Опубликована информация (http://www.vupen.com/english/advisories/2009/0853) об опасной проблеме безопасности в Firefox, которой подвержены все версии Firefox 3, включая последний релиз 3.0.7, а также пакет SeaMonkey 1.1.15. Воспользовавшись недоработкой в коде функции txMozillaXSLTProcessor::TransformToDoc() злоумышленник может организовать выполнение своего кода вне контекста браузера при открытии специально модифицированного XSLT документа. По плану (https://wiki.mozilla.org/Releases/Firefox_3.0.8), выпуск Firefox 3.0.8 с исправлением намечен на 30 марта, несмотря на то, что эксплоит уже опубликован в сети (http://www.securityfocus.com/bid/34235/exploit). Патч для версии 3.0.7 можно найти здесь (https://bug485217.bugzilla.mozilla.org/attachment.cgi?id=369321).
Кроме того, во всех версиях программы для просмотра PDF документов Adobe Reader, включая Solaris и Linux сборки, найдено 6 уязвимостей (http://www.adobe.com/support/security/bulletins/apsb09-04.html), некоторые из которы...URL: http://www.adobe.com/support/security/bulletins/apsb09-04.html
Новость: http://www.opennet.me/opennews/art.shtml?num=20949
Повсеместные уязвимости последнюю неделю творятся.
Хакеры проснулись после зимней спячки и хотят крови? Oo
С работ повыгоняли, так они взялись за старое
Весна. У нас, в Сибири, начал таять снег. У людей обострение, у хакеров да разработчиков.
следствия языков разработки - C/C++ (и Java с .Net этим тоже страдают). зато разработчики без работы никогда не останутся:D
>следствия языков разработки - C/C++ (и Java с .Net этим тоже страдают).Java и .Net этим страдают, потому что невозможно написать код, который бы работал так же быстро, как нативный аналог на некоторых операциях -- например, для упаковки-распаковки массивов данных по алгоритмам LZMA.
Что касается описанной проблемы безопасности с XSLT-процессингом, то это решается в управляемых средах на раз-два без потери производительности и без переполнения "буферов" по сравнению с кодом на C/C++.
>это решается в управляемых средах на раз-два без потери производительности
>и без переполнения "буферов" по сравнению с кодом на C/C++.Не, спасибо, чувак.Фаерфокс и так монстрило к которому основные предъявы как раз на тему скорости и потребления памяти.А если его переписать на яве или дотнете - это будет воистину шедевральний пипец.Даже если он будет абсолютно нерушим (а, простите, в соседнем ньюсе дыры в жаве - это что?), с его скоростью работы и потреблением оперативки оно будет вообще никому не надо.Даже несмотря на нерушимость.
Не надоело повторять глупые мысли, ну вы же не попугай! Вы сами это проверяли с lzma?
Посмотрите здесь что-ли http://kano.net/javabench/Повторю еще раз - за счет того что Java достаточно высокоуровнев возможны оптимизации которые с++ не снились - например simd/thread векторизация кода в зависимости от процессора и их количества.
>оптимизации которые с++ не снились - например simd/thread векторизация кода в
>зависимости от процессора и их количества.И почему несмотря на все эти супер-пупер оптимизации жава сливает втрое?Как пруфлинк бенчи на http://quicklz.org который даже не LZMA :).Так что попугай тут один - это вы.К тому же еще и звездобол.Бенчи, особенно от авторов алгоритма - штука более-менее объективная.А вот пиндеж про оптимизации без какого либо пруфа - всего лишь пиндеж.И кстати распараллелить LZMA можно и без всякой жавы и дотнета.Собссно 7zip с этим без вопросов справляется.Вот когда вы сможете на жаве и дотнете побить 7zip по скорости - тогда и приходите, с результатами бенчей.Воспроизводимыми у остальных :)
А вы на java код quicklz смотрели? Ну так посмотрите. Еще один попугай блин.
Пруф был как раз представлен здесь http://kano.net/javabench/ потрудились бы посмотреть что-ли перед тем спрашивать эти самые пруфы и бенчи.
Управляемый C++ - http://www.rsdn.ru/article/dotnet/mcpp.xml
А вы каким языкам отдаете предпочтение?
>следствия языков разработки - C/C++ (и Java с .Net этим тоже страдают).
>зато разработчики без работы никогда не останутся:DПосмеёмся! В таком случае ДТП на дорогах - следствие машин =)
или дорог!
апдейд ридера на сусю уже пришел
Слов нет! Предыдущее обновление тоже закрывало выполнение кода и было это в начале марта. Страшно жить!Кто как относится к тому, чтобы закрывать Firefox при помощи apparmor? Или может чего-нибудь другого.
Я хорошо отношусь к замене Firefox другими браузерами, чего и вам желаю. И, конечно, всегда надо с осторожностью относиться к таким потенциально небезопасным программам, как браузеры.
>Я хорошо отношусь к замене Firefox другими браузерами, чего и вам желаю.
>И, конечно, всегда надо с осторожностью относиться к таким потенциально небезопасным
>программам, как браузеры.lynx? :) Хотя и там, знаете ли, дыра была найдена... Давно... И это было неправдой :))
>lynx?Нет!
Только что вышедший IE8 под Wine =)
>Я хорошо отношусь к замене Firefox другими браузерами, чего и вам желаю.
>И, конечно, всегда надо с осторожностью относиться к таким потенциально небезопасным
>программам, как браузеры.А можно поинтересоваться, какими именно браузерами вы заменяете ФФ? Фактически я могу подумать только об Опере. Её пока не ломают, потому что нафиг она сдалась кому с 1% мирового рынка (в СССР больше, но это всё равно не улучшает ситуацию). Лично я предпочитаю открытый ФФ со средней долей на рынке. Да, дырок дофига, ну так зато их находят и хакеры, и кракеры! Патчи выходят регулярно.
Упс, забыл Хром. Кстати, очень безопасный браузер по сравнению с другими (по словам хакеров PWN2OWN). Одна беда - Линукс у меня на работе, а Хрома под Линукс нету.
хром очень достойный продукт, надеюсь что когда допилят никсовую версию и разовьется система плагинов это будет достойный конкурент фоксу
>Её пока не ломают, потому что нафиг она сдалась кому с 1% мирового рынка (в СССР больше, но это всё равно не улучшает ситуацию).унылая и глупая копипаста
>>Её пока не ломают, потому что нафиг она сдалась кому с 1% мирового рынка (в СССР больше, но это всё равно не улучшает ситуацию).
>
>унылая и глупая копипастаДа ну? А вы откройте http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009 и почитайте два первых коммента. Там есть официальная позиция организаторов конкурса.
третий и последующие каменты вы предсказуемо игнорируете
>третий и последующие каменты вы предсказуемо игнорируетеВ последующих комментах написано то же, что я и писал: в СССР доля Оперы выше, чем в остальном мире - так я это признал еще в первом посте. Оперу игнорирую не я, а устроители конкурса. Там нигде нет противоречий моим словам.
>В последующих комментах написано то же, что я и писал: в СССР доля Оперы
>выше, чем в остальном мире - так я это признал еще в первом посте.
>Оперу игнорирую не я, а устроители конкурса.от этого копипаста не становится более умной или веселой. точно такие же фразочки про оперу очень любит задвигать один из местных грамотеев.
претензия не к вам лично, а к формулировке
Господа, Опера — это тот еще волк в овечей шкуре. "Безопасна" только потому, что никому не здалась со своей долей, но не дай Кришна доля вырастет. Во первых фиг знает, что повылазит, а во вторых код ее закрыт и принадлежит конторе, которую как минимум купить кто-то может, и появятся "региональные" версии в редакции Ultimate и Home Edition. Разработчики Оперы — этот тот же самый червь что выкуклился в Microsoft, Oracle и прочих. Только не в то время и не в том месте.Нефиг них прикармливать, если бы не MoFo, то там до сих пор крутились бы баннеры с дырчатыми флешами и всеми этими переполнениями буферов в XSLT и libjpeg.
>Я хорошо отношусь к замене Firefox другими браузерами, чего и вам желаю.
>И, конечно, всегда надо с осторожностью относиться к таким потенциально небезопасным
>программам, как браузеры.И опять попер флейм на тему какой браузер лучше. :( Скучно.
>>Предыдущее обновление тоже закрывало выполнение кода и было это в начале марта.если посмотреть историю, то там таких и похожих обновлений - ВАГОН. Где-то даже была статистика, что в FF дырок найдено больше, чем в IE. Но в FF их быстрее латают.
но это не мешает Мозилле толкать рекламу про безопасный серфинг :)
А дырок найдено больше, поскольку исходники FF открыты и их могут изучать как хакеры так и спецы по безопасности. Чего там накодили в ИЕ никто не знает, если кому-то кажется это более безопасным, дык на здоровье. :)
> в СССР доля Оперы выше, чем в остальном миренеплохой браузер пользовался им 3 года, но черезчур консервативный из за закрытого кода и соответсвующей политики.
Перешел на Firefox и ни разу не жалею, возможностей расширения/тюнинга в сотни раз больше,
баги в отличии от Opera например с той же загрузкой архивов как веб-страничек от версии к версии не переходят. Скорость загрузки страниц ничуть не хуже, только нужно немного настройки по дефолту подкрутить, по дефолту стоят шадящие веб-сервера.Если посмотреть исходники Opera ошибок там не меньше, просто их пока не видно, из за закрытости кода.
>черезчур консервативныйа то. web forms, svg, 100% acid3
>Перешел на Firefox и ни разу не жалею, возможностей расширения/тюнинга в сотни раз больше
чтобы навернуть чего-нибудь эдакое на и без того пухлый двиг - самое оно. а чтобы добавить ещё одну строку в поле поиска или оптимизировать интерфейс, надо полдня проипаццо
>баги в отличии от Opera например с той же загрузкой архивов как веб-страничек
дурилко. это не баги, а следование стандартам. браузер определяет тип содержимого по заголовку content-type
>Если посмотреть исходники Opera ошибок там не меньше, просто их пока не видно, из за закрытости кода.
мантра
+1
Опера по скорости и использованию оперативки рвёт мозилу давно. И интерфейс у неё интуитивно понятен.
> а то. web forms, svg, 100% acid3я не буду перечеслять 15 плагинов которыми я пользуюсь каждый день и у которых нет достойных аналогов. Меня ломает. Виджеты в Опере - это вообще не замена addons в Firefox. А плагинов для Оперы - кот наплакал.
>web formsИ что?
http://code.google.com/p/webforms2/
> svghttp://www.mozilla.org/projects/svg/
> 100% acid371% acid3 и че дальше? Хотите играть в бенчмарки - играйте дальше. IE8 вышел, с ним еще можно пузом померится там вроде как IE вобще не в ударе, однако это не мешает толпам людей им пользоваться. Кстати там еще какие то невнятные web слайсы появились и что дальше?
>я не буду перЕчеслять. Меня ломает.как попустит, возвращайся
список был приведен для иллюстрации "консервативности" одного из законодателей мод на рынке браузеров
> дурилко. это не баги, а следование стандартам. браузер определяет тип содержимого по
> заголовку content-typeоднако эта хрень проявлялась ислючительно в Opera. Ни в одно другом бразузере подобных проблем лично я никогда не видел. Мне не нужны рюшечки, мне ехать надо.
>> дурилко. это не баги, а следование стандартам. браузер определяет тип содержимого по
>> заголовку content-type
>
>однако эта хрень проявлялась ислючительно в Opera. Ни в одно другом бразузере
>подобных проблем лично я никогда не видел. Мне не нужны рюшечки,
>мне ехать надо.У мозилы тоже полно проблем.
А если не следовать стандартам, то будет анархия и отсутствие совместимости.
Если оно вам надо - продолжайте пользоваться динозавром!
> надо полдня проипаццомне 10 минут хватило.