The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Firefox 62.0.3 с устранением критических уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 62.0.3 с устранением критических уязвимостей"  +/
Сообщение от opennews (ok), 03-Окт-18, 08:36 
Опубликован (https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/) корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/). Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox  60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя.

Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента.


Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых аргуметов указатель стека может быть смещён на 8 байтов относительно ожидаемого значения.  Указанную особенность можно использовать для получения информации об адресе вызванной функции, хранящемся в стеке, который, в свою очередь, может применяться для организации выхода из sandbox-окружения.

URL: https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49385

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от AnPoz (ok), 03-Окт-18, 08:36 
Аналогичный патч вышел и для Firefox Mobile.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от marios (ok), 04-Окт-18, 09:37 
Нету такого браузера, есть Firefox for Android.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +1 +/
Сообщение от AnPoz (ok), 04-Окт-18, 11:07 
> Нету такого браузера, есть Firefox for Android.

Тогда уж "Быстрый браузер Firefox" что на мой взгляд еще хуже в качестве названия

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

7. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от анан (?), 03-Окт-18, 09:40 
они на раст переходили, почему опять проблемы памятью?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +9 +/
Сообщение от Нанобот (ok), 03-Окт-18, 09:55 
потому что уязвимый код на с++
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  –4 +/
Сообщение от Аноним (20), 03-Окт-18, 12:41 
> С++
> проблемы с памятью

Студенты чтоли писали? Как на С++ могут быть проблемы с памятью? Я понимаю на С ещё, но С++... Это диагноз.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  –1 +/
Сообщение от Аноним (22), 03-Окт-18, 13:01 
попробуйте написать на С++ нгикс или ДиПиАй для всей РФ
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  –1 +/
Сообщение от Аноним (20), 03-Окт-18, 13:14 
Смешивать С и С++ код моветон. А в С++ почти всегда автоматически память контролируется, прямо как в этих ваших растах.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +3 +/
Сообщение от тоже Анонимemail (ok), 03-Окт-18, 13:31 
Когда нужно написать десктопное приложение - да.
Когда речь о движке интерптератора (который, внезапно, должен реализовать выделение памяти под переменные и сборщик мусора) - удачи с "автоматикой"...
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

42. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +1 +/
Сообщение от rshadow (ok), 04-Окт-18, 14:26 
сборщик мусора не нужен
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

43. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от тоже Аноним (ok), 04-Окт-18, 20:17 
> сборщик мусора не нужен

Когда Хром валится у меня на Айпаде от нехватки памяти, он, наверное, думает так же.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Аноним (44), 05-Окт-18, 08:08 
Хром на айпаде не нужен.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

24. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Аноним (20), 03-Окт-18, 13:22 
То что у них 5 миллионов строк кода на С (не С++ а именно С) как бы намекает...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от llolik (ok), 03-Окт-18, 10:23 
Потому что JS движок на Rust ещё никто не переписывал. Он по прежнему на C++.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

40. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  –1 +/
Сообщение от oni14 (?), 04-Окт-18, 11:23 
я знаю что есть js движки на Go. пусть возьмут на вооружение =)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Аноним84701 (ok), 03-Окт-18, 12:43 
> они на раст переходили,

Там еще переходить и переходить?
https://www.openhub.net/p/firefox/analyses/latest/languages_...


Language Code
C++ 11,790,199
JavaScript 7,910,535
HTML 5,056,599
C 4,946,470
Rust 2,058,338

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

31. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +2 +/
Сообщение от трурль (?), 03-Окт-18, 20:58 
>HTML 5,056,599

ПЯТЬ МИЛЛИОНОВ строк на html? О_О
Это куда столько напихано? Это даже размазать по одному символу на строку, все равно чудовищно много.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Аноним (32), 03-Окт-18, 23:49 
HTML - Documentation?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от трурль (?), 04-Окт-18, 09:04 
В несколько раз больше «Войны и мира»?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +1 +/
Сообщение от трурль (?), 04-Окт-18, 09:05 
Разве что туда всю болтовню на форумах включили.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

33. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Аноним (33), 04-Окт-18, 00:35 
Когда перепишут, V8 можно будет на помойку кинуть.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от iZENemail (ok), 03-Окт-18, 13:52 
Для сборки Firefox 62.0.3 уже нужен LLVM 7.0.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  –1 +/
Сообщение от Аноним (27), 03-Окт-18, 14:21 
Установил Firefox Nighty 64.0a1
-нет возможности отключить обновления
-автозаполнение банковских карт (галочку можно снять)
-выберите что блокировать
медленные трекеры
все обнаруженные трекеры
-разрешить отправлять технические данные и данные взаимодейсвия в Mozilla
-разрешить отправлять сообщения об ошибках браузера (в том числе ТЕКСТ ошибок) в Mozilla
-разрешить отправлять от вашего имени накопившиеся сообщения о падении

about:config
toolkit.telemetry.enabled - нет возможности переключить


Есть вероятность что все это будет не отключаемо в будущих сборках (65,66 или 67)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +1 +/
Сообщение от AlAvisemail (?), 03-Окт-18, 18:22 
Автоматические обновления отключаются как обычно . Поиск обновлений теперь отключается только через политики . Автозаполнением занимается системный аддон , достаточно удалить . toolkit.telemetry.enabled не отключается для всех НЕрелизных версий , насколько помню , с 62й .
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Anonim (??), 04-Окт-18, 00:44 
ищи в поисковике или гитхабе:
firefox autoconfig

а именно
unlockPref("tolkit.telemetry.disabled")

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Anonim (??), 04-Окт-18, 00:48 
ой, затупил:)
unlockPref("toolkit.telemetry.enabled")
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

28. "Обновление Firefox 62.0.3 с устранением критических уязвимос..."  +/
Сообщение от Kuromi (ok), 03-Окт-18, 15:11 
-автозаполнение банковских карт (галочку можно снять)
...
Есть вероятность что все это будет не отключаемо в будущих сборках (65,66 или 67)

Автозаполнение карт штатно (в релизе) поддерживается только для США, Канады и Германии, о распространении на остальной мир (а уж тем более на Россию) никто пока и не думает, это в Ночнушке включено для всех, так что не переживайте.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру