The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9

24.09.2008 10:21

В релизе Firefox 3.0.2 устранено 5 проблем безопасности, из которых две помечены как критические (на самом деле критических уязвимостей 6, но они объединены в два отчета):

  • MFSA 2008-42 - в системе обработки изображений и JavaScript-движке исправлено несколько ошибок, которые могли привести к краху браузера и повреждению участков памяти процесса. Некоторые из проблем можно использовать для выполнения кода с правами браузера. Интересно, что в рамках данного отчета представлено четыре разных критических уязвимости;
  • MFSA 2008-41 - злоумышленник может ввести в заблуждение враппер XPCnativeWrapperPrivilege или сформировать некорректный XSLT документ, что может привести к выполнению кода вне изолированного окружения с привилегиями браузера.
  • Из некритических проблем отмечена возможность выхода за пределы текущей директории через обработчик "resource:" при использовании закодированных слэшей (MFSA 2008-44). Автоматическое вырезание некоторых символов из JavaScript блока может быть использовано для организации межсайтового скриптинга (MFSA 2008-43).
  • Уязвимость, имеющая самый низкий уровень опасности, оказалась самой интересной. В сообщении упоминается возможность совершения атаки click-hijacking, когда перед самым кликом мышью на валидной ссылке, страница сдвигается и пользователь кликает на ссылку подставленную злоумышленником ( MFSA 2008-40).

Кроме устранения уязвимостей, в Firefox 3.0.2 повышена стабильность работы (особенно это заметно при использовании Hotmail и MSN), добавлена поддержка Gmail в качестве обработчика "mailto:" (Preferences / Applications / mailto: / Content Type / Gmail), добавлены новые корневые сертификаты, использующие Extended Validation (EV), обновлён русский словарь проверки орфографии, в который добавлена поддержка буквы «Ё». Про изменение политики отображения пользовательского соглашения (EULA) в анонсе ничего не сообщается, разработчики Ubuntu настояли на своей правоте.

В релизе Firefox 2.0.0.17 и SeaMonkey 1.1.12, кроме упомянутых выше уязвимостей, исправлены следующие серьезные проблемы безопасности:

  • MFSA 2008-39 - в коде feedWriter найдена уязвимость, позволяющая выполнить код вне изолированного окружения;
  • MFSA 2008-37 - при парсинге специальным образом закодированного URL, содержащего некорректные UTF-8 последовательности, может быть инициировано переполнение буфера и выполнен код в системе;
  • MFSA 2008-38 - в nsXMLDocument::OnChannelRedirect() обнаружена проблема, позволяющая злоумышленнику выполнить JavaScript код в контексте другого сайта.

В заключение, можно сообщить о выходе календаря-планировщика Mozilla Sunbird 0.9 и, построенного на его основе, плагина для Thunderbird - Lightning 0.9. В новом релизе Lightning добавлена поддержка CalDAV и iMip/iTip, представлено несколько улучшений, связанных с внешним видом и юзабилити. Сообщается, что Lightning 0.9 является последней версией с поддержкой Thunderbird 2.0, следующие версии будут ориентированы только на Thunderbird 3.

Дополнение: На следующей неделе ожидается выход Firefox 3.0.3 с исправлением ошибки внесенной в Firefox 3.0.2 и проявляющейся в виде нарушения функций подстановки сохраненных ранее паролей, в которых встречаются символы национальных алфавитов (non-ASCII).

  1. Главная ссылка к новости (http://developer.mozilla.org/d...)
  2. OpenNews: Реакция Mitchell Baker на возмущение разработчиков Ubuntu
  3. OpenNews: Конфликт из-за изменения политики распространения новой версии Firefox
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/18066-mozilla
Ключевые слова: mozilla, firefox, calendar
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, kost BebiX (?), 11:42, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин, что бы кто не гнал на убунту, а только что проснулся, вначале обновил убунту и лишь потом прочитал новость. Капец. Молодцы.

    Федора, думаю, дня через 3 обновится.

     
     
  • 2.14, User294 (??), 23:36, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Блин, что бы кто не гнал на убунту, а только что проснулся,
    >вначале обновил убунту и лишь потом прочитал новость. Капец. Молодцы.

    Да, оперативно сработали.Убунтуйцам зачот: убунтуйский апдейт приехал раньше виндовой версии (!!!).Вот так вот репозитории поддерживать надо...

     

  • 1.2, Frank (??), 11:53, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > обновлён русский словарь проверки орфографии, в который добавлена поддержка буквы «Ё»

    Наконец-то! Уже качается :)

     
  • 1.3, Аноним (-), 12:04, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плин, у мя после обновления на бунте все сохраненные пароли пропали (это не критично), хуже что он их теперь вобще не сохраняет, хотя в настройках стоит эта опция. Ни у кого такого не было?
     
     
  • 2.4, Deam (?), 12:14, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Плин, у мя после обновления на бунте все сохраненные пароли пропали (это
    >не критично), хуже что он их теперь вобще не сохраняет, хотя
    >в настройках стоит эта опция. Ни у кого такого не было?
    >

    В releasenotes указано: "На определённых IDN сайтах менеджер паролей неправильно подставлял в поля сохранённые логины и пароли."
    Может из-за этого?

     
  • 2.16, XAnder (ok), 13:37, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >все сохраненные пароли пропали

    Да, досадная бага всплыла. См. обсуждение здесь: http://forum.mozilla-russia.org/viewtopic.php?id=26565

    Общий смысл упрощённо таков: сохранённые пароли не пропадают, просто обновлённый Лис их в упор не видит, если хотя бы в одном используются не-ASCII символы. Спасает откат на 3.0.1. Грустно :(

     
  • 2.17, waf (ok), 16:03, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Плин, у мя после обновления на бунте все сохраненные пароли пропали (это
    >не критично), хуже что он их теперь вобще не сохраняет, хотя
    >в настройках стоит эта опция. Ни у кого такого не было?

       У меня наоборот -- заработала автоподстановка имени-пароля на netvibes.com , которые я уже заколебался вводить руками. В 3.0.3 обещают исправить :-D .

     

  • 1.5, EMail (?), 13:01, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В релизе Firefox 3.0.2 устранено 5 проблем безопасности, из которых две помечены как критические (на самом деле критических уязвимостей 6, но они объединены в два отчета)

    Р Е Ш Е Т О

    P.S. У меня такое ощущение, что javascript придумали специально для облечения взлома. Даже в библиотеках для парсинга статического содержимого находят кучи уязвимостей. Ведь должно быть ясно что javaspript на порядки сложнее и соответственно пропорционально возрастёт кол-во уязвимостей. Теперь веб браузер похож на кривую недоос. Может быть кто-нибудь прояснит чем руководствовались при внедрении javascript?

     
     
  • 2.6, Konwin (ok), 13:08, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ваши предложения по алтернативе?
     
  • 2.11, Knuckles (ok), 16:58, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте что-нибудь о развитии веб.
    И не надо психовать, будто вас уже хакнули.
     
  • 2.15, User294 (??), 23:41, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Р Е Ш Е Т О

    Замечательно, пля, а ваши предложения?В опере недавно вон тоже дыр нашли.Вебкиту тоже думаю достанется на орехи по мере популяризации.Гугель вон уже отхватил секурити багов.С популярностью в отсилы 1% и сразу же после выхода своего браузера.И чего теперь?Засунуться в железобетонный бункер на глубине полкилометра (а то мало ли, метеориты, ялерные ракеты) и пользовать только убогий линкс?

    >P.S. У меня такое ощущение, что javascript придумали специально для облечения взлома.

    ...поэтому для файрфокса придумали NoScript, который включает JS только там где реально надо и одобрено вами.Ну а заодно давится такой тип атак как XSS до кучи.Весьма недурненько.

    >чем руководствовались при внедрении javascript?

    А чем руководствовались при написании OS?В них тоже баги находят.Прикиньте?!И вообще, жить страшно - от этого умирают...

     

  • 1.7, Аноним (7), 13:15, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня нет mailto:gmail,  только яндекс и yahoo.. Обманули?
     
  • 1.8, Аноним (8), 13:21, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    обновлённая Win32 версия, со старым профайлом, уже умудрилась раза 4 за день упасть, "стабильность" повысилась, да :)))
     
     
  • 2.9, vitek (??), 14:23, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >обновлённая Win32 версия, со старым профайлом, уже умудрилась раза 4 за день
    >упасть, "стабильность" повысилась, да :)))

    виндоус перестанавливать не пробовали?

     
  • 2.13, Konwin (??), 21:55, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >обновлённая Win32 версия, со старым профайлом, уже умудрилась раза 4 за день
    >упасть, "стабильность" повысилась, да :)))

    Что вы  сним сделали - у меня бета-то почти не падала.

     

  • 1.10, Хоменко (ok), 14:32, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ... возможность совершения атаки click-hijacking, когда перед самым кликом мышью на валидной ссылке, страница сдвигается и пользователь кликает на ссылку подставленную злоумышленником

    Дайте две!

    Все, завтра иду на ыкрипт-кидди.сом и братаюсь с реальными пацанами!

     
     
  • 2.12, Knuckles (ok), 17:01, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Смех смехом, а ***** кверху мехом ;)
    Уязвимость-то действительно интересная. Хотя бы в плане изобретательности :)
     

  • 1.18, Аноним (7), 16:36, 25/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в "самом безопасном" браузере заткнули еще кучу дырок :)
     
     
  • 2.20, Konwin (ok), 10:21, 26/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >в "самом безопасном" браузере заткнули еще кучу дырок :)

    Он по тому и весьма безопасен, что дырки затыкают, и затыкают весьма оперативно, и это может сделать любой желающий, даже вы, если прекратите брызгать желчью и уже сделаете что-нибудь полезное.


     

  • 1.19, Аноним (7), 20:00, 25/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Смешно, ей-богу :)

    О чем спор собственно?
    О том, что кто-то из разработчиков чего-то не углядел или не протестил? Баги, в т.ч. секюрити? Так, а где их нет? Покажите, ткните "рылом" в прогу/ось/etc, где нет багов!
    Критика - это конечно не плохо, но не стоит забывать, что Вы, и я в том числе, получаете этот продукт б е с п л а т н о. И, если сравнить бесплатное без гарантий и, платное (например от мелкомягких) без гарантий, то вывод очевиден - бесплатное выигрывает, в том числе и в плане устранения уязвимостей. Любой! желающий может влиться в процесс, и своими руками исправить парочку багов, после чего, с чусвтвом выполненного долга, откинуться на спинку кресла, и выпить за "свое" (а ведь оно уже будет именно своим) детище банку/бутылку/ящик пива ;)
    Если я не прав - поправьте ;)

     
  • 1.21, Deam (?), 06:23, 28/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже вышел Firefox 3.0.3, исправили багу с паролями.
    http://www.mozilla-europe.org/ru/firefox/3.0.3/releasenotes/
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру