Обновление Firefox 37.0.1 с устранением критической уязвимости

04.04.2015 08:15

Доступно корректирующее обновление web-браузера Firefox 37.0.1, в котором устранены две уязвимости. Первая уязвимость отнесена к категории критических проблем и позволяет обойти проверку SSL-сертификатов при установке защищённого HTTPS-соединения, открывая двери для MITM-атак. Атака производится через манипуляции с заголовком Alt-Svc, позволяющим задействовать для HTTP/2 режим шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. До момента окончательной проверки технологии поддержка HTTP/2 Alt-Svc в Firefox отключена.

Вторая уязвимость позволяет в режиме читателя (Reader Mode) осуществить обращения к привилегированным браузерным ресурсам. Проблема проявляется в Firefox для Android и в экспериментальных сборках для разработчиков. В новой версии также устранены проблемы, приводящие к краху браузера на системах, содержащих определённое графическое оборудование и стороннее ПО.

исправить +15 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41971-firefox

Ключевые слова: firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.2, Аноним (-), 08:37, 04/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Атака производится через манипуляции с заголовком Alt-Svc, позволяющим задействовать для HTTP/2 режим шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. До момента окончательной проверки технологии поддержка HTTP/2 Alt-Svc в Firefox отключена. Это не баг, это фича.

1.3, Аноним (-), 13:06, 04/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–12 +/–
Увеличили номер версии, исправив две фичи. Сложно представить, каков инкремент, если кнопку добавят

2.11, Анончик (?), 18:06, 05/04/2015 [^] [^^] [^^^] [ответить]	+/–
изменили номер с 37.0 до 37.0.1, все нормально, до системГЭ далеко еще или не надо было выпускать обнову?

1.4, Аноним (-), 13:11, 04/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Надо было уменьшить?

1.6, Аноним (-), 14:14, 04/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
курим http://semver.org/ https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%80

1.8, XXasd (?), 15:51, 04/04/2015 [ответить] [﹢﹢﹢] [ · · · ]

+3 +/–

Этого стоило ожидать.. Я в первый день (v37) заметил странное поведение Alt-Svc .

Можно было зайти на НЕвалидный https в случае если на него происходит переадресация из http--Alt-Svc . firefox в этом случае отображал https как безопасное.

Наверно это была бы самая лёгкая MitM :-)

2.9, XXasd (?), 15:53, 04/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Переадресация -- имеется ввиду 303 например

1.10, Аноним (-), 19:28, 04/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И похоже сломали возможность входить на страницы с не доверенными сертификатами, кнопка "Добавить исключение" - не работает.

1.12, Аноним (-), 13:32, 07/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
после вчерашнего обновления до 37.0.1 появилась проблема в работе видеодрайвера. периодически ноут полностью зависает и спасает только жесткий ребут. кто может сталкивался?

2.13, marsoksana (?), 03:00, 08/04/2015 [^] [^^] [^^^] [ответить]	+/–
Вчера стала виснуть, решила переустановить, но может есть решение?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: