The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Firefox 36.0.4 с устранением критической уязвимости

22.03.2015 07:55

Доступно корректирующее обновление web-браузера Firefox 36.0.4, в котором устранена критическая уязвимость (CVE-2015-0818), позволяющая организовать выполнение произвольного JavaScript-кода с повышенными привилегиями доступа ко внутренностям браузера. Проблема проявляется при обработке специально оформленных SVG-изображений. Атака с использованием данной уязвимости была продемонстрирована на недавно проведённом конкурсе Pwn2Own 2015, в рамках которого были представлены zero-day уязвимости для всех значительных браузеров. Проблема также устранена в Firefox ESR 31.5.3 и SeaMonkey 2.33.1.

Позавчера, почти сразу после конкурса был представлен выпуск Firefox 36.0.3, в котором было заявлено устранение раскрытых на соревновании Pwn2Own проблем (список исправленных уязвимостей был обновлён с запозданием), но на деле исправлена одна критическая уязвимость (CVE-2015-0817), связанная с ошибкой обработки типизированных массивов в JIT-компиляторе, используемом в asm.js. Уязвимость может привести к выполнению кода в системе. Так как в соревновании были представлены 3 уязвимости, судя по всему, одна проблема пока остаётся неисправленной (до выпуска исправления участники соревнования Pwn2Own не имеют права публично разглашать подробности).

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: На соревновании Pwn2Own 2015 продемонстрированы взломы Firefox, Chrome, Safari и IE
  3. OpenNews: Обновление Firefox 36.0.1 с устранением проблем со стабильностью
  4. OpenNews: Выход Firefox 37-beta и Firefox Developer Edition 38
  5. OpenNews: Релиз Firefox 36 с поддержкой HTTP/2.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41884-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 08:12, 22/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Теперь опять торброузер пересобирать
     
     
  • 2.4, Аноним (-), 11:04, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    SELinux/Apparmor/etc. Вне этих систем браузер запускать опасно, как по мне.
     
     
  • 3.11, Аноним (-), 13:13, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ога, давайте пробурим дно лодки, а потом попытаемся вычерпывать воду вовремя.
     
     
  • 4.13, Аноним (-), 13:17, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет.
    Проектируем лодку так, чтобы когда возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка.
     
     
  • 5.40, anonymous (??), 20:17, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот вбивать цифири номера кредитки всё равно придётся лезть в затопленный отсек...
     
     
  • 6.43, Аноним (-), 21:19, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Почему затопленные? У тебя ведь не один отсек, а несколько отсеков с браузером в чем беда?
     
  • 5.45, Аноним (-), 00:43, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка

    Да-да, про "Титаник" именно так и говорили.

     
     
  • 6.49, SkyRanger (ok), 09:15, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка
    > Да-да, про "Титаник" именно так и говорили.

    Титаник затонул не поэтому, если в самый непотопляемый корабль пониже ватерлинии запулить в ряд по 3 торпеды, результат будет тот же, плюс кривые руки капитана тоже внесли свою лепту...

     
  • 3.27, anonymous (??), 18:22, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    SELinux - развлечение для рута, простым пользователям он не доступен.

    Но есть одна забавная опция. Вернуть javascript в интерпретируемый режим. И огородить. А на скорость забить, только больной извращенец будет писать полноценную прогу в браузере.

     

  • 1.5, Аноним (-), 11:21, 22/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а нечего хранить секреты во внутренностях браузера. и вообще пользуйте вебкиоск под виртуалкой :)

    к примеру, я пользуюсь альтовским сборочным цехом (см. http://www.altlinux.org/Mkimage/Profiles/m-p) для создания себе свежего живого вебкиоска и других live-интересностей, которыми пользуюсь как в виртуальной среде, так и на широком спектре техники от десктопов до портативных пк (в том числе и на маках). кстати, в starterkits у альта есть live-образ сборочного цеха (*-builder-*) для тех у кого нет желания устанавливать альт.

    да простит меня Михаил за не скрытую рекламу :)

     
     
  • 2.9, бедный буратино (ok), 12:07, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а можно собрать такую фигню, чтобы содержала только ядро и initrd?
     
     
  • 3.14, Аноним (-), 13:52, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а можно собрать такую фигню, чтобы содержала только ядро и initrd?

    можно

     
  • 3.18, paulus (ok), 15:24, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    возьми PRA linux и не используй не нужные модули. http://goo.gl/h1GMeV
     
  • 2.37, Michael Shigorin (ok), 19:52, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > и вообще пользуйте вебкиоск под виртуалкой :)
    > [...] для тех у кого нет желания устанавливать альт.

    Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12

    > да простит меня Михаил за не скрытую рекламу :)

    Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно понял.

    "Рекламу" было бы здорово увидеть в форме статьи о том, как именно пригодилось (и что не так); кстати, есть http://altlinux.org/starterkits/builder

    PS: завтра в сизиф долетит собственно сабж(tm): https://twitter.com/girar_builder/status/579658937772953600

    PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp

     
     
  • 3.41, frak (ok), 20:54, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12

    согласен, у пользователей альта, в этом плане, удобства на лицо :)

    > Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно
    > понял.

    все ок. я все понимаю и ожидания в данном случае того стоят.

    > "Рекламу" было бы здорово увидеть в форме статьи о том, как именно
    > пригодилось (и что не так)...

    больная тема отсутствия времени и лени при присутствии оного...  

    > PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент
    > Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp

    моя вина - лень логиниться было и троллей подкормил :)

     
     
  • 4.42, Michael Shigorin (ok), 21:02, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ ушёл почтой, чтоб не заспамливать обсуждение -- но всяко рад слышать!
     
  • 3.47, Аноним (-), 03:59, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > PS: завтра в сизиф долетит собственно сабж(tm)

    А убунтуи как обычно релизнули на день раньше и в основную репу. Вот как они ухитряются сделать так что их системой пользоваться удобно? ;)

     

  • 1.7, Аноним (-), 11:51, 22/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    36-й релиз у нас что, LTS? Уже четвёртое обновление!
     
     
  • 2.10, Аноним (-), 12:08, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Firefox 38 должен быть LTS/ESR
     

  • 1.17, iZEN (ok), 14:51, 22/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Во FreeBSD порт Firefox оперативно обновили: http://www.freshports.org/www/firefox/
    (пишу из него)
     
     
  • 2.22, Аноним (-), 17:00, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У меня и моих подопечных лиса работает без нареканий.
     
  • 2.24, th3m3 (ok), 17:10, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Всё нормально в Firefox. Не знаю, откуда вы такие всё вылазите с зондами от гугла.
     
  • 2.28, Xasd (ok), 18:23, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ацкое глюкалово

    дауж, вся проблема Firefox -- это слишком много свободы для настроек и кастумизаций... :)

    в результате появляются такие как ВЫ -- накрутят галочек и всяких расширений, а потом плачут мол "глюкалово"..

    дефолтный Firefox -- (и без: плагинов\расширений\резалок_рекламы) -- работает шустро и не глючит.. а что вы там себе наизменяли-и-наустанавливали это ваши индивидуальные проблемы. не нужно валить вашу вину на Firefox

    > Не удивительно, что доля Мозиллы среди браузеров всё падает и падает

    не удивитеьно -- потому что в Google Chrome лучше (продуманее) GUI чем в Firefox и более активная пропаганда Chrome от Google.

    кой-какие улучшения относительно GUI в Firefox уже предпринты -- но этого мало. нужно больше перенимать хорошего от Chrome (и меньше обращать внимания на визги старпёров с синдромом утёнка).

    и ещё у Firefox есть главное (хорошее) отличие от Chrome -- это уважение к частной жизни пользователя... нужно не забывать об этом. то есть -- дальше-и-дальше перенимать _хорошие_ идеи от Chrome, но при этом НЕ забывать про уважение к частной жизни пользователя..

    а кому нужна одна лишь сраная производительность -- пусть валят на Google Chrome.. нам в сообществе такие Firefox-пользователи не нужны.. :-)

     
     
     
    Часть нити удалена модератором

  • 4.33, Xasd (ok), 19:12, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > После того, как Firefox 29 стал похожим на Хром, у меня уже не оставалось причин сидеть именно на нём

    то есть раньше ты сидел на Firefox *ТОЛЬКО* лишь потому тебе было *привычно* использовать старое GUI? (явно уже не отвечающее современным стандартам качества GUI)

    ОК! такие пользователи как ты (которые продолжали сидеть на Firefox только благодаря своей привычке) -- совершенно не являются теми пользвоателями, на которых можно ориентироватсья при разработке программы:

    1. если ввести новый (качественно правильный) функционал в программу -- то вы начинаете психовать типа -- "зачем всё поменяли! всё и так было хорошо! я ещё не успел привыкнуть!".

    2. а если НЕ вводить новый функционал то вы всё равно уйдёте на другую программу, но лишь с той разницей что сделаете это чуть позже -- в момент внезапного озарения (типа: "а ведь Google Chrome не так уж и плох! а вот этот Firefox совсем уже давно перстал развиваться!!")

    другими словами -- вы тот самый паразитный слой пользователей, который мешает программистам делать хорошие программы, вводить правильные улучшения.

    приведу аналогию:

    представь что ты живёшь с капризной девушкой и выполняешь всё её капризы, а иначе она *грозится_уйти* от тебя. поэтому, ты стараешься выполнять КАЖДЫЙ её каприз -- досконально точно... а потом эта девушка всё равно уходит от тебя со словами "я не люблю подкаблучников, ты не похож на настоящего самца! как личность -- ты безинициативная пустышка".

    ну зачем ты нужен, такой пользователь, если ты не ценишь в Mozilla старания которые эта компания делает для охраны твоей личной жизни? для тебя сделали PDF.js (чтобы хакеры тебя не взламывали через PDF-файлы, а ты только ворчишь про производительность..)

     
     
     
    Часть нити удалена модератором

  • 6.36, Xasd (ok), 19:37, 22/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Этот комментарий имел бы смысл в том случае, если Firefox сохранил своё
    > лицо после преобразований, а не стал бы жалкой копией Хрома, как
    > и тысяча его клонов.

    то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI -- это действительно заслуга разработчиков Хрома.

    а то что ты по своей старпёрской привычке лично-ты не хочешь это признать -- это лишь твоя личная психологическая проблема.

    или ты хочешь сказать что кроме GUI -- разработчики Firefox что-то ещё "скопировали" из Хрома?

    или ты считаешь что Firefox теперь также как и Chrome -- завешан во всю зондами? (которые отправляют Гуглу информацию на каждый чих пользователя?)

    и потом: если даже предположить что теперь Firefox стал таким же как Chrome -- то какой смысл пользоваться Хромом? или ты что-то не договариваешь?

    а может ты вообще ни когда не любил Firefox и тебе завидно что теперь и у Firefox тоже (как и у Chrome) замечательный GUI? :-)

    # P.S.: а может ты -- как раз один из тех людей кто привыкли использовать ТОЛЬКО_САМОЕ_ЛУЧШЕЕ(!) ??.. если архитатор, то только WinRAR (потому что WinRAR самый лучший!!), если музыкальный плеер, то только WinAMP (потому что WinAMP самый лучший муз-плеер!)... если браузер -- то тоже только самый лучший! (а самым лучшим браузером наверняка считается официально Google Chrome.. а все остальные браузеры лишь жалкие догоняющие)

     
     
  • 7.46, dcsdcds (?), 02:46, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI

    Не верил что есть люди которые на самом деле так считают, но вот надо же, увидел. Наверное и остальное г многих в восторг приводит. М-да, пичалька.

    А так то известно что у гугла, по определению, вообще все гуано кроме поиска. Но это и хорошо. А то бы он всю планету уже пожрал.

     

  • 1.29, grec (?), 18:26, 22/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > ко внутренностям браузера.

    Режет слух как-то.

     
     
  • 2.48, Есюки (?), 06:07, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Выражение "Режет слух как-то", как-то слух режет.
     

  • 1.50, qwerty (??), 12:36, 23/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все же, не пойму комментаторов пользующих браузер в в виртуалке который уверены что защищенный на 100%.  Суть конкурса как я понял, деньги дают за багу в браузере, не кто не искал баги в виртуалки, в ядре, и т.д.
     
     
  • 2.51, frak (ok), 15:28, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    суть в том, что баги в браузерах были, есть и будут. и понятно же, что в реальности их находят раньше, чем их находят "официально". А следовательно и стать "жертвой баги" вполне реально до ее исправления. Про 100% защищенность, пожалуйста, не надо - никто не говорил об этом, ибо не бывает :) А вот использование livecd с вебкиоском в виртуалке - где вы загрузились в браузер с "чистой" средой, зашли на нужный вам сайт (предполагается, что доверенный), произвели оплату/и т.п., выключили виртуалку (и следовательно обнулили среду) - мне не кажется странным. Также данный подход можно использовать для походов по подозрительным/заведомо вредоносным сайтам без особой опаски для хостовой системы - шансов, что через браузер гостевой системы ломанут хост гораздо меньше :)

    P.S. в качестве виртуалки, в данном контексте, я для себя использую VirtualBox.

     
  • 2.52, Аноним (-), 20:08, 23/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не на 100%, но лучше чем без.
    http://www.opennet.me/openforum/vsluhforumID3/101804.html#25
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру