Доступны (http://blog.mozilla.com/security/2012/02/17/mozilla-releases.../) корректирующие релизы Firefox 10.0.2 (http://www.mozilla.org/en-US/firefox/10.0.2/releasenotes/), SeaMonkey 2.7.2 (http://www.seamonkey-project.org/) и Thunderbird 10.0.2 (http://www.mozillamessaging.com/), в которых устранена опасная уязвимость (https://www.mozilla.org/security/announce/2012/mfsa2012-11.html) в поставляемой в комплекте библиотеке libpng. Аналогичная проблема исправлена (http://www.opennet.me/opennews/art.shtml?num=33113) вчера в Google Chrome.

Проблема проявляется во всех приложениях,  использующих функцию "png_decompress_chunk()" для распаковки изображений и может привести к выполнению кода, при открытии специально оформленного PNG-файла. Например, для эксплуатации уязвимости в Thunderbird достаточно открыть письмо со встроенным злоумышленником PNG-изображением, а в Firefox открыть сайт с добавленной злоумышленником картинкой (например, баннер в баннерной сети). Но...

URL: http://blog.mozilla.com/security/2012/02/17/mozilla-releases.../
Новость: http://www.opennet.me/opennews/art.shtml?num=33121

• Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Анон, 23:45 , 17-Фев-12
  • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 00:03 , 18-Фев-12
    • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,meequz, 00:20 , 18-Фев-12
      • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 00:25 , 18-Фев-12
      • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 01:59 , 18-Фев-12
        • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 02:05 , 18-Фев-12
          • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,botman, 12:31 , 18-Фев-12
    • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 04:00 , 18-Фев-12
      • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,botman, 12:33 , 18-Фев-12
      • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 22:56 , 18-Фев-12
• Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,the joker, 11:37 , 18-Фев-12
  • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird...,arisu, 13:24 , 18-Фев-12
    • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird...,the joker, 14:20 , 18-Фев-12
      • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird...,arisu, 16:01 , 18-Фев-12
        • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird...,the joker, 05:43 , 20-Фев-12
        • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird...,maxst, 19:51 , 22-Фев-12
          • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird...,arisu, 20:00 , 22-Фев-12
  • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,ymkin, 14:18 , 18-Фев-12
    • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,the joker, 14:23 , 18-Фев-12
    • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,maxst, 19:26 , 22-Фев-12
• Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,gegMOPO4, 15:32 , 18-Фев-12
  • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 20:02 , 18-Фев-12
    • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,gegMOPO4, 20:28 , 18-Фев-12
• Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,iZEN, 15:35 , 18-Фев-12
  • Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Аноним, 20:01 , 18-Фев-12
• Обновление Firefox 10.0.2, SeaMonkey 2.7.2 и Thunderbird 10....,Kibab, 23:38 , 18-Фев-12

Только 10.0.1 закончил собирать :3

> Только 10.0.1 закончил собирать :3

Мне кажется, что если собирать не под винду и не статически, то достаточно обновить libpng.
Ведь >90% юзеров firefox - виндузатники, они не могут просто обновить libpng через пакетный менеджер, поэтому им нужен новый релиз firefox =)

>Новая версия libpng с исправлением узявимости пока недоступна.<

>Новая версия libpng с исправлением узявимости пока недоступна.<

Однако слоупоки :)
У нас уже три дня как

libpng  (1.2.44-1+squeeze2) stable-security; urgency=high

* Fix integer overflow (chromium #112822)

-- Moritz Muehlenhoff <>  Wed, 15 Feb 2012 18:07:34 +0000

>  >Новая версия libpng с исправлением узявимости пока недоступна.<

А в убунтах уже прилетело. Странно.

Ничего странного. В дебиане это пофиксили еще вечером 15-го, а в убунте уже через 9 часов пересобрали пакет с дебиановским патчем.

> В дебиане это пофиксили еще вечером 15-го

в убунте пофиксили в полночь 17-го и никакой катастрофы за это время не случилось, обновилось вместе с firefox 10.0.2

Даже "виндузятники" получили только дельту в 1.5МиБ и автоматически обновились.

> Даже "виндузятники" получили только дельту в 1.5МиБ и автоматически обновились.

ничего не приходило, как всегда новую версию пришлось накатить вручную

drpm?

Ах, дайте, дайте же мне наконец анимированные PNG! Вы же можете.

> Ах, дайте, дайте же мне наконец анимированные PNG! Вы же можете.

ах, где же стандарт на них, где?

>> Ах, дайте, дайте же мне наконец анимированные PNG! Вы же можете.
> ах, где же стандарт на них, где?

APNG, вроде, полностью подходит под спецификацию обычного PNG. Осталось только добавить поддержку браузером.

> APNG, вроде, полностью подходит под спецификацию обычного PNG.

вот только не стандарт, а так — «я придумал фичечку». он в итоге оказался тупо никому не нужен, иначе его бы продавливали и пиарили.

>> APNG, вроде, полностью подходит под спецификацию обычного PNG.
> вот только не стандарт, а так — «я придумал фичечку». он в
> итоге оказался тупо никому не нужен, иначе его бы продавливали и
> пиарили.

Да, оно не стандарт. Но это не мешает мне пускать на него слюни.

однако apng-плагин для хрома уже перевалил за 10 тыс юзеров. ничего себе "не нужен".

> однако apng-плагин для хрома уже перевалил за 10 тыс юзеров. ничего себе
> «не нужен».

а опера — так из коробки умеет. и что характерно — я этого не знал, пока не сходил в буржуйскую вики, где пример APNG есть. видимо потому, что APNG очень распространённый формат.

..Группа разработчиков PNG отказалась признать формат APNG официальным 20 апреля 2007 года. В связи с этим Iceweasel в Debian, использующий системную libpng, основанную на официальной, APNG не поддерживает.

http://ru.wikipedia.org/wiki/APNG

> ..Группа разработчиков PNG отказалась признать формат APNG официальным 20 апреля 2007 года.
> В связи с этим Iceweasel в Debian, использующий системную libpng, основанную
> на официальной, APNG не поддерживает.
> http://ru.wikipedia.org/wiki/APNG

В английской версии указанного вами источника сказано, что "It also retains backward compatibility with non-animated PNG files." То есть, кто не может показывать анимацию, показывает первый кадр.

Читайте лучше английскую версию:
http://en.wikipedia.org/wiki/APNG
Iceweasel 3 now supports APNG by using Mozilla's unofficial variant of libpng.

Ну и кто их заставлял собирать с libpng статически?

Кстати, для кого это новая версия libpng недоступна? Обновление прилетело раньше мозилловских.

> Ну и кто их заставлял собирать с libpng статически?

Бандлы только статически и надо собирать. Для любителей динамики есть пакетные менеджеры и репы любимого дистра.

apt-cache showpkg firefox | grep libpng не показывает ничего. Поэтому приходится качать многомегабайтовые обновления вместо скромного libpng на 177 Кб.

На FreeBSD в коллекции портов обновления libpng и продуктов Mozilla доступны с вечера 17 февраля.

> На FreeBSD в коллекции портов обновления libpng и продуктов Mozilla доступны с вечера 17 февраля.

Очень неторопливо работают. Например, в дебиане на два дня раньше прилетело.

На Mac OS X для Thunderbird прилетела дельта на мегабайт или около того, обновилось успешно.
Firefox не использую :-)