об этом около двух месяцев, сам я им с сайта не пользовался не разу и даже не разу не авторизовывался с сайта, чтобы посмотреть как это работает.

     
     
  • 8.28, q47568756 (?), 02:19, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости... текст свёрнут, показать
     
     
  • 9.30, q47568756 (?), 02:40, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не понял к чему это Я об этом Ну вот вы и спалились - пояснение мне не нужно... текст свёрнут, показать
     
  • 8.29, Аноним (-), 02:31, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но тем не менее, ссылку в качестве ответа на вопрос что делать с поддержкой ска... текст свёрнут, показать
     
     
  • 9.31, q47568756 (?), 02:48, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Остынь И не ссылку, а намёк, что искать в поисковике ... текст свёрнут, показать
     
     
  • 10.32, q47568756 (?), 03:03, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я не как не пытался усложнить поиск адреса сайта тем, что не дал прямой ссылки, ... текст свёрнут, показать
     
     
  • 11.34, Аноним (-), 15:47, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В общем, не зная толком сами, о чем речь, опровергли утверждение, будто бы МС ... текст свёрнут, показать
     
     
  • 12.37, q47568756 (?), 02:54, 14/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Замороченный вы и ведите подвох где его нет Пустое общение Я пас ... текст свёрнут, показать
     
  • 5.23, Led (ok), 00:12, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > скайп из коробки, в отличии от всяких проприетарных подстилок

    И как же на самом деле у вас?

     
     
  • 6.26, Аноним (-), 01:15, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> скайп из коробки, в отличии от всяких проприетарных подстилок
    > И как же на самом деле у вас?

    Капитанинг: есть такая пословица, про соринку, бревно и глаза.
    А то обрадовалиь, типа "МС нам коммитит код в ядро, он стал ХОРОШИМ!1"

     
  • 4.14, Anonplus (?), 15:05, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В скайпе уязвимости вообще чинятся по 2 года. Два года была дырка, позволяющая узнать IP-адрес любого юзера по его логину. Теперь уже несколько месяцев живёт дырка, позволяющая легко удалить любую учётную запись без знания почты и пароля. Но в скайпе даже на письма об этой дыре не среагировали.
     
  • 3.19, QuAzI (ok), 21:40, 12/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    По FF естественно.
    По Skype - так это старое решето, про него уже всем известно, вот например аналогичное поведение https://habrahabr.ru/post/180147/
     

  • 1.16, DmA (??), 15:25, 12/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пока настроишь новую версию firefox от очередных слежек, то тут уже новая версия вышла с новыми слежками, пора переходить на ESR!
     
  • 1.17, DmA (??), 15:27, 12/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    worker нужно отключать, та ещё параша
     
  • 1.20, Аноним (-), 22:28, 12/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > позволяющая через манипуляции с Service Workers и Flash-плагином обойти механизм same-origin и получить доступ к данным сайта, открытом в другом окне.

    А если в этом "другом окне" открыты настройки с логинами и паролями, они голактеко безопасносте или нет ? / там ж всё на жабаскрипт перепилили за каким-то

     
     
  • 2.33, QuAzI (ok), 13:01, 13/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    about:preferences#privacy
    Удалять историю при закрытии Firefox
    Сохранять куки сайтов - только до закрытия Firefox

    about:preferences#security
    Запоминать логины для сайтов - снять птиц

    Что-то в последней версии не нахожу птиц чтобы отрубать сохранение паролей

     

  • 1.35, Аноним (-), 19:23, 13/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    только у меня после обновления noscript поломался?
     
  • 1.38, iZEN (ok), 20:14, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    firefox-44.0.1,1                   <   needs updating (index has 44.0.2,1)
    firefox-i18n-44.0.1                <   needs updating (index has 44.0.2)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру