В релизе Firefox 3.0.2 (http://www.mozilla.com/firefox/3.0.2/releasenotes/) устранено 5 проблем безопасности (http://www.mozilla.org/security/known-vulnerabilities/firefo...), из которых две помечены как критические (на самом деле критических уязвимостей 6, но они объединены в два отчета):

-  MFSA 2008-42 (http://www.mozilla.org/security/announce/2008/mfsa2008-42.html) - в системе обработки изображений и JavaScript-движке  исправлено несколько ошибок, которые могли привести к краху браузера и повреждению участков памяти процесса. Некоторые из проблем можно использовать для выполнения кода с правами браузера. Интересно, что в рамках данного отчета представлено четыре разных критических уязвимости;

-  MFSA 2008-41 (http://www.mozilla.org/security/announce/2008/mfsa2008-41.html) - злоумышленник может ввести в заблуждение враппер XPCnativeWrapperPrivilege или сформировать некорректный XSLT документ, что может привести к выполнению кода вне изолированного окруже...

URL: http://developer.mozilla.org/devnews/index.php/2008/09/23/fi.../
Новость: http://www.opennet.me/opennews/art.shtml?num=18066

• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,kost BebiX, 11:42 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,User294, 23:36 , 24-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Frank, 11:53 , 24-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Аноним, 12:04 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,Deam, 12:14 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,XAnder, 13:37 , 25-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,waf, 16:03 , 25-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,EMail, 13:01 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,Konwin, 13:08 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,Knuckles, 16:58 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,User294, 23:41 , 24-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Аноним, 13:15 , 24-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Аноним, 13:21 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,vitek, 14:23 , 24-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,Konwin, 21:55 , 24-Сен-08
• OpenNews: Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, S...,Хоменко, 14:32 , 24-Сен-08
  • OpenNews: Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, S...,Knuckles, 17:01 , 24-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Аноним, 16:36 , 25-Сен-08
  • Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1...,Konwin, 10:21 , 26-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Аноним, 20:00 , 25-Сен-08
• Обновления от Mozilla: Firefox 2.0.0.17 и 3.0.2, SeaMonkey 1.1.12, Sunbird 0.9 ,Deam, 06:23 , 28-Сен-08

Блин, что бы кто не гнал на убунту, а только что проснулся, вначале обновил убунту и лишь потом прочитал новость. Капец. Молодцы.

Федора, думаю, дня через 3 обновится.

>Блин, что бы кто не гнал на убунту, а только что проснулся,
>вначале обновил убунту и лишь потом прочитал новость. Капец. Молодцы.

Да, оперативно сработали.Убунтуйцам зачот: убунтуйский апдейт приехал раньше виндовой версии (!!!).Вот так вот репозитории поддерживать надо...

> обновлён русский словарь проверки орфографии, в который добавлена поддержка буквы «Ё»

Наконец-то! Уже качается :)

Плин, у мя после обновления на бунте все сохраненные пароли пропали (это не критично), хуже что он их теперь вобще не сохраняет, хотя в настройках стоит эта опция. Ни у кого такого не было?

>Плин, у мя после обновления на бунте все сохраненные пароли пропали (это
>не критично), хуже что он их теперь вобще не сохраняет, хотя
>в настройках стоит эта опция. Ни у кого такого не было?
>

В releasenotes указано: "На определённых IDN сайтах менеджер паролей неправильно подставлял в поля сохранённые логины и пароли."
Может из-за этого?

>все сохраненные пароли пропали

Да, досадная бага всплыла. См. обсуждение здесь: http://forum.mozilla-russia.org/viewtopic.php?id=26565

Общий смысл упрощённо таков: сохранённые пароли не пропадают, просто обновлённый Лис их в упор не видит, если хотя бы в одном используются не-ASCII символы. Спасает откат на 3.0.1. Грустно :(

>Плин, у мя после обновления на бунте все сохраненные пароли пропали (это
>не критично), хуже что он их теперь вобще не сохраняет, хотя
>в настройках стоит эта опция. Ни у кого такого не было?

   У меня наоборот -- заработала автоподстановка имени-пароля на netvibes.com , которые я уже заколебался вводить руками. В 3.0.3 обещают исправить :-D .

>В релизе Firefox 3.0.2 устранено 5 проблем безопасности, из которых две помечены как критические (на самом деле критических уязвимостей 6, но они объединены в два отчета)

Р Е Ш Е Т О

P.S. У меня такое ощущение, что javascript придумали специально для облечения взлома. Даже в библиотеках для парсинга статического содержимого находят кучи уязвимостей. Ведь должно быть ясно что javaspript на порядки сложнее и соответственно пропорционально возрастёт кол-во уязвимостей. Теперь веб браузер похож на кривую недоос. Может быть кто-нибудь прояснит чем руководствовались при внедрении javascript?

Ваши предложения по алтернативе?

Почитайте что-нибудь о развитии веб.
И не надо психовать, будто вас уже хакнули.

>Р Е Ш Е Т О

Замечательно, пля, а ваши предложения?В опере недавно вон тоже дыр нашли.Вебкиту тоже думаю достанется на орехи по мере популяризации.Гугель вон уже отхватил секурити багов.С популярностью в отсилы 1% и сразу же после выхода своего браузера.И чего теперь?Засунуться в железобетонный бункер на глубине полкилометра (а то мало ли, метеориты, ялерные ракеты) и пользовать только убогий линкс?

>P.S. У меня такое ощущение, что javascript придумали специально для облечения взлома.

...поэтому для файрфокса придумали NoScript, который включает JS только там где реально надо и одобрено вами.Ну а заодно давится такой тип атак как XSS до кучи.Весьма недурненько.

>чем руководствовались при внедрении javascript?

А чем руководствовались при написании OS?В них тоже баги находят.Прикиньте?!И вообще, жить страшно - от этого умирают...

у меня нет mailto:gmail,  только яндекс и yahoo.. Обманули?

обновлённая Win32 версия, со старым профайлом, уже умудрилась раза 4 за день упасть, "стабильность" повысилась, да :)))

>обновлённая Win32 версия, со старым профайлом, уже умудрилась раза 4 за день
>упасть, "стабильность" повысилась, да :)))

виндоус перестанавливать не пробовали?

>обновлённая Win32 версия, со старым профайлом, уже умудрилась раза 4 за день
>упасть, "стабильность" повысилась, да :)))

Что вы  сним сделали - у меня бета-то почти не падала.

... возможность совершения атаки click-hijacking, когда перед самым кликом мышью на валидной ссылке, страница сдвигается и пользователь кликает на ссылку подставленную злоумышленником

Дайте две!

Все, завтра иду на ыкрипт-кидди.сом и братаюсь с реальными пацанами!

Смех смехом, а ***** кверху мехом ;)
Уязвимость-то действительно интересная. Хотя бы в плане изобретательности :)

в "самом безопасном" браузере заткнули еще кучу дырок :)

>в "самом безопасном" браузере заткнули еще кучу дырок :)

Он по тому и весьма безопасен, что дырки затыкают, и затыкают весьма оперативно, и это может сделать любой желающий, даже вы, если прекратите брызгать желчью и уже сделаете что-нибудь полезное.

Смешно, ей-богу :)

О чем спор собственно?
О том, что кто-то из разработчиков чего-то не углядел или не протестил? Баги, в т.ч. секюрити? Так, а где их нет? Покажите, ткните "рылом" в прогу/ось/etc, где нет багов!
Критика - это конечно не плохо, но не стоит забывать, что Вы, и я в том числе, получаете этот продукт б е с п л а т н о. И, если сравнить бесплатное без гарантий и, платное (например от мелкомягких) без гарантий, то вывод очевиден - бесплатное выигрывает, в том числе и в плане устранения уязвимостей. Любой! желающий может влиться в процесс, и своими руками исправить парочку багов, после чего, с чусвтвом выполненного долга, откинуться на спинку кресла, и выпить за "свое" (а ведь оно уже будет именно своим) детище банку/бутылку/ящик пива ;)
Если я не прав - поправьте ;)

Уже вышел Firefox 3.0.3, исправили багу с паролями.
http://www.mozilla-europe.org/ru/firefox/3.0.3/releasenotes/