Доступно (https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/) корректирующее обновление web-браузера Firefox 36.0.4, в котором устранена критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-28/) (CVE-2015-0818), позволяющая организовать выполнение произвольного JavaScript-кода с повышенными привилегиями доступа ко внутренностям браузера. Проблема проявляется при обработке специально оформленных SVG-изображений. Атака с использованием данной уязвимости была продемонстрирована на недавно проведённом конкурсе Pwn2Own 2015 (https://www.opennet.ru/opennews/art.shtml?num=41879), в рамках которого были представлены zero-day уязвимости для всех значительных браузеров. Проблема также устранена в Firefox ESR 31.5.3 и SeaMonkey 2.33.1.Позавчера, почти сразу после конкурса был представлен (https://www.mozilla.org/en-US/firefox/36.0.3/releasenotes/) выпуск Firefox 36.0.3, в котором было заявлено устранение раскрытых на соревновании Pwn2Own проблем (список (https://www.mozilla.org/en-US/security/advisories/) исправленных уязвимостей был обновлён с запозданием), но на деле исправлена одна критическая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/) (CVE-2015-0817), связанная с ошибкой обработки типизированных массивов в JIT-компиляторе, используемом в asm.js. Уязвимость может привести к выполнению кода в системе. Так как в соревновании были представлены 3 уязвимости, судя по всему, одна проблема пока остаётся неисправленной (до выпуска исправления участники соревнования Pwn2Own не имеют право публично разглашать подробности).
URL: https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=41884
Теперь опять торброузер пересобирать
SELinux/Apparmor/etc. Вне этих систем браузер запускать опасно, как по мне.
Ога, давайте пробурим дно лодки, а потом попытаемся вычерпывать воду вовремя.
Нет.
Проектируем лодку так, чтобы когда возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка.
Только вот вбивать цифири номера кредитки всё равно придётся лезть в затопленный отсек...
Почему затопленные? У тебя ведь не один отсек, а несколько отсеков с браузером в чем беда?
>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустякаДа-да, про "Титаник" именно так и говорили.
>>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка
> Да-да, про "Титаник" именно так и говорили.Титаник затонул не поэтому, если в самый непотопляемый корабль пониже ватерлинии запулить в ряд по 3 торпеды, результат будет тот же, плюс кривые руки капитана тоже внесли свою лепту...
SELinux - развлечение для рута, простым пользователям он не доступен.Но есть одна забавная опция. Вернуть javascript в интерпретируемый режим. И огородить. А на скорость забить, только больной извращенец будет писать полноценную прогу в браузере.
а нечего хранить секреты во внутренностях браузера. и вообще пользуйте вебкиоск под виртуалкой :)к примеру, я пользуюсь альтовским сборочным цехом (см. http://www.altlinux.org/Mkimage/Profiles/m-p) для создания себе свежего живого вебкиоска и других live-интересностей, которыми пользуюсь как в виртуальной среде, так и на широком спектре техники от десктопов до портативных пк (в том числе и на маках). кстати, в starterkits у альта есть live-образ сборочного цеха (*-builder-*) для тех у кого нет желания устанавливать альт.
да простит меня Михаил за не скрытую рекламу :)
а можно собрать такую фигню, чтобы содержала только ядро и initrd?
> а можно собрать такую фигню, чтобы содержала только ядро и initrd?можно
возьми PRA linux и не используй не нужные модули. http://goo.gl/h1GMeV
> и вообще пользуйте вебкиоск под виртуалкой :)
> [...] для тех у кого нет желания устанавливать альт.Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12
> да простит меня Михаил за не скрытую рекламу :)
Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно понял.
"Рекламу" было бы здорово увидеть в форме статьи о том, как именно пригодилось (и что не так); кстати, есть http://altlinux.org/starterkits/builder
PS: завтра в сизиф долетит собственно сабж(tm): https://twitter.com/girar_builder/status/579658937772953600
PPS re #6: не-а, я подписываю свои сообщения. А вот некростудент Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp
> Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12согласен, у пользователей альта, в этом плане, удобства на лицо :)
> Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно
> понял.все ок. я все понимаю и ожидания в данном случае того стоят.
> "Рекламу" было бы здорово увидеть в форме статьи о том, как именно
> пригодилось (и что не так)...больная тема отсутствия времени и лени при присутствии оного...
> PPS re #6: не-а, я подписываю свои сообщения. А вот некростудент
> Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelpмоя вина - лень логиниться было и троллей подкормил :)
Ответ ушёл почтой, чтоб не заспамливать обсуждение -- но всяко рад слышать!
> PS: завтра в сизиф долетит собственно сабж(tm)А убунтуи как обычно релизнули на день раньше и в основную репу. Вот как они ухитряются сделать так что их системой пользоваться удобно? ;)
36-й релиз у нас что, LTS? Уже четвёртое обновление!
Firefox 38 должен быть LTS/ESR
Во FreeBSD порт Firefox оперативно обновили: http://www.freshports.org/www/firefox/
(пишу из него)
У меня и моих подопечных лиса работает без нареканий.
Всё нормально в Firefox. Не знаю, откуда вы такие всё вылазите с зондами от гугла.
> Ацкое глюкаловодауж, вся проблема Firefox -- это слишком много свободы для настроек и кастумизаций... :)
в результате появляются такие как ВЫ -- накрутят галочек и всяких расширений, а потом плачут мол "глюкалово"..
дефолтный Firefox -- (и без: плагинов\расширений\резалок_рекламы) -- работает шустро и не глючит.. а что вы там себе наизменяли-и-наустанавливали это ваши индивидуальные проблемы. не нужно валить вашу вину на Firefox
> Не удивительно, что доля Мозиллы среди браузеров всё падает и падает
не удивитеьно -- потому что в Google Chrome лучше (продуманее) GUI чем в Firefox и более активная пропаганда Chrome от Google.
кой-какие улучшения относительно GUI в Firefox уже предпринты -- но этого мало. нужно больше перенимать хорошего от Chrome (и меньше обращать внимания на визги старпёров с синдромом утёнка).
и ещё у Firefox есть главное (хорошее) отличие от Chrome -- это уважение к частной жизни пользователя... нужно не забывать об этом. то есть -- дальше-и-дальше перенимать _хорошие_ идеи от Chrome, но при этом НЕ забывать про уважение к частной жизни пользователя..
а кому нужна одна лишь сраная производительность -- пусть валят на Google Chrome.. нам в сообществе такие Firefox-пользователи не нужны.. :-)
> После того, как Firefox 29 стал похожим на Хром, у меня уже не оставалось причин сидеть именно на нёмто есть раньше ты сидел на Firefox *ТОЛЬКО* лишь потому тебе было *привычно* использовать старое GUI? (явно уже не отвечающее современным стандартам качества GUI)
ОК! такие пользователи как ты (которые продолжали сидеть на Firefox только благодаря своей привычке) -- совершенно не являются теми пользвоателями, на которых можно ориентироватсья при разработке программы:
1. если ввести новый (качественно правильный) функционал в программу -- то вы начинаете психовать типа -- "зачем всё поменяли! всё и так было хорошо! я ещё не успел привыкнуть!".
2. а если НЕ вводить новый функционал то вы всё равно уйдёте на другую программу, но лишь с той разницей что сделаете это чуть позже -- в момент внезапного озарения (типа: "а ведь Google Chrome не так уж и плох! а вот этот Firefox совсем уже давно перстал развиваться!!")
другими словами -- вы тот самый паразитный слой пользователей, который мешает программистам делать хорошие программы, вводить правильные улучшения.
приведу аналогию:
представь что ты живёшь с капризной девушкой и выполняешь всё её капризы, а иначе она *грозится_уйти* от тебя. поэтому, ты стараешься выполнять КАЖДЫЙ её каприз -- досконально точно... а потом эта девушка всё равно уходит от тебя со словами "я не люблю подкаблучников, ты не похож на настоящего самца! как личность -- ты безинициативная пустышка".
ну зачем ты нужен, такой пользователь, если ты не ценишь в Mozilla старания которые эта компания делает для охраны твоей личной жизни? для тебя сделали PDF.js (чтобы хакеры тебя не взламывали через PDF-файлы, а ты только ворчишь про производительность..)
> Этот комментарий имел бы смысл в том случае, если Firefox сохранил своё
> лицо после преобразований, а не стал бы жалкой копией Хрома, как
> и тысяча его клонов.то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI -- это действительно заслуга разработчиков Хрома.
а то что ты по своей старпёрской привычке лично-ты не хочешь это признать -- это лишь твоя личная психологическая проблема.
или ты хочешь сказать что кроме GUI -- разработчики Firefox что-то ещё "скопировали" из Хрома?
или ты считаешь что Firefox теперь также как и Chrome -- завешан во всю зондами? (которые отправляют Гуглу информацию на каждый чих пользователя?)
и потом: если даже предположить что теперь Firefox стал таким же как Chrome -- то какой смысл пользоваться Хромом? или ты что-то не договариваешь?
а может ты вообще ни когда не любил Firefox и тебе завидно что теперь и у Firefox тоже (как и у Chrome) замечательный GUI? :-)
# P.S.: а может ты -- как раз один из тех людей кто привыкли использовать ТОЛЬКО_САМОЕ_ЛУЧШЕЕ(!) ??.. если архитатор, то только WinRAR (потому что WinRAR самый лучший!!), если музыкальный плеер, то только WinAMP (потому что WinAMP самый лучший муз-плеер!)... если браузер -- то тоже только самый лучший! (а самым лучшим браузером наверняка считается официально Google Chrome.. а все остальные браузеры лишь жалкие догоняющие)
> то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUIНе верил что есть люди которые на самом деле так считают, но вот надо же, увидел. Наверное и остальное г многих в восторг приводит. М-да, пичалька.
А так то известно что у гугла, по определению, вообще все гуано кроме поиска. Но это и хорошо. А то бы он всю планету уже пожрал.
> ко внутренностям браузера.Режет слух как-то.
Выражение "Режет слух как-то", как-то слух режет.
Все же, не пойму комментаторов пользующих браузер в в виртуалке который уверены что защищенный на 100%. Суть конкурса как я понял, деньги дают за багу в браузере, не кто не искал баги в виртуалки, в ядре, и т.д.
суть в том, что баги в браузерах были, есть и будут. и понятно же, что в реальности их находят раньше, чем их находят "официально". А следовательно и стать "жертвой баги" вполне реально до ее исправления. Про 100% защищенность, пожалуйста, не надо - никто не говорил об этом, ибо не бывает :) А вот использование livecd с вебкиоском в виртуалке - где вы загрузились в браузер с "чистой" средой, зашли на нужный вам сайт (предполагается, что доверенный), произвели оплату/и т.п., выключили виртуалку (и следовательно обнулили среду) - мне не кажется странным. Также данный подход можно использовать для походов по подозрительным/заведомо вредоносным сайтам без особой опаски для хостовой системы - шансов, что через браузер гостевой системы ломанут хост гораздо меньше :)P.S. в качестве виртуалки, в данном контексте, я для себя использую VirtualBox.
Не на 100%, но лучше чем без.
https://www.opennet.ru/openforum/vsluhforumID3/101804.html#25