URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 101925
[ Назад ]
Исходное сообщение
"Обновление Firefox 37.0.1 с устранением  критической уязвимости"
Отправлено opennews , 04-Апр-15 08:30 
Доступно (https://www.mozilla.org/en-US/firefox/37.0.1/releasenotes/) корректирующее обновление web-браузера Firefox 37.0.1, в котором устранены две уязвимости (https://www.mozilla.org/en-US/security/known-vulnerabilities...). Первая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-44/) отнесена к категории критических проблем и позволяет обойти проверку SSL-сертификатов при установке защищённого HTTPS-соединения, открывая двери для MITM-атак. Атака производится через манипуляции с заголовком Alt-Svc (https://tools.ietf.org/html/draft-ietf-httpbis-alt-svc-04), позволяющим задействовать для HTTP/2 режим  шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. До момента окончательной проверки технологии поддержка HTTP/2 Alt-Svc в Firefox отключена.


Вторая уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2015-43/) позволяет в режиме читателя (Reader Mode) осуществить обращения к привилегированным браузерным ресурсам. Проблема проявляется в Firefox для Android и в экспериментальных сборках для разработчиков. В новой версии также устранены проблемы, приводящие к краху браузера на системах, содержащих определённое графическое оборудование и стороннее ПО.

URL: https://www.mozilla.org/en-US/firefox/37.0.1/releasenotes/
Новость: http://www.opennet.me/opennews/art.shtml?num=41971

Содержание
Сообщения в этом обсуждении
"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено Аноним , 04-Апр-15 08:37 
>Атака производится через манипуляции с заголовком Alt-Svc, позволяющим задействовать для HTTP/2 режим шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. До момента окончательной проверки технологии поддержка HTTP/2 Alt-Svc в Firefox отключена.

Это не баг, это фича.

"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено Аноним , 04-Апр-15 13:06 
Увеличили номер версии, исправив две фичи. Сложно представить, каков инкремент, если кнопку добавят
"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено Анончик , 05-Апр-15 18:06 
изменили номер с 37.0 до 37.0.1, все нормально, до системГЭ далеко еще
или не надо было выпускать обнову?
"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено Аноним , 04-Апр-15 13:11 
Надо было уменьшить?
"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено Аноним , 04-Апр-15 14:14 
курим http://semver.org/ https://ru.wikipedia.org/wiki/%D0%9E%D0%...
"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено XXasd , 04-Апр-15 15:51 
Этого стоило ожидать.. Я в первый день (v37) заметил странное поведение Alt-Svc .

Можно было зайти на НЕвалидный https в случае если на него происходит переадресация из http--Alt-Svc . firefox в этом случае отображал https как безопасное.

Наверно это была бы самая лёгкая MitM :-)

"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено XXasd , 04-Апр-15 15:53 
Переадресация -- имеется ввиду 303 например
"Обновление Firefox 37.0.1 с устранением  критической уязвимо..."
Отправлено Аноним , 04-Апр-15 19:28 
И похоже сломали возможность входить на страницы с не доверенными сертификатами, кнопка "Добавить исключение" - не работает.
"падает видеодрайвер"
Отправлено Аноним , 07-Апр-15 13:32 
после вчерашнего обновления до 37.0.1 появилась проблема в работе видеодрайвера. периодически ноут полностью зависает и спасает только жесткий ребут. кто может сталкивался?
"падает видеодрайвер"
Отправлено marsoksana , 08-Апр-15 03:00 
Вчера стала виснуть, решила переустановить, но может есть решение?