The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Firefox 3.5.4 и 3.0.15 с исправлением 11 серьезных уязвимостей

28.10.2009 10:56

Разработчики проекта Mozilla выпустили обновление Firefox 3.5.4 в котором исправлено 16 уязвимостей, из которых 11 имеют критический характер опасности, 3 - умеренный и 2 - незначительный. Кроме уязвимостей в Firefox 3.5.4 устранено большое число влияющих на стабильность работы ошибок, также решена проблема с неполной загрузкой CSS и изображений для некоторых сайтов при первой загрузке страницы через защищенное соединение (SSL, https).

Исправленные в Firefox 3.5.4 критические уязвимости (следует отметить, что уведомлений о критических проблемах 6, но так как проблемы в некоторых уведомлениях объединены, фактически исправлено 11 критических ошибок):

  • MFSA 2009-64 - 4 ошибки, приводящие к краху из-за повреждения областей памяти. Потенциально проблемы могут быть использованы для выполнения кода злоумышленника при обработке специально оформленных JavaScript блоков;
  • MFSA 2009-63 - 3 ошибки во входящих в комплект сторонних библиотеках liboggz, libvorbis и liboggplay, позволяющие выйти за допустимые границы памяти при обработке специально оформленных мультимедиа файлов, что может привести к краху или выполнению кода злоумышленника;
  • MFSA 2009-59 - переполнение буфера в функциях преобразования строк в числа с плавающей точкой. Злоумышленник может использовать специально оформленную очень длинную строку в JavaScript функциях преобразования для организации выполнения своего кода в системе;
  • MFSA 2009-57 - используя XPCOM операцию XPCVariant::VariantDataToJS злоумышленник может добиться выполнения своего JavaScript кода вне изолированного окружения с привилегиями браузера (уровень chrome);
  • MFSA 2009-56 - переполнения буфера в обработчике цветовых карт в GIF файлах, может привести к выполнению кода злоумышленника при обработке специально модифицированных изображений;
  • MFSA 2009-54 - через рекурсивное создание web-worker для фонового выполнения длительных JavaScript операций, можно добиться создания объектов для которых не будет очищена память перед их использованием. Подобная техника может быть использована для инициирования краха или для выполнения кода злоумышленника в системе.

Одновременно выпущено обновление Firefox 3.0.15 в котором исправлены те же уязвимости, за исключением проблемы с web-worker.

  1. Главная ссылка к новости (https://developer.mozilla.org/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24017-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Антон (??), 11:36, 28/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +9 +/
    Мне одному кажется, что давно уже пора Mozilla что-то в консерватории начать править ? Не гнаться за новыми фичами, а посвятить отдельный релиз переводу всего кода на систему безопасных функций работы с памятью и строками, примерно, как в Postfix сделано.
     
     
  • 2.3, bys76ru (?), 11:44, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Да и на эту тему многие высказывались. Гугль делает всю страницу в песочнице, мелкомягкие вообще клепают браузер с полной изоляцией объектов. НО - это все ведет к конкретным тормозам на слабых компах  и медленных сетях. Увы.
     
  • 2.6, Zenitur (?), 12:17, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это хорошо, что ошибки находятся. Значит, в сообществе много людей занимаются изучением исходного кода.
    В версии 3.5 было не так уж и много нововведений. Основные - новая программа для JavaScript и улучшение работы со вкладками.
     
     
  • 3.14, User294 (ok), 15:37, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Ну вот в новом коде и находят дыры, как видим.На то и новый что пока не обезглючен...

    А микрософту и гуглу все их ухищрения не больно то помогают судя по дырам. Зато ресурсы жрет и тормозит. Где ж ты, kiss-принцип?

     
     
  • 4.16, аноним (?), 16:23, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    >микрософту и гуглу все их ухищрения не больно то помогают судя по дырам

    хорошо пузырится?

    >ресурсы жрет и тормозит. Где ж ты, kiss-принцип?

    чо сказал? хром жрет ресурсы?
    самый быстрый жабоскрипт + вебкит + почти мгновенная инициализация

     
     
  • 5.20, User294 (ok), 18:42, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > чо сказал? хром жрет ресурсы?

    Ну а хренли, у меня открыто в фоксе 150 вкладок. Потому что мне так удобно, мля. Для разнообразия откройте столько в хроме с его изоляцией по процессам, посмотрим как оно у вас не будет тормозить и жрать ресурсы при этом. При 150 увесистых процессах будет уже немного похрен на все остальное.

    А весь этот маразм с изоляцией не помешал гуглу обосраться с бажной версией вебкита через несколько дней после выпуска первой версии браузераю. Да и сводки по дырам в IE что-то пронимают их все - от 6 до 8 сплошняком сроду.

     
     
  • 6.26, Аноним (-), 22:45, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    юзр, а ты не пробовал микроскопом гвозди забивать? я уверен у тебя получицо. 150 вкладок это конечно мощно, но даже такой юзер как ты не сможет одновременно смотреть больше чем  в одну вкладку. Да и гоните вы уважаемый тролль, потому как думаю не стоит вам напоминать итоги конкурса по взлому браузеров, где сломали все и фокс и даже многими тут любимую оперу, да вот только хром так и не сломался, так что давайте грызите дальше ваши 150 вкладок
     
     
  • 7.27, JL2001 (ok), 01:19, 29/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >юзр, а ты не пробовал микроскопом гвозди забивать? я уверен у тебя
    >получицо. 150 вкладок это конечно мощно, но даже такой юзер как
    >ты не сможет одновременно смотреть больше чем  в одну вкладку.
    >Да и гоните вы уважаемый тролль, потому как думаю не стоит
    >вам напоминать итоги конкурса по взлому браузеров, где сломали все и
    >фокс и даже многими тут любимую оперу, да вот только хром
    >так и не сломался, так что давайте грызите дальше ваши 150
    >вкладок

    у меня 200-500 вкладок открыто постоянно, раз в неделю просматриваю рассылки новостных сайтов (открываю подряд что интересует) а потом читаю (винда и фаерфокс не ребутятся по 1-2 недели стабильно)
    мне действительно интересно как остальные браузеры будут нести 200-500 вкладок (2 гига оперативы, два ядра 1,6 гигагерц)

     
     
  • 8.28, Zenitur (?), 03:17, 29/10/2009 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Adobe Flash отключил У меня хоть и 64-битный Linux с 64-битным FireFox, но без ... текст свёрнут, показать
     
     
  • 9.34, lynx_forever (?), 14:22, 29/10/2009 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    интересно как вы справляетесь с навигацией по 600 вкладкам Имхо это просто идет... текст свёрнут, показать
     
     
  • 10.38, Zenitur (?), 02:26, 17/11/2009 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Легко Я отлично помню, где и что ... текст свёрнут, показать
     
  • 2.24, crypt (??), 19:57, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >Мне одному кажется, что давно уже пора Mozilla что-то в консерватории начать
    >править ? Не гнаться за новыми фичами, а посвятить отдельный релиз
    >переводу всего кода на систему безопасных функций работы с памятью и
    >строками, примерно, как в Postfix сделано.

    Согласен, но к сожалению, они даже поддержку старых версий достаточно быстро забрасывают.

     

  • 1.2, bys76ru (?), 11:40, 28/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Если остановить разработку, то все протухнет. А тут в основном проблемы из-за строннего неблагонадежного кода - мультимедиа, жаба и т.п.
     
     
  • 2.4, Щекн Итрч (ok), 12:10, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    HTML - тоже "сторонний код"?
     
     
  • 3.8, Ноним (?), 12:25, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Это контейнер в котором его присылают.
     
  • 2.7, Pilat (ok), 12:20, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Из-за явы проблем нет, или я их пропустил?
     
     
  • 3.9, bys76ru (?), 13:07, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    "Специалист" написал про Postfix, но я явно не понимает специфики Java и других подобных интерпретаторов. Если начать переводить на безопасные функции, то это отказ от совместимости со многими существующими апплетами. Надо сначала подумать - о чем речь.
     
     
  • 4.10, Pilat (ok), 13:42, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >"Специалист" написал про Postfix, но я явно не понимает специфики Java и
    >других подобных интерпретаторов. Если начать переводить на безопасные функции, то это
    >отказ от совместимости со многими существующими апплетами. Надо сначала подумать -
    >о чем речь.

    Ява - это не интерпретатор.

     
     
  • 5.23, IvanDurak (??), 19:47, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    ... может это компилируемый яп ?
     
     
  • 6.33, kookoo (?), 12:56, 29/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    как бы, да
     
  • 4.11, Антон (??), 14:06, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >"Специалист" написал про Postfix, но я явно не понимает специфики Java и
    >других подобных интерпретаторов. Если начать переводить на безопасные функции, то это
    >отказ от совместимости со многими существующими апплетами. Надо сначала подумать -
    >о чем речь.

    И как применение безопасных методов в виртуальной машине может сказаться на работе высокоуровневых аплетов ? Что невозможно станет через них портить левые области памяти ?

     
     
  • 5.21, User294 (ok), 18:46, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Вы что курите, парни? Взъелись на каку-то яву, понимаешь. Она вообще при чем? Разве про нее есть что-то в новостях? У фокса по идее проблемы - из-за ява-скрипта, а точнее нового движка, который прикрутили недавно и потому он разумеется еще не обкатан и сыр. Какой-то лол опять попутал JS и Java?
     

  • 1.13, luzers (?), 15:28, 28/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    вот она, обратная сторона популярности ...
     
     
  • 2.22, User294 (ok), 18:55, 28/10/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Скорее, обратная сторона больших перетрясов кода, гонок за фичами и адски навороченных стандартов. Реализовать все эти монструозные навороты стандартов без багов - удачи в этом начинании. Микрософт вон кстати с своим дотнетом тоже недавно отхватил вкусную порцию критичных багов в своем добре. А потому что нехрен мегабайты кода наворачивать, безглючный софт - это тот который простой. Чудес не бывает ;(
     

  • 1.25, Аноним (25), 20:27, 28/10/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Firefox 3.5.4 не работает Javascript
     
     
  • 2.29, аноним (?), 03:26, 29/10/2009 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Ага, и HTML.
     

  • 1.36, Гость (?), 00:33, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    НЕ работает javascript (3.5.5), вернее там где работал не работает. поясняю:
    - "The West" on-line game http://s46.radikal.ru/i114/0911/d1/bdabd68b22ae.jpg , и это при том что http://s61.radikal.ru/i174/0911/8b/20ba6168eade.jpg
    - не открываются "спойлеры" на тех сайтах, где раньше открывались на "ура!"
    заметил после обновления FF
     
     
  • 2.37, Гость (?), 00:49, 17/11/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    а вот в бетке 3.6 b2 все "ОК" - уррраааа!!!
     

  • 1.39, serega (??), 23:30, 02/01/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    хочу нормальный firefox
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру