The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Firefox 66.0.1 и Tor Browser 8.0.8 с устранением уязвимостей

23.03.2019 08:27

Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных web-страниц. Рабочие эксплоиты для данных уязвимостей были продемонстрированы вчера на соревновании Pwn2Own 2019 командой Fluoroacetate и исследователем Niklas Baumstark. За демонстрацию эксплоитов было выплачено 90 тысяч долларов.

Обе уязвимости выявлены в коде JIT-компилятора. Первая проблема (CVE-2019-9810) вызвана некорректной проверкой границ из-за передачи в JIT неверной информации об алиасах при выполнении метода Array.prototype.slice, что можно использовать для инициирования переполнения буфера. Вторая уязвимость (CVE-2019-9813) связана с неверным выводом типов при обработке изменения объектов при помощи конструкции "__proto__", что позволяет прочитать и записать данные в произвольные области памяти.

  1. Главная ссылка к новости (https://blog.torproject.org/ne...)
  2. OpenNews: На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox
  3. OpenNews: В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации
  4. OpenNews: Для Firefox развивается режим строгой изоляции страниц
  5. OpenNews: Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
  6. OpenNews: Релиз Firefox 66
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: firefox, pwn2own
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (48) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, microcoder (ok), 09:18, 23/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Оперативно мозиловцы отреагировали
     
     
  • 2.7, Аноним (-), 11:28, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Лучше бы они свою копию freetype ещё починили. В bionic убунте везде и в хроме шрифты нормальные, а в огнелисе буквы друг на друга налазиют.
     
     
  • 3.9, анон (?), 11:33, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    У меня в лисе системные настройки шрифтов и отличное отображение без проблем.
     
     
  • 4.10, Аноним (-), 12:05, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А у меня вообще дефолтные настройки и дефолтные пакеты, только хромиум одну и ту же страницу рендерит нормально, а лиса криво.
     
     
  • 5.41, forum reader (?), 10:38, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какую? Давай ссылку.
     
     
  • 6.44, Аноним (-), 13:49, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот например: https://autoreview.ru/articles/interv-yu/volvo-interview-2019 (смотреть как рендерится жирный "Алексей Тарасов" и курсивное "Volvo").
     
     
  • 7.45, Аноним (45), 19:56, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересно, как у вас получилось жирное и курсивное? Если поотключать немного стилей, то да, будет как надо. А так, они там одно на другое понапилили, и в итоге всё полужирным. Ну и вообще, отдельных вопросов вызывает ныншений веб-дизайн, который упарывается до такого:
    'letter-spacing: -0.2px;'

    У меня большая часть внешних шрифтов отключена, и зааамечательно.

     
  • 7.46, Stax (ok), 15:11, 26/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще одинаково рендерится в фоксе и хроме.
    (FF 66, F29, freetype 2.9.1, rgb/hintslight)
     
  • 7.51, forum reader (?), 12:55, 30/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот например: https://autoreview.ru/articles/interv-yu/volvo-interview-2019 (смотреть
    > как рендерится жирный "Алексей Тарасов" и курсивное "Volvo").

    Не вижу описанной проблемы, рендерится нормально.

     
  • 2.12, th3m3 (ok), 12:19, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато в Ubuntu, неизвестно когда завезут.
     
     
  • 3.14, iPony (?), 13:11, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ESR уже есть https://snapcraft.io/firefox
     
  • 3.15, Все не так (?), 15:57, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Берётся отсюда https://launchpad.net/~ubuntu-mozilla-security/+archive/ubuntu/ppa/+packages?f

    А ждать синхронизации можно неделю.

     
  • 3.29, Gannet (ok), 00:57, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ppa:ubuntu-mozilla-security/ppa подключи уже наконец
     
  • 3.35, VINRARUS (ok), 15:23, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    LOL, никогда не понимал смысла огнепанды с логотипом дистрибутива.
    Мечта слоупока какая то.
     
     
  • 4.37, HyC (?), 19:01, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ходьба по bleeding edge граблям - способ добавить себе адреналина. Кто-то с моста на резинке прыгает, кто-то сервис пак на венду в день выхода одевает...
     

  • 1.2, Аноним (2), 09:39, 23/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    очень примечателен тот факт, что коля работает в макинтоше
     
     
  • 2.13, username (??), 12:33, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Псст, братан.
    Макинтош платформа для разработчиков.  Де факто.
    В некоторых бедных странах правда есть обратное мнение)
     
     
  • 3.22, th3m3 (ok), 21:01, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Поэтому разработчики бегут назад на GNU/Linux, после некоторого времени мучений с macOS?
    Может быть когда-то они и имели крутое железо и хороший софт, хотя бы системный, под него заточенный. Сегодня же - уже не осталось былого величия Яблока. Они профукали все полимеры. Клавиатура в новых Макбуках, как западала, так и продолжает западать. Со временем, некоторые клавиши печатают несколько символов за раз. И это в течении нескольких месяцев юзания! Их модная тачполоска, часто тупо зависает. Ядро Макоси может падать в самый неожиданный момент и ронять всю систему. Переключение раскладки клавы, так же может глючить. И других проблем - вагон и маленькая тележка. Да, это ваше современное яблоко. Да ещё и за такие бабки. Это никуда не годится. Всё, яблоко скатилось.
     
     
  • 4.23, username (??), 22:11, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > Может быть когда-то они и имели крутое железо и хороший софт, хотя
    > бы системный, под него заточенный. Сегодня же - уже не осталось
    > былого величия Яблока. Они профукали все полимеры. Клавиатура в новых Макбуках,
    > как западала, так и продолжает западать. Со временем, некоторые клавиши печатают
    > несколько символов за раз. И это в течении нескольких месяцев юзания!
    > Их модная тачполоска, часто тупо зависает. Ядро Макоси может падать в
    > самый неожиданный момент и ронять всю систему. Переключение раскладки клавы, так
    > же может глючить. И других проблем - вагон и маленькая тележка.
    > Да, это ваше современное яблоко. Да ещё и за такие бабки.
    > Это никуда не годится. Всё, яблоко скатилось.

    То что железки нынче пошли не совсем здравые и в угоду толщине это отдельный вопрос. Сам еппл вроде как уже понял что путь вникуда.
    Однако все остальное не подтверждаю. Тачбар не видел зависающим, краши ос вещь довольно редкая.
    Те проблемы что есть - пустяк по сути.
    А какие такие "бабки" стит apple? Ноуты и телефоны почти сравнялись с ним в цене. Если не смотреть на бютжетные сегменты.

     
     
  • 5.30, Gannet (ok), 01:01, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ябломышь всё ещё с одной кнопкой? :)
     
     
  • 6.38, username (??), 20:36, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ябломышь всё ещё с одной кнопкой? :)

    Хз, никогда ею не пользовался. По идее да, там какой то свой воркфлоу походу.

     
  • 5.31, Аноним (-), 02:06, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чего там с чем сравнялось? Яблоко как было дорогущим, так и остается, при несоответствии цены и качества. Что дороже айфона на сегодняшний день? А что дороже макбука? Можем посмотреть и в сторону моноблоков.. та же картина!
     
     
  • 6.40, username (??), 20:43, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Чего там с чем сравнялось? Яблоко как было дорогущим, так и остается,
    > при несоответствии цены и качества. Что дороже айфона на сегодняшний день?
    > А что дороже макбука? Можем посмотреть и в сторону моноблоков.. та
    > же картина!

    Вероятно мы живем в разных странах. У меня ноутбуки в сетевых магазинах уже поболее маков стоят. При том что они через год уже 50% в цене потеряют.

     
  • 4.24, username (??), 22:12, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Может быть когда-то они и имели крутое железо и хороший софт, хотя
    > бы системный, под него заточенный. Сегодня же - уже не осталось
    > былого величия Яблока. Они профукали все полимеры. Клавиатура в новых Макбуках,
    > как западала, так и продолжает западать. Со временем, некоторые клавиши печатают
    > несколько символов за раз. И это в течении нескольких месяцев юзания!
    > Их модная тачполоска, часто тупо зависает. Ядро Макоси может падать в
    > самый неожиданный момент и ронять всю систему. Переключение раскладки клавы, так
    > же может глючить. И других проблем - вагон и маленькая тележка.
    > Да, это ваше современное яблоко. Да ещё и за такие бабки.
    > Это никуда не годится. Всё, яблоко скатилось.

    Не наблюдаю массового отказа от маков. По прежнему в моей среде общения 6 из 10 разработчиков(не веб) на мак ос. Остальные на win/lin

     
     
  • 5.32, Аноним (-), 02:08, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    8 из 10 пьют колу и это значит что она полезна?
     
  • 4.25, НяшМяш (ok), 22:30, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Про железо отчасти согласен. Последний относительно нормальный макбук - прошка 2015 года. Где нормальная магнитная зарядка, есть усб порты и беспроблемная клавиатура. Мак мини с 4 ядрами 2012 года тоже неплохая машинка. Дальше стало только хуже и дороже.

    Однако за операционку я с вами не соглашусь. Юзаю хакинтош примерно с 2012 года. В прошлом году заводил на новом компе - по сравнению с 2012 годом в этот раз только кловер к кекстами поставил и всё. Система думает, что аймак, всё железо работает, спокойно ставятся обновления. Я линукс на планшете с атомом дольше заводил.

     
     
  • 5.39, username (??), 20:38, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Про железо отчасти согласен. Последний относительно нормальный макбук - прошка 2015 года.
    > Где нормальная магнитная зарядка, есть усб порты и беспроблемная клавиатура. Мак
    > мини с 4 ядрами 2012 года тоже неплохая машинка. Дальше стало
    > только хуже и дороже.
    > Однако за операционку я с вами не соглашусь. Юзаю хакинтош примерно с
    > 2012 года. В прошлом году заводил на новом компе - по
    > сравнению с 2012 годом в этот раз только кловер к кекстами
    > поставил и всё. Система думает, что аймак, всё железо работает, спокойно
    > ставятся обновления. Я линукс на планшете с атомом дольше заводил.

    Если у вас есть желание тратить время на возню с хакинтошем то по идее она вам не так и нужен.
    Времена хакинтоша прийдут к концу после отказа от интел. А это в ближайшие 5 лет думаю.

     
  • 4.43, нах (?), 13:10, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому разработчики бегут назад на GNU/Linux, после некоторого времени мучений с macOS?

    Линус, надеюсь, уже сбежал?

    P.S. скажите честно - вы вот сами испытывали все эти неисчислимые страдания с падающим ядром, зависающим ios в таче и западающей клавиатурой, или это баба-маня на реддите вам напела?

     
  • 4.50, Аноним (50), 04:41, 28/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ...реальная боль с этой клавой ... поменял по гарантии и теперь реально бред, от страха купил на али клеенку для клавы ....
     

  • 1.3, ы (?), 09:49, 23/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    как думаете, собирать 60.6.1 или подождать час-пару-тройку(-день-другой) выхода .6.2 или .7?
     
     
  • 2.4, аккаунт или человек (?), 10:11, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > как думаете, собирать 60.6.1 или подождать час-пару-тройку(-день-другой) выхода .6.2
    > или .7?

    вам шашечки или ехать? Если ехать - то можно пользоваться практически любой версией. Если шашечки, то можно яблоки с мылом мыть.

     
     
  • 3.5, ы (?), 10:18, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    шо, правда любой? честно-честно? разрешаешь?
     
     
  • 4.19, Аноним (19), 19:19, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что по факту они все дырявые.
     
  • 2.6, Аноним (6), 10:21, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И теперича, и опосля.
     

  • 1.8, Тот_Самый_Анонимус (?), 11:32, 23/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8

    Это разные новости. Не надо тор пихать к лисе. Кому нужна лица торшнягу качать не будет, и наоборот.

     
     
  • 2.11, axredneck (?), 12:08, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Tor Browser основан на Firefox, так что, считай, в нем обновили ту часть, которая от Firefox, с устранением тех же двух уязвимостей.
     
  • 2.17, Ключевский (?), 16:23, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Tor Browser это сборка Firefox'а с предустановленными экстеншенами.
     
     
  • 3.18, Тот_Самый_Анонимус (?), 19:15, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    И что? А абанта — дебиан со своими настройками. Это разные продукты.
     
     
  • 4.20, Аноним (20), 19:21, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > абанта

    Не существует.

     
     
  • 5.48, Тот_Самый_Анонимус (?), 06:13, 27/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> абанта
    > Не существует.

    Пользователям абанты не говори только.

     
  • 4.27, Аноним (27), 23:39, 23/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А болгенОС вообще написана с нуля, да.
     
  • 4.42, forum reader (?), 10:43, 25/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "абанта" это из какой подворотни слэнг?
     
     
  • 5.47, Тот_Самый_Анонимус (?), 06:12, 27/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > "абанта" это из какой подворотни слэнг?

    Из той же где и «шиндовс» говорят.

     
  • 2.34, Аноним (34), 03:19, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Кому нужна лица торшнягу качать не будет, и наоборот

    Смешное утверждение.

     

  • 1.26, Аноним (26), 23:03, 23/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Корректирующий выпуск, это хорошо.
    Обрадовался.
    Установил.
    Так "66.0.1" падал каждую минуту в течении часа.
    З а д о л б а л!
    Здорово же его откорректировали!
    Вернулся на просто - 66.
    Если что, я порхаю по инету исключительно на Porteus.
     
     
  • 2.28, Аноним (28), 00:22, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Недаром в debian не спешит обновлять.
     
     
  • 3.33, Аноним (-), 02:17, 24/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну смотря где - https://packages.debian.org/sid/firefox
     

  • 1.49, Аноним (49), 23:27, 27/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > корректирующие выпуски Firefox 66.0.1

    Уже firefox 66.0.2 вышел. За неделю три релиза. Ну куда столько?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру