The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от opennews (??), 03-Апр-20, 22:45 
Опубликовано корректирующее обновление Firefox 74.0.1, в котором исправлены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты  применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти  (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора  nsDocShell  (CVE-2020-6819).

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52672

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –32 +/
Сообщение от Аноним (1), 03-Апр-20, 22:45 
А учитывая исчезающе малую долю рынка и, соответственно, низкий интерес "хороших хакеров" к лисе, страшно представить себе сколько там ещё незакрытых дыр.
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +13 +/
Сообщение от НяшМяш (ok), 03-Апр-20, 23:11 
Главное на улицу никогда не выходи - страшно представить себе сколько там ещё неизвестных опасностей.
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –7 +/
Сообщение от Аноним (10), 03-Апр-20, 23:22 
Улица, а отличии от этой rust'аманской поделки, большей частью, неплохо протестирована. Список багов известен. При нормальной системе управления, есть некая дорожная карта с графиком их закрытия. Понёсшим от них ущерб полагается та или иная компенсация. Так что сравнение неуместно.
Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +12 +/
Сообщение от НяшМяш (ok), 03-Апр-20, 23:56 
> Улица, а отличии от этой rust'аманской поделки, большей частью, неплохо протестирована. Список багов известен.

А я всё ждал, когда же rust ввернут. Да и как-то слабоватое тестирование у улицы, учитывая что баг типа "вирусная пандемия" давно известен и уже не раз проявлялся. А сколько ещё всякого UB бывает типа бухого мужика на улице с топором, водителя жигулей под спайсами или падения кирпича на голову. Так что нет, спасибо, rust'аманская поделка по крайней мере не сможет меня убить.

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +2 +/
Сообщение от Аноним (19), 04-Апр-20, 00:43 
Вот начнут для мёд.оборудования писать софт на расте и посмотрим.
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Аноним (1), 04-Апр-20, 00:44 
>А я всё ждал, когда же rust ввернут.

Ну так Rust это, практически, Гитлер OpenNet'а. Закон Годвина неумолим.
>Да и как-то слабоватое тестирование у улицы, учитывая что баг типа "вирусная пандемия" давно известен и уже не раз проявлялся.

А что не так? Процессы, кроме системных, переведены на контейнерную изоляцию, всё что шевелится проверятся на правильный хэш, сигнатура атаки уже есть, идёт разработка заплатки. По моему, реакция среды абсолютно адекватна.
>А сколько ещё всякого UB бывает типа бухого мужика на улице с топором, водителя жигулей под спайсами или падения кирпича на голову.

Это вообще не повторяемые баги, а разовые сбои.
>Так что нет, спасибо, rust'аманская поделка по крайней мере не сможет меня убить.

Только потому, что её влияние на индустрию ничтожно.


Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

24. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +1 +/
Сообщение от НяшМяш (ok), 04-Апр-20, 02:50 
> А что не так? Процессы, кроме системных, переведены на контейнерную изоляцию, всё
> что шевелится проверятся на правильный хэш, сигнатура атаки уже есть, идёт
> разработка заплатки. По моему, реакция среды абсолютно адекватна.

Не сказал бы. На нашем южном локалхосте поизолировали в контейнеры всех подряд и понаставили ограничения на I/O так, что даже за ресурсами сходить не получается. Да реакция среды сначала была похожа на "авось пронесёт", а сейчас очень близка к "антивирус запускать уже поздно". Вон на китайском сервере то же самое происходило на месяц раньше - было время подготовиться к атаке.

> Это вообще не повторяемые баги, а разовые сбои.

Только на нашем локалхосте по статистике в 2018 году в среднем в сутки происходило 45 различных сбоев. Довольно сильно для разовых сбоев.

> Только потому, что её влияние на индустрию ничтожно.

Ну "правильная" rust-free поделка от корпорации бобра имеет куда больше влияния на индустрию, однако и про неё я не знаю ни единого случая.

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +8 +/
Сообщение от виндотролль (ok), 04-Апр-20, 07:48 
Какая связь между растом, пауками и пользователями опеннета?

Пауки не имеют развитого мозга. Поразительно, но имея вместо мозга простой нервный центр, пауки умудряются выживать и размножаться. Вся деятельность пауков управляется этим нервным центром и все что делает паук это лишь набор заложенных в нервный центр простых правил — рефлексов. Один из таких рефлексов — движение по паутине к центру вибраций, если вибрации совпадают с определенным паттерном, в частности, паттерном вибраций пытающейся выбраться из паутины жертвы. Паутинка завибрировала — паучок полез по паутинке в поиске еды.

Причем здесь раст?

Оказывается, что последовательность букв R, u, s, t, формирует рефлекторный отклик у простейших организмов опеннета, заставляя их, как мухи — пауков, ползти по паутине интернета к странице opennet.ru и оставлять комментарии подобные этому.

Характерной чертой этих комментариев, кстати, является попытка, вероятно, рефлекторная, но достоверные данные отсутствуют, скрыть триггер рефлекторной реакции, декорируя последовательность букв rust префиксами, суффиксами, применяя транслитерацию, и т.д.. Примеров подобного феномена существует множество, что, кстати, вызывает недоумение — так сильно подобная изобретательность контрастирует с базовым устровойством мыслительного процесса этих простейших организмов опеннета. Вот лишь некоторые примеры: хруст, растишка, rust'аман и т.д..

> Проблемы вызваны обращением к уже освобождённым областям памяти  (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора  nsDocShell  (CVE-2020-6819).

https://github.com/mozilla/gecko-dev/blob/master/docshell/ba...

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

28. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +1 +/
Сообщение от Аноним (28), 04-Апр-20, 09:06 
Радует то, с каким самообладанием отвечают так называемые "растишки". По делу, и не переходя в деструктивную плоскость, иногда с юмором.

Ребят, большое спасибо

Ответить | Правка | Наверх | Cообщить модератору

47. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Аноним (-), 05-Апр-20, 08:15 
Так там же вирус на улице! Не смотря на то что протестирована. Как же выходить?!
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

78. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от saw (??), 07-Апр-20, 13:49 
да там тестить и тестить, конца-края не видно
Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от эти ваши интернеты (?), 03-Апр-20, 22:48 
Нубский вопрос от "просто пользователя"?

Если javascript отключен, то уязвимости нет?

Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –4 +/
Сообщение от Аноним (5), 03-Апр-20, 22:54 
Доподлинно известно, что абсолютно все уязвимости можно устранить отключением яваскрипта. Все уязвимости. Вообще все. И даже не только компьютерные. И даже не только уязвимости. И даже не только устранить. И даже не только даже.
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +1 +/
Сообщение от Аноним (21), 04-Апр-20, 00:46 
Не все, по-моему ту же плойку успешно через парсер DOM хакали, т.е. обычный html. Да и на той неделе хакали через css -- тоже не js.
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +2 +/
Сообщение от Аноним (6), 03-Апр-20, 22:56 
Нет, не факт.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +2 +/
Сообщение от Аноним (8), 03-Апр-20, 23:19 
Ну уязвимости бывают и в библиотеках обработки картино, в парсере CSS, в движке рендеринга HTML.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Аноним (13), 03-Апр-20, 23:32 
>Если javascript отключен, то уязвимости нет?

"Проблемы вызваны обращением к уже освобождённым областям памяти (use-after-free)" это низкоуровневая работа с памятью, не поможет.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Аноним (3), 03-Апр-20, 22:50 
Те же уязвимости устранены в Firefox ESR 68.6.1
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –2 +/
Сообщение от Fracta1L (ok), 03-Апр-20, 22:52 
Очередная сишная дырень?
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +1 +/
Сообщение от Аноним (21), 04-Апр-20, 02:06 
>при выполнении деструктора
>сишная

Ну это твой уровень, да. Хотя лично я все проблемы как раз на конструкторах/деструкторах и имел, поэтому нисколько не оправдываю плючи. Но всё же не стоит сравнивать простую человеческую сишку с переусложнёнными опасными языками.

Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –3 +/
Сообщение от Fracta1L (ok), 04-Апр-20, 07:50 
Действительно, сишка ведь ни разу не дырявая XD
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Аноним (21), 04-Апр-20, 10:33 
> Действительно, сишка ведь ни разу не дырявая XD

Люди вообще склонны совершать ошибки, си тут ни при чём. Там, где язык простой, ошибки будут логические, а в сложном не только они.

Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Ordu (ok), 04-Апр-20, 20:09 
Минутка философии.

Когда ты ищешь причину явления, то наиболее разумный метод выбирать что-то на роль причины -- это возможность как-то повлиять на следствие, влияя на причину. Обвиняя людей в ошибках, которые они совершают в C, ты загоняешь себя в тупик: людей ты не сможешь изменить. И заменить людей тебе нечем. А вот язык изменить можно.

Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –1 +/
Сообщение от Аноним (21), 04-Апр-20, 20:17 
Проблема всегда в людях: самый лучший инструмент тебе не поможет, если ты не умеешь им пользоваться. И простой инструмент при этом и освоить каждый способен. А сложный слишком много возьмёт на себя -- ты не будешь иметь понятия, что он на самом деле делает, и начнёшь совершать дополнительные ошибки.
Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +2 +/
Сообщение от Ordu (ok), 04-Апр-20, 21:35 
> Проблема всегда в людях: самый лучший инструмент тебе не поможет, если ты
> не умеешь им пользоваться. И простой инструмент при этом и освоить
> каждый способен. А сложный слишком много возьмёт на себя -- ты
> не будешь иметь понятия, что он на самом деле делает, и
> начнёшь совершать дополнительные ошибки.

Ты можешь нежно поглаживать словами свой выбор причины сколько угодно, это не отменит того факта, что никому ещё не удавалось собрать команду C-программистов, которая бы не выходила бы многократно за границы буфера, не тестировала бы последствий use-after-free, и не вытворяла бы других глупостей.

Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –1 +/
Сообщение от Аноним (21), 04-Апр-20, 22:42 
Когда создавались большинство проектов, ещё не существовало таких хороших анализаторов, как сегодня. Кстати, хоть какая-то польза от шланга, в том же ггц они появились по его примеру.
Ответить | Правка | Наверх | Cообщить модератору

40. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +1 +/
Сообщение от Ordu (ok), 05-Апр-20, 00:21 
> Когда создавались большинство проектов, ещё не существовало таких хороших анализаторов,
> как сегодня. Кстати, хоть какая-то польза от шланга, в том же
> ггц они появились по его примеру.

Создание анализатора для повышения качества кода -- это не изменение людей, а признание неисправимости людей и смещение фокуса борьбы с багами на язык и его инструментарий.

Ответить | Правка | Наверх | Cообщить модератору

41. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +1 +/
Сообщение от Аноним (21), 05-Апр-20, 00:26 
Так проблема-то действительно в людях. Обычно это либо "я знаю, что так нельзя, но мне виднее", либо "я всегда так делал и ничо". Теперь компиляторы за плохой код хотя бы могут бить по рукам.
Ответить | Правка | Наверх | Cообщить модератору

42. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Ordu (ok), 05-Апр-20, 01:05 
> Так проблема-то действительно в людях.

Я выше описал критерии для выбора причины. Ты, я смотрю, их проигнорил и продолжаешь функционировать из каких-то своих критериев, которые ты либо тщательно скрываешь от меня, либо даже не в состоянии сформулировать для себя. Ты понимаешь, что осмысленный диалог при таком твоём поведении невозможен?

> Обычно это либо "я знаю, что так
> нельзя, но мне виднее", либо "я всегда так делал и ничо".

Эмм... Я не знаю куда ты смотришь, что для тебя это "обычно", я чаще вижу ситуации, которые не вписываются в твоё описание, и при этом я затрудняюсь выделить какие-то категории ситуаций, которые можно было бы назвать обычными: с обычными случаями люди обычно справляются без открытия багрепортов. Проблему представляют именно необычные, когда вроде всё продумал, решил, что например здесь не требуется особых заморок, чтобы избежать переполнения целого, потому как оно не может переполнится, но через полгода кто-то нашёл способ добиться переполнения целого именно в этом месте.

Тут проблема в том, что ты, думая о возможности переполнения думал, допустим, 5 минут, а тот кто нашёл переполнение думал, как его добиться, может быть, два дня. Но у тебя нет возможности думать по два дня над каждой строчкой кода.


Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Аноним (21), 05-Апр-20, 01:19 
>переполнения целого

Так это и не баг вовсе. А какие ещё могут быть варианты? Предупреждать о возможном переполнении? Ну, где-то это сработает. Обложить всё костылями в рантайме? И это есть уже давно. Переполнение либо может быть, либо не может. Надо просто правильно выбирать типы данных

Ответить | Правка | Наверх | Cообщить модератору

44. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +3 +/
Сообщение от Ordu (ok), 05-Апр-20, 02:05 
> Так это и не баг вовсе.

Что значит "не баг"? С точки зрения языка это может и не баг, а фича, а с точки зрения программы переполнение может привести к тому, что твой индекс в массив окажется отрицательным, и когда ты проверишь что i<len, то получишь true, но когда пройдёшь по индексу окажешься за границами массива. То есть это, всё же, баг.

> А какие ещё могут быть варианты?

В смысле, как это можно решить на уровне языка? Тут несколько направлений возможно, которые не исключают друг друга.

1. Дать простые способы считать с проверкой на переполнение. То есть не какие-то кодовые высказывания языка, которые позволяют проверить на переполнение не наступив ни на какие грабли, не какое-то сакральное знание, требующее долгого обучения, которое не исключает высокой когнитивной нагрузки в процессе написания кода, а _простые_ способы. Это можно сделать либо на уровне библиотеки (например, определив тип checked_int, для которого будут определены все арифметические операции, но переполнение при их выполнении будет выкидывать исключение; или хотя бы функции checked_add, checked_sub, checked_mult, checked_div, которые будут делать то же самое, но над обычными int'ами), либо на уровне языка (например, дав возможность пометить блок кода для компилятора, чтобы тот всю арифметику в нём компилировал бы с проверкой на переполнение). Вариант с компилятором удачнее, так как он позволяет в компилятор вставить оптимизации, специально заточенные на арифметику с отловом переполнений. Скажем, компилятор сможет переупорядочивать операции, и может быть какие-то из проверок выкидывать.

2. Проверка индексов в рантайме. Это не так страшно, если включить агрессивный инлайн кода, и хороший оптимизатор, который сможет проверки выкидывать из циклов наружу, а когда не сможет то хотя бы за счёт спекулятивного выполнения сведёт их стоимость к ~нулю. Это не спасёт от переполнений целых в общем случае, но от довольно распространённых последствий этих переполнений спасёт.

3. Замена индексов итераторами и функционалами. Когда вместо for(i = 0; i < len; i++) sum += array[i]; ты пишешь sum = array.fold(sum, |acc, x| { return acc + x }), у тебя нет ну никаких шансов выйти за границы массива. Такой функциональный стиль не всегда удобен, но когда он удобен он устраняет не только возможность выхода за границы массивов, он ещё и гарантирует отсутствие ненужных проверок в рантайме (даже при -O0), а в некоторых случаях он позволяет оптимизировать код лучше, потому как этот стиль подталкивает программиста писать код, который хорошо векторизуется.

И, мне кажется, (1) наиболее важный пункт: постоянно обдумывать каждую операцию на предмет того, что может случится в случае переполнения, и может ли -- это очень утомляет. Утомление ослабляет внимание, а ослабленное внимание приводит к багам. Если же есть простые способы, которые не отвлекают от основной задачи, и всё что мне надо -- не забыть сказать компилятору, что тут очень важно чтобы не было переполнения, то всё становится резко проще. А если при этом ещё добавить строгую типизацию, и потребовать чтобы вся индексы имели бы тип off_t или size_t, и никакие int'ы не приводились бы к size_t и off_t молчаливо, а потом к size_t и off_t приделать обязательную проверку на переполнение, выполняемую компилятором, то тогда можно довести ситуацию, когда программисту проще писать с проверкой на переполнение, чем без неё, а это значит, что изворачиваться и уходить от этой проверки он будет только тогда, когда это действительно важно. То есть довольно редко, а если редко это делать, то и баги такие будут возникать редко.

> Надо просто правильно выбирать типы данных

Что ты имеешь в виду? off_t -- это знаковый тип, и тому есть причины. Его не удастся сделать беззнаковым, чтобы проверять на выход только за одну границу. Ты не сможешь сделать его больше. Точнее сможешь, но это бессмысленно, потому как перед применением всё равно придётся обрезать лишние биты. Да и дорого это: size_t и off_t, как правило размером с машинное слово, если ты сделаешь их больше, то вся арифметика станет резко дороже -- проще уж автоматически проверок на выход за границы в рантайме навтыкать.

Или ты к тому, что под количество денег в игре надо выделять не 32 бита, а целое произвольной точности, чтобы у игрока не было бы возможности, нырнув в глубокий минус, вынырнуть владельцем игровой вселенной? Может быть так и нужно делать. Но не всегда разумно использовать целое произвольной точности. А если просто взять 64 бита вместо 32, то это не обязательно спасёт: произведение двух 32 битных целых может опасно подобраться к переполнению 64 битного, то есть какой-нибудь промежуточный результат вычислений может переполнить и 64 бита, и... То есть это всё полумеры, если тебе нужна защита от переполнений, то нужно проверять на переполнения, то есть вставлять рантайм-проверки. И либо ты будешь делать это ручками, либо научишь компилятор делать это за тебя.

Ответить | Правка | Наверх | Cообщить модератору

45. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  –1 +/
Сообщение от Аноним (21), 05-Апр-20, 02:52 
Чёт длинно, я не в настроении читать простыни.

>дорого

Операции над машинным словом дешевле операций над его частью, в среднем, в принципе.

Я имею в виду, переполнение на пустом месте не возникает. Индексы не могут быть отрицательными, а разница индексов должна быть в 2 раза больше индекса. Это логическая ошибка программиста, если он допустил переполнение там, где его быть не должно.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

48. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от коржик (?), 05-Апр-20, 09:10 
я почитал за вас, было довольно интересно
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

46. "Обновление Firefox 74.0.1 с устранением 0-day уязвимостей"  +/
Сообщение от Вебмакака (?), 05-Апр-20, 03:32 
>это не отменит того факта, что никому ещё не удавалось собрать команду C-программистов, которая бы не выходила бы многократно за границы буфера, не тестировала бы последствий use-after-free, и не вытворяла бы других глупостей.

Это были неправильные сишники.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

9. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 03-Апр-20, 23:19 
Ответить | Правка | Наверх | Cообщить модератору

11. Скрыто модератором  +/
Сообщение от Аноним (11), 03-Апр-20, 23:23 
Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  –1 +/
Сообщение от Аноним (13), 03-Апр-20, 23:34 
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +1 +/
Сообщение от Аноним (11), 03-Апр-20, 23:39 
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  +/
Сообщение от анончик (?), 04-Апр-20, 13:40 
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  –2 +/
Сообщение от Агл (?), 03-Апр-20, 23:25 
Безопасность в браузере определяется не количеством дырей, а  умением разработчиков с ними бороться
--
лучше дырявый, но этот, чем хром или что там еще .... Я правда, раньше так про оперу думал, пока она не кончилась
Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Аноним (5), 03-Апр-20, 23:48 
> лучше дырявый, но этот, чем хром или что там еще

«Что дальше?...
Да хоть ДЫРЫ в БРАУЗЕРЕ!
Мы на ФАЙРФОКСЕ!»

Ответить | Правка | Наверх | Cообщить модератору

80. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Он им (?), 07-Апр-20, 16:43 
Ну конечно. На зло врагу. Лучше дырявый, но этот. Лучше хреновый, но не тот.
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +1 +/
Сообщение от Аноним (21), 03-Апр-20, 23:52 
Там эт, вроде гугл и денег предлагает, но ломать не спешат. Либо зиродей для единственного браузера на свободном рынке можно выгодней продать, либо есть некоторые проблемы с пробитием всех слоёв изоляции.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

25. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  –1 +/
Сообщение от iPony129412 (?), 04-Апр-20, 05:23 
Бабахает 💥 периодически
Деньги платят — ищут
https://www.opennet.ru/opennews/art.shtml?num=52084

Ну и да, песочница в Chromium тоже влияет.

Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  –3 +/
Сообщение от Аноним (22), 04-Апр-20, 01:42 
Предлагаю выпускать сразу корректирующие обновления Firefox хх.0.1, а то каждый раз уже
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  –4 +/
Сообщение от iZENemail (ok), 04-Апр-20, 12:29 
Уже Firefox 75.0 вышел, а вы всё Firefox 74.0 обновляете...
Ответить | Правка | Наверх | Cообщить модератору

66. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Оно им (?), 06-Апр-20, 14:03 
Да хоть 95! Что значимого сделано за последних... N лет? Ни-че-го! Как сломали браузер много лет назад, так и всё. Приехали.
Ответить | Правка | Наверх | Cообщить модератору

81. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Он им (?), 07-Апр-20, 16:48 
(Кстати, а страну кто развалил? Втихушку. На сходняке. Хорошее дело изподтишка не делают)
Ответить | Правка | Наверх | Cообщить модератору

75. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Суп без потрошков (?), 06-Апр-20, 21:28 
Аноны яро минусуют. Не хотят новых лис. Видать достали уже своими экзерсисами хитровые...ными. А путного ничего нет давно.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

31. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +1 +/
Сообщение от Аноним (-), 04-Апр-20, 13:02 
когда же на rust полностью firefox перепишут?
Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от segesg (?), 04-Апр-20, 20:00 
Servo
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Аноним (-), 04-Апр-20, 18:19 
Суммарная доля Firefox за март 2020 на всех платформах - 3,18% : https://www.netmarketshare.com/browser-market-share.aspx?opt...
Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Аноним (-), 04-Апр-20, 18:20 
https://www.netmarketshare.com/browser-market-share.aspx?opt...
Ответить | Правка | Наверх | Cообщить модератору

49. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +1 +/
Сообщение от iZENemail (ok), 05-Апр-20, 12:15 
Браузер Microsoft Edge превзошел по популярности Firefox: https://ru.gecid.com/news/brauzer_microsoft_edge_prevzoshel_.../

Цитата: "Согласно информации аналитической компании NetMarketShare, усилия Microsoft постепенно оправдывают себя. В марте доля веб-браузера Edge на ядре Chromium в сегменте десктопов и ноутбуков выросла до 7,59%. Это позволило ему подняться на второе место, оттеснив Firefox (7,19%) на третье. Неизменным лидером остается Chrome (68,5%). Также в пятерку лучших входят Internet Explorer (5,87%) и Safari (3,62%).

Аналитики предполагают, что Edge и далее будет укреплять свои позиции и подбираться к лидеру. Тем более что позже в этом году он станет предустановленным веб-браузером в Windows 10, и некоторые пользователи будут использовать его по умолчанию."

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

50. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +1 +/
Сообщение от MS (??), 05-Апр-20, 12:31 
> и некоторые пользователи будут использовать его по умолчанию.

а не будут брать - отключим газ!

Ответить | Правка | Наверх | Cообщить модератору

55. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Аноним (21), 05-Апр-20, 21:55 
Кстати ёж отличный браузер, быстрый и легковесный. В мире хромомонстров. Был.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

68. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Оно им (?), 06-Апр-20, 16:33 
На так хоть только гугл. А Ёж - это и микрософт и гугл вместе. Многовато будет!
Ответить | Правка | Наверх | Cообщить модератору

69. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Аноним (21), 06-Апр-20, 16:36 
Раньше он был без гугла, в том-то и дело.
Ответить | Правка | Наверх | Cообщить модератору

71. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Оно им (?), 06-Апр-20, 16:40 
Ну... раньше много чего было... лучше. :-)
Даже лиса.
Ответить | Правка | Наверх | Cообщить модератору

79. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Он им (?), 07-Апр-20, 16:41 
Ну, сейчас без гугла ничего не обходится. Даже мазила. Охромевает всё сильней и сильней.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

59. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Случайник (?), 06-Апр-20, 10:08 
gmail сломался или это мои глюки?
Ответить | Правка | Наверх | Cообщить модератору

60. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Оно им (?), 06-Апр-20, 11:37 
Это пандемия.
Ответить | Правка | Наверх | Cообщить модератору

61. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Оно им (?), 06-Апр-20, 11:48 
Уже 75-й, если что, вышел. Где же новость???
Ответить | Правка | Наверх | Cообщить модератору

62. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +1 +/
Сообщение от Аноним (62), 06-Апр-20, 13:24 
> Уже 75-й, если что, вышел. Где же новость???

Firefox 75 выйдет 7 апреля. https://wiki.mozilla.org/RapidRelease/Calendar
Сейчас это ещё не релиз, а тестовый выпуск для распространения по зеркалам. Завтра его могут объявить релизом. До официального объявления релиза его могут заменить или отложить, что уже случалось.

Ответить | Правка | Наверх | Cообщить модератору

63. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Оно им (?), 06-Апр-20, 13:58 
А это что???
https://download-installer.cdn.mozilla.net/pub/firefox/relea...
https://download-installer.cdn.mozilla.net/pub/firefox/relea...
Ответить | Правка | Наверх | Cообщить модератору

64. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +1 +/
Сообщение от Оно им (?), 06-Апр-20, 13:59 
Тем не менее, он не помечен ни как бэта, ни как рц. А то, что могут откатить финал, это случается.
Ответить | Правка | Наверх | Cообщить модератору

74. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Суп без потрошков (?), 06-Апр-20, 21:25 
Вышел на день раньше запланированной даты. Подготовили к 7 апреля релиз 75.0, загрузили на релизные сервера и запустили тестирование версии 76.0b1 Какие тут могут быть тестовые выпуски?!
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

76. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Аноним (62), 06-Апр-20, 22:30 
Mozilla загружает выпуск для распространения по зеркалам за несколько дней до намеченного релиза. Имя файла при этом как у релиза, но на деле это лишь кандидат в релизы. Если в последний момент проблем не обнаружено объявляют о релизе.

На сайте специально для любителей сообщать о релизе раньше времени они даже специально написали https://wiki.mozilla.org/Firefox/Roadmap/Updates

2020-04-06
    Firefox 74.0.1 is our latest stable release.
    Firefox 75 is in the Beta channel as the final release candidate. 75 will ship to our stable release audience tomorrow, Tuesday, April 7th

Ответить | Правка | Наверх | Cообщить модератору

77. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Он им (?), 07-Апр-20, 08:39 
Есть ветка ftp
Index of /pub/firefox/candidates/
А есть
Index of /pub/firefox/releases/

Если билд находится в
Index of /pub/firefox/releases/
то он уже никак не может быть кандидатом в релизы так как он уже и есть релиз.

Ответить | Правка | Наверх | Cообщить модератору

84. "Обновление Firefox 74.0.1 и 68.6.1 с устранением 0-day уязви..."  +/
Сообщение от Philipemail (??), 26-Апр-20, 09:35 
Я не уверен почему, но после прочтения этой темы я чувствую, что ухожу из США и переезжаю в Россию. Ну, я знаю почему, я просто не уверен, почему я думаю об этом сейчас. Каждый день, когда я не заперт в клетке, где горячая вода из-под крана с растворимым кофе считается предметом роскоши, является благословением.

Я слышал, когда вы, ребята, встречаетесь с полицией, вы можете просто дать им деньги, и они оставят вас в покое? Здесь они сажают наркотики в твою машину и запирают тебя. Вы должны заплатить тысячи долларов за освобождение, пока вы ждете суда. Это если вы можете догадаться, какой друг поднимет трубку и у вас будет достаточно денег, чтобы выручить вас. В противном случае вы просто ждете в тюрьме до суда. Это может занять месяцы.

(Мы все чаще слышим о том, что зависимые от опиатов умирают в тюрьмах от комбинации изъятия и обезвоживания. Большую часть времени их единственным преступлением является то, что они вообще были зависимыми от опиатов. Охранники думают, что наблюдать за их смертью интересно, и они никогда нести ответственность.)

Даже если вы невиновны, лучше просто признать себя виновным, потому что вы рискуете получить более длительный срок, если вас осудят неправильно, чем если вы просто заключите любую сделку, которую они предлагают. Когда мы молоды, они говорят нам, что полиция защищает нас от злых людей, но злые люди, которых я боюсь больше всего, сами являются полицией.

Полагаю, я снова начну изучать русский язык. Сложнее всего переключать режимы и не видеть буквы, похожие на латинские буквы, как латинские буквы. Интересно, как так получилось, что есть общие символы, некоторые из них фонетически одинаковые, а другие совершенно разные?

Я пришел сюда в поисках примера того, как вредоносная страница может использовать уязвимость пользователя после освобождения. Это кажется особенно опасной уязвимостью, поскольку возможно запускать эксплойты в системах, где установлены типичные средства защиты, такие как отключенный JavaScript.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру