|
2.13, Аноним (-), 19:33, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
А они будут маркетинговым буллшитом брать, как обычно. У меня вот в пингвине лис уже обновился. А майкрософт будет устраивать динамо до очередного вторника, да? :)
| |
|
3.20, Аноним (-), 00:33, 09/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
У меня в W7 FF тоже обновился без разрешения Бальмера. Творят, что хотят!
| |
|
2.23, kotfantazer (ok), 12:52, 12/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
о чем речь?
"для выхода за пределы sandbox в Chrome использовалась уязвимость в ядре Windows" =))))
| |
|
1.3, Константавр (ok), 11:11, 08/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Ну раз так, то я бы не сказал, что это серьёзная уязвимость в Фоксе.
Это скорее уязвимость для разрабов, которые вдруг захотели покопаться в специально оформленном сайте. Или я не прав?
И у Хрома уязвимость состоит в... ядре виндовс? :)
| |
|
2.4, Andrew Kolchoogin (?), 12:01, 08/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> И у Хрома уязвимость состоит в... ядре виндовс? :)
Вот это тоже повергло меня в глубокую задумчивость. Можно ли считать уязвимостью в прикладном программном обеспечении, разработанном, к примеру, в расчёте на то, что ядро обеспечивает изоляцию ОЗУ одного процесса от другого, возможность обхода модели безопасности этого прикладного программного обеспечения, основанную на том, что ядро, на самом деле, вышеописанной изоляции не обеспечивает?
Как-то это сомнительно выглядит. Получается, что прикладное программное обеспечение должно содержать код, проверяющий, делает ли операционное окружение то, что заявляется его, операционного окружения, разработчиками, или не делает -- так, что ли?
Ну, тогда вперёд, в Chrome OS.
| |
|
3.7, Константавр (ok), 12:39, 08/03/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, поскольку всё взаимосвязано, то устранять надо и там и там. Но да, кто-то из разработчиков ФФ писал, когда-то, что с виндами так и приходится - брать на себя работу по закрытию дырок, так как страдают пользователи и репутация браузера.
| |
3.14, Аноним (-), 19:38, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Можно ли считать уязвимостью в прикладном программном обеспечении, разработанном, к
> примеру, в расчёте на то, что ядро обеспечивает изоляцию
Если прикладное ПО позволило себя пробить до момента когда хакер стал щупать на прочность изоляцию ядра - это уже продолб прикладного ПО. И таки да, это дырка. Хаксор может например вгрузить payload в адресное пространство процесса и изменить поведение этого процесса. И допустим превратить его в рассыльщик спама. Нарушать изоляцию в общем то не так уж и требуется. Тем более что операционные системы не проектировались на защиту попы пользователя от кода запущенного им самим (а точнее, как оказывается, добрым хацкером).
| |
|
2.5, ВовкаОсиист (ok), 12:03, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Нет, уязвимость хрома позволила выйти за пределы браузера, но чтобы выйти из sandbox и выйти дальше - использовалась уязвимость ядра винды.
| |
|
3.6, Andrew Kolchoogin (?), 12:21, 08/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Нет, уязвимость хрома позволила выйти за пределы браузера, но чтобы выйти из
> sandbox и выйти дальше - использовалась уязвимость ядра винды.
Как это? Sandbox -- _часть_ браузера. То, что вы написали, эквивалентно следующему: из-за уязвимости в коде <XXX> можно вызвать не только нужную по алгоритму процедуру, но и любую другую процедуру, НЕ взаимодействующую с операционным окружением.
Ошибка ли это кодирования? Да.
Уязвимость ли это? Нет.
| |
|
4.8, rshadow (ok), 15:10, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Андрей, никогда не приводите примеров, запутаннее чем оригинал.
| |
4.15, Аноним (-), 19:42, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Как это? Sandbox -- _часть_ браузера.
Если хромиум отпиливает себя средствами LXC в загон - что там часть браузера? Мелкий запускальник, который делает парочку сисколов? Ну да, этот мизерный запускальник часть браузера. А остальное делает ядро линя. А то что отпиленый в LXC кусок может пробить как сам LXC так и взаимодействие между процессами хромиума на выбор - ну, логично вроде.
p.s.: если что это про вариант хромиума для Linux. Как оно там в винде делается - понятия не имею, мне это не интересно.
| |
|
|
|
1.10, Аноним (-), 16:43, 08/03/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Firefox 19.0.2
Странно, только вчера проверял актуальность версии своего Firefox 19.0 и получил ответ в меню Справка->О Firefox, что у меня установлена последняя версия, а где же тогда версия 19.0.1
| |
|
2.12, Saika (?), 17:45, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Там исправили один-единственный баг под восьмую винду, поэтому 19.0.1 предлагалась для автообновления только Win8-юзерам.
| |
|
3.16, Аноним (-), 19:44, 08/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> автообновления только Win8-юзерам.
Странно, а чего тогда новая бета-версия 20-й лисы в линуксе резко прилетела сразу после выпуска этой новости?
| |
|
4.17, arka (?), 19:52, 08/03/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Может быть, что задело не только win8 платформу? Пытаемся включить 8-го марта не только глаза :)
| |
|
5.18, ананим (?), 20:36, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
Бета двадцадки каким тут боком?
Беты выходят тогда, когда выходят. Они для того и беты.
Включайте уже 8 марта к глазам ещё и голову.
| |
|
4.19, ананим (?), 20:48, 08/03/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Странно, а чего тогда новая бета-версия 20-й лисы в линуксе резко прилетела сразу после выпуска этой новости?
Так звёды сложились. И фаза луны подходящая.
Зыж
Это к релизам выходят экстренные обновления. А беты идут по плану и, когда план более-менее выдерживается, по графику.
Какой-то аникейный вывод из 2-х параллельных фактов.
И да, если исправления успели закоммитить, то они попали в бету (для всех платформ бета вышла кстати. Может и отсюда сделаете далеко идущие планы?), а если не успели, то выйдут в следующей бете. И так до релиза. Жизненный цикл же релиза уже будет идти по другим правилам.
| |
|
|
|
|