Доступны корректирующие выпуски Firefox 44.0.1 и 38.6.1 ESR, в которых устранены критические уязвимости.  Кроме изменений, связанных с безопасностью, в выпуске Firefox 44 также устранена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1243098), приводившая к крахам и зависаниям во время запуска браузера.

-  В выпуске 44.0.1 устранена  уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2016-13/) (CVE-2016-1949), позволяющая через манипуляции Service Workers и Flash-плагина обойти механизм same-origin и получить доступ к данным сайта, открытом в другом окне. -  В 38.6.1 обновлена библиотека graphite2, в которой исправлена уязвимость (https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/) (CVE-2016-1523), позволяющая (http://blog.talosintel.com/2016/02/vulnerability-spotlight-l...) организовать выполнение кода при обработке специально оформленного шрифта (в Firefox 44 используется версия Libgraphite 1.3.5, которая не подвержена проблеме).

URL: https://www.mozilla.org/en-US/firefox/44.0.2/releasenotes/
Новость: http://www.opennet.me/opennews/art.shtml?num=43859

• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,АнонимХ, 08:56 , 12-Фев-16
  • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,paulus, 13:12 , 12-Фев-16
  • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 15:10 , 12-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 09:11 , 12-Фев-16
  • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,botman, 10:25 , 12-Фев-16
    • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,meequz, 14:33 , 12-Фев-16
    • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Led, 00:10 , 13-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,QuAzI, 10:28 , 12-Фев-16
  • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 12:09 , 12-Фев-16
    • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 13:14 , 12-Фев-16
      • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 14:46 , 12-Фев-16
      • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 14:54 , 12-Фев-16
        • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 23:32 , 12-Фев-16
          • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 00:43 , 13-Фев-16
          • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 01:12 , 13-Фев-16
            • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 02:15 , 13-Фев-16
              • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 02:19 , 13-Фев-16
                • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 02:40 , 13-Фев-16
              • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 02:31 , 13-Фев-16
                • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 02:48 , 13-Фев-16
                  • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 03:03 , 13-Фев-16
                    • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 15:47 , 13-Фев-16
                      • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,q47568756, 02:54 , 14-Фев-16
        • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Led, 00:12 , 13-Фев-16
          • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 01:15 , 13-Фев-16
      • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Anonplus, 15:05 , 12-Фев-16
    • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,QuAzI, 21:40 , 12-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,DmA, 15:25 , 12-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,DmA, 15:27 , 12-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 22:28 , 12-Фев-16
  • В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,QuAzI, 13:01 , 13-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,Аноним, 19:23 , 13-Фев-16
• В Firefox 44.0.2 и 38.6.1 устранены опасные уязвимости,iZEN, 20:14 , 15-Фев-16

>оформленного шрифта

Если бы не мода пихать в шрифты картинки (изображения контролов), как на гитхабе, давно бы отказался от загружаемых шрифтов.

да, раньше можно было спокойно жить без подгружаемых шрифтов :(

Люто плюсую! Там еще twitter и дофигища всего прочего :(

Приводящая к крахам и зависаниям В ВИНДЕ

Буквально вчера вечером отцу в Windows 10 брат кинул ссылку на сайт объявлений где не отрабатывался переход между фотками. Не скажу что это крах и зависание но глюк пропал именно после обновления 44.0.1 до 44.0.2. А на YouTube и без этого хватает косяков, ну и что что это не в виндовс.

И как, выжил?

вендузятники должны страдать.

Осталась уязвимость, при которой переданные в строке URL параметры авторизации для FTP (адрес вида ftp://login:pass@host) передаются на третью сторону при наличии в пароле некоторых символов. Пользователь это видит как отрытие указанного урла в строке поиска.
А ещё есть у линухового Skype есть весёлая уязвимость передающая данные авторизации налево. Если вход на сайт защищён авторизацией (имеется ввиду авторизация на уровне http-сервера, а не веб-морды), то Skype при клике на ссылку в сообщениях спрашивает к ней логин/пароль. Диаложка ввода выглядит как браузерная. И внимания бы не обратил, если бы следом браузер ОПЯТЬ не спросил бы авторизацию.

Багрепорт уже отправлен, надеюсь?

В MS забили на Skype for Linux, новых версий можно вроде как не ждать. [http://community.skype.com/t5/Linux/Skype-5-0-for-linux/td-p....

Удалите скобку в конце ссылки, тогда откроется.

> В MS забили на Skype for Linux

И правда – cовсем неожиданный поворот событий! Ведь кто бы мог предположить!

*вспоминает, как еще пару месяцев назад некоторые особо упоро^W одаренные убунтоводы опеннета, важно надувая щеки, с гордостью заявляли, что-де у них скайп из коробки, в отличии от всяких проприетарных подстилок!*

Запустить Skype для браузера БЕТА

Звук и видео требуют установки плагина, который опять почему-то работает только в Винде и Маке. Зачем нужен скайп без аудио и видео? Чатиков в влинуксе и так полно.

> Запустить Skype для браузера БЕТА

Ну вот вы и спалились

https://support.skype.com/ru/faq/FA34515/znakomstvo-so-skype...
> Эта статья недоступна для выбранной платформы.
>  Поддерживаемые веб-браузеры на устройствах с операционной системой Windows: Microsoft Edge, Internet Explorer 10 и более поздние версии,
>а также последние версии Chrome и Firefox. На устройствах с операционной системой Mac OS: Safari 6 и более поздние версии.

Не понял к чему это. Пояснения мне не нужно.

Я хоть и знаю об этом около двух месяцев, сам я им с сайта не пользовался не разу и даже не разу не авторизовывался с сайта, чтобы посмотреть как это работает.

> Не понял к чему это. Пояснение мне не нужно.
> Я хоть и знаю об этом виде S. около двух месяцев, сам я им
> с сайта не пользовался не разу и даже не разу не
> авторизовывался с сайта, чтобы посмотреть как это работает.

Не понял к чему это. Я об этом: "Ну вот вы и спалились" - пояснение мне не нужно.

> сам я им
> с сайта не пользовался не разу и даже не разу не
> авторизовывался с сайта, чтобы посмотреть как это работает.

Но тем не менее, ссылку в качестве ответа на вопрос "что делать с поддержкой скайпа в не-виндо-маках" привели.

Рукалицо.жпг

Остынь. И не ссылку, а намёк, что искать в поисковике.

Я не как не пытался усложнить поиск адреса сайта тем, что не дал прямой ссылки, а дал намёк в виде фразы зная, что могут и нагрубить в ответ.

> Я не как не пытался усложнить поиск адреса сайта тем, что не
> дал прямой ссылки, а дал намёк в виде фразы зная, что

В общем, не зная толком сами, о чем речь, "опровергли" утверждение, будто бы МС забил на поддержку Скайпа в не-виндо-маках? Причем да, не ссылкой, а намеком, который гуглится вполне однозначно.

> могут и нагрубить в ответ.

"Вы спалились" - не грубость https://ru.wiktionary.org/wiki/%D0%BF%D0%...

Хотя как раз за такие "ответы" в стиле школоты и/или веб 2.0, было бы оправданно.
Но вам этого скорее всего действительно не надо пояснять – не поймете-с, да еще и обидетесь.

Замороченный вы и ведите подвох где его нет. Пустое общение. Я пас.

> скайп из коробки, в отличии от всяких проприетарных подстилок

И как же на самом деле у вас?

>> скайп из коробки, в отличии от всяких проприетарных подстилок
> И как же на самом деле у вас?

Капитанинг: есть такая пословица, про соринку, бревно и глаза.
А то обрадовалиь, типа "МС нам коммитит код в ядро, он стал ХОРОШИМ!1"

В скайпе уязвимости вообще чинятся по 2 года. Два года была дырка, позволяющая узнать IP-адрес любого юзера по его логину. Теперь уже несколько месяцев живёт дырка, позволяющая легко удалить любую учётную запись без знания почты и пароля. Но в скайпе даже на письма об этой дыре не среагировали.

По FF естественно.
По Skype - так это старое решето, про него уже всем известно, вот например аналогичное поведение https://habrahabr.ru/post/180147/

пока настроишь новую версию firefox от очередных слежек, то тут уже новая версия вышла с новыми слежками, пора переходить на ESR!

worker нужно отключать, та ещё параша

> позволяющая через манипуляции с Service Workers и Flash-плагином обойти механизм same-origin и получить доступ к данным сайта, открытом в другом окне.

А если в этом "другом окне" открыты настройки с логинами и паролями, они голактеко безопасносте или нет ? / там ж всё на жабаскрипт перепилили за каким-то

about:preferences#privacy
Удалять историю при закрытии Firefox
Сохранять куки сайтов - только до закрытия Firefox

about:preferences#security
Запоминать логины для сайтов - снять птиц

Что-то в последней версии не нахожу птиц чтобы отрубать сохранение паролей

только у меня после обновления noscript поломался?

firefox-44.0.1,1                   <   needs updating (index has 44.0.2,1)
firefox-i18n-44.0.1                <   needs updating (index has 44.0.2)