The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 50.0.1 устранена критическая уязвимость

29.11.2016 06:40

Доступен корректирующий выпуск Firefox 50.0.1 c устранением уязвимости (CVE-2016-9078), которой присвоен критический уровень опасности. Уязвимость проявляется только в Firefox 49 и 50, ESR-ветка проблеме не подвержена.

Перенаправление запроса на URL с префиксом "data:" при определённом стечении обстоятельств приводит к обработке содержимого "data:" в контексте домена (origin), с которого был выполнен редирект. Воспользовавшись этой недоработкой атакущий может обойти привязку к домену источника (same-origin) и загрузить свои ресурсы в контексте чужого домена. Например, продемонстрирована возможность применения описанного метода для установки cookie для стороннего домена.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Firefox прекратит поддержку XUL-дополнений в конце 2017 года
  3. OpenNews: Тестирование Firefox 51-beta и Firefox Developer Edition 52
  4. OpenNews: Релиз Firefox 50
  5. OpenNews: В Firefox появилась многопроцессная обработка контента и Quantum Compositor
  6. OpenNews: Chrome, Firefox и Edge перешли на новый этап тестирования технологии WebAssembly
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45577-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Алвлвлал (?), 08:45, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот скажите мне, если куки устанавливаются только для своего домена, то как тогда другие домены видят мои куки?
     
     
  • 2.3, DmA (??), 09:15, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так отвечает за чтение кук браузер, он же отвечает за соблюдение прав для кук, чтобы сайт мог прочитать только свой кук. Так что если при разработке алгоритма по управлению куками специально или ненарочно накосячили, то никто эти правила чтения кук соблюдать не будет.
    Другое дело кто вообще из сайтов догадается читать чужие куки? Это мне кажется может быть диверсией - создают сначала сайты, которые запрашивают у пользователя чужие куки, а потом в  код браузера добавляется некорректное поведение при работе с куками. Пользователь заходит на сайт и вот его все куки утекли в неизвестном направлении.
    Счастливы пользователи браузеров  Chrome, Safari, IE ,Opera -они даже никогда не узнают, были ли у них такие проблемы :)
    Ставлю пользователям в браузерах стирать куки на выходе. И со сторонних сайтов не принимать куки вовсе. Нестабильную ветку Firefox (release) не использую, только ESR.
     
     
  • 3.6, Добрый любитель булок. (?), 09:27, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Всякие втентакли с кнопушками оставляют куки.
     
     
  • 4.7, DmA (??), 09:37, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Всякие втентакли с кнопушками оставляют куки.

    что значит "втентакли"? И "кнопушки"?

     
     
  • 5.17, A.Stahl (ok), 10:13, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какая разница? Главное что они оставляют куки.
    Смеркалось...
     
  • 4.30, Аноним (-), 16:03, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даже OpenNET оставляет печеньки. О чём спор?
     
     
  • 5.33, DmA (??), 08:42, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    они смотрят lastvisit, и там время посещения в unix формате. Думаю у большинства здесь присутсвующих куки на выходе из браузера стираются как минимум, а у кого и вообще запрещены.
    Так что не критичные куки, даже не записывают какие страницы сайта я ранее посетил...
     
  • 3.10, Аноним (-), 09:56, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что значит "чужие куки"?
    Если рекламная система, установленная на многих сайтах, ставит куки на сайте "www.A.com"
    то чужая ли это кука для этой же системы на сайте "www.B.com"?
     
     
  • 4.27, Etch (?), 13:14, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы заходите на сайт www.A.com, на странице которого содержится код <img src="//www.ad.com/image.png?id=www.A.com"> который подгружает картинку с сайта этой рекламной системы. Вместе с картинкой её сервер ставит куку для _своего_ сайта: www.ad.com.

    Затем, когда вы заходите на www.B.com и подгружаете картинку <img src="//www.ad.com/image.png?id=www.B.com"> - вместе с запросом картинки ваш браузер отправит и куку от этого сайта.

     
  • 3.22, узорнаме (?), 12:40, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    увы, но этих защитных мер недостаточно: помимо простых куков есть и другие виды куков.
     
  • 3.32, Ilya Indigo (ok), 23:33, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > И со сторонних сайтов не принимать куки вовсе.

    Это моё мнение, делать так не призываю, но после подобного шага большинству пользователей необходимо добавить одно исключение для "https://apis.google.com", иначе будет невозможно авторизироваться в некоторых гугло-сервисах, например в ютубе.
    Если вы таковые не используете - хорошо, дело ваше, но пользователей, которым вы это рекомендуете, вы должны предупредить об этой проблеме.

     
     
  • 4.34, DmA (??), 09:21, 30/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не может быть Отлично заходит на Ютубе, сейчас попробовал Сами то давно пр... большой текст свёрнут, показать
     
     
  • 5.35, Ilya Indigo (ok), 04:56, 02/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Отлично заходит на Ютубе, сейчас попробовал ! Сами то давно пробовали зайти?

    Да, только что попробовал, заходит и комментирует. Гугл, таки, научился нормально работать без костылей.

     
  • 2.14, Аноним (-), 10:08, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эпла на них нет. Надо запретить 90% возможностей сайтов чтоб все было быстро и безопасно. Переход на сторонние сайты с целью подгрузить их кук низя, модальные окна низя, анимация низя.
     
  • 2.24, Аноним (-), 13:05, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Никак, сайты не видят куки других сайтов
     

  • 1.2, ps (??), 09:02, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ESR-ветка проблеме не подвержена.

    Это приятно слышать. Кому надо - поймут. )

     
     
  • 2.16, Аноним (-), 10:11, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, баги должны быть стабильными, а то что это такое - в этом релизе один баг, а в слудующем уже другой. Никакого, панимаишь, порядка!
     
     
  • 3.25, Аноним (-), 13:07, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Угу, баги должны быть стабильными, а то что это такое - в
    > этом релизе один баг, а в слудующем уже другой. Никакого, панимаишь,
    > порядка!

    В ESR нет этого бага, что ты несёшь?

     

  • 1.5, Аноним (-), 09:27, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в nightly заметил, что появилось возможность открывать новые вкладки в разных изолированных контейнерах просто длинным кликом
     
     
  • 2.8, DmA (??), 09:37, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > в nightly заметил, что появилось возможность открывать новые вкладки в разных изолированных
    > контейнерах просто длинным кликом

    Что за "длинный клик"?

     
     
  • 3.11, Аноним (-), 10:01, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У которого время удержания кнопки мыши в нажатом состоянии больше чем у обычного клика.
     
     
  • 4.12, Пользователь Debian (?), 10:05, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мой клик длиннее твоего клика!
     
     
  • 5.23, Аноним (-), 12:42, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да, славное решение. Наверное долго думали.
     
     
  • 6.28, тоже Аноним (ok), 14:16, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В этом-то и секрет! Нажал, долго думал... отпустил. Длинный клик готов!
     

  • 1.13, Аноним (-), 10:08, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    У ФФ все стабильно - в течение 2-х недель в релизе (который прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние релизы сколько помню - всегда так.
     
     
  • 2.15, Аноним (-), 10:10, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > У ФФ все стабильно - в течение 2-х недель в релизе (который
    > прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние
    > релизы сколько помню - всегда так.

    дыры всегда будут находиться даже в столетних релизах, которыми пользовались 4 поколения.

     
     
  • 3.18, Аноны (?), 10:15, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это сложно понять хомячкам, которые в жизни ничего не написали, кроме поста на опеннете/лоре.
     
     
  • 4.19, Аноним (-), 10:18, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зато сторонники web, javascript, node.js и прочего однодневного софта понимают это очень хорошо, судя по тому звездецу что творится сейчас с "софтом".
     
     
  • 5.20, Мимокрокодил (?), 10:35, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сейчас? Сколько себя помню такой звездец был ВСЕГДА. Другое дело что масштабы мира были поменьше и звездецом это не называли.
     
  • 2.21, arka (ok), 12:05, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, с 20 сентября именно две недели и прошли

    > Уязвимость проявляется только в Firefox 49 и 50

     
  • 2.26, Аноним (-), 13:10, 29/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > У ФФ все стабильно - в течение 2-х недель в релизе (который
    > прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние
    > релизы сколько помню - всегда так.

    Ты же пропустил тут свою опечатку в двух предложениях, а там сложная система, браузер.

     

  • 1.31, Аноним (-), 16:42, 29/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Раст помог бы?
     
  • 1.36, Аноним (36), 15:49, 04/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Firefox-50.0 с поддержкой российской криптографии можно найти здесь -
    http://soft.lissi.ru/solution/mozilla/
     
     
  • 2.37, Гентушник (ok), 14:57, 06/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Firefox-50.0 с поддержкой российских зондов можно найти здесь

    Поправил, не благодарите.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру