Очередная уязвимость в Mozilla Firefox

Re: Очередная уязвимость в Mozilla Firefox

зы может им к чертовой матери переписать JavaScript? ззы кстати, проще отключить возможность: software installation (установка программного обеспечания) - и уязвимость не должна работать зззы в Linux (сборка MDK) эксполит не фига не работает...

Re: Очередная уязвимость в Mozilla Firefox

Вот хорошо!

Больше дырок находят и фиксят, меньше остается :)

Re: Очередная уязвимость в Mozilla Firefox

интересно, а в мозиле эти эксплоиты работают?

theserg (09.05.2005 18:26:05)

Re: Очередная уязвимость в Mozilla Firefox

> Единственным решением на данный момент является ...

...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

Re: Очередная уязвимость в Mozilla Firefox

прально, анонимные аналитики давно предупреждали что для веб скриптов надо использовать лисп, а не этот пропеарый недоязычок.

Re: Очередная уязвимость в Mozilla Firefox

>> Единственным решением на данный момент является ...

> ...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

включая ЛОР ? или все-таки сделаем исключение

Re: Очередная уязвимость в Mozilla Firefox

>...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

Ни чё подобного! JavaScript как раз нормальный! А вот Firefox реальный маразм...

Re: Очередная уязвимость в Mozilla Firefox

> включая ЛОР ? или все-таки сделаем исключение

не путай java script с jsp

JB (09.05.2005 19:11:19)

Re: Очередная уязвимость в Mozilla Firefox

включая гугле?

Re: Очередная уязвимость в Mozilla Firefox

>прально, анонимные аналитики давно предупреждали что для веб скриптов надо использовать лисп, а не этот пропеарый недоязычок.

буагагага!

theserg (09.05.2005 19:25:03)

Re: Очередная уязвимость в Mozilla Firefox

Solution:
1) Disable JavaScript.

2) Disable software installation: Options --> Web Features --> "Allow web sites to install software"

NOTE: A temporary solution has been added to the sites "update.mozilla.org" and "addons.mozilla.org" where requests are redirected to "do-not-add.mozilla.org". This will stop the publicly available exploit code using a combination of vulnerability 1 and 2 to execute arbitrary code in the default settings of Firefox.

szh (09.05.2005 19:35:49)

Re: Очередная уязвимость в Mozilla Firefox

Прослеживается тенденция нахождения багов для огнелиса. Мой совет - юзайте оперу.

Re: Очередная уязвимость в Mozilla Firefox

http://it.slashdot.org/article.pl?sid=05/05/08/135217&threshold=1&tid...

вот тут рассказывают

> Are you telling me you expect a noob to know this? How is my grandmother supposed to know of this?

Know what? Whats wrong with your grandma, Alzheimer's?

> Why doesn't the little red arrow (update icon) display yet?

Because you don't need to update anything. It was fixed on updates.mozilla.org. The site needs to be in your white list of sites that are allowed to install software to be vulnerable. I'm sure they will have a more permanent fix later at some point, but the current exploit no longer works. Go ahead and try it.

> So, as far as I'm concerend -- it's not.

But you're a bit of a fool, so I'm not sure your opinion counts.

Что в переводе означает: "дурни, не ведитесь на провокацию, все уже давно починили и дергаться не надо."

del (09.05.2005 19:49:21)

Re: Очередная уязвимость в Mozilla Firefox

> Прослеживается тенденция нахождения багов для огнелиса. Мой совет - юзайте оперу.

А нафиг юзать оперу, когда уже юзаешь Лису?

Re: Очередная уязвимость в Mozilla Firefox

обычно те, кто называет JavaScript недоязыком на него никогда как следует не смотрели. то, что синтаксис похож и в названии Java есть - ни о чем не говорит

Re: Очередная уязвимость в Mozilla Firefox

> обычно те, кто называет JavaScript недоязыком на него никогда > как следует не смотрели. то, что синтаксис похож и в названии > Java есть - ни о чем не говорит

Поддерживаю предыдущего оратора:

http://www.dklab.ru/chicken/nablas/38.html http://www.dklab.ru/chicken/nablas/39.html http://www.dklab.ru/chicken/nablas/40.html

Re: Очередная уязвимость в Mozilla Firefox

Узнаю ЛОР... нет, серьезно сейчас пойдет спор, о том, что жаба это гуд, а скрипт это х... в общем как всегда. Кстати особенность ошибки такова, что она уже не работает :)

Re: Очередная уязвимость в Mozilla Firefox

посмотрели бы сколько уязвимостей в ослике :) там вообще солюшен не включать комп :D

пока не сделают легкий(имеется ввиду по ресурсам) и практичный браузер,каким я считал когда вышел файрфокс,буду юзать оперу и мозиллу + линкс

gh0stwizard (09.05.2005 20:27:53)

Re: Очередная уязвимость в Mozilla Firefox

У меня пример эксполита не работает, что я делаю не так?

Re: Очередная уязвимость в Mozilla Firefox

>У меня пример эксполита не работает, что я делаю не так?

Должон работать!

Проверено: Demetrio (*) 09.05.2005 16:40:57

Valerius (09.05.2005 20:43:29)

Re: Очередная уязвимость в Mozilla Firefox

Он компьютер включить забыл :)

Re: Очередная уязвимость в Mozilla Firefox

Demetrio?

Re: Очередная уязвимость в Mozilla Firefox

а вы сам кто будете?

Re: Очередная уязвимость в Mozilla Firefox

Не надо наезжать лишний раз на JavaScript. Я им сам редко пользуюсь, но иногда он бывает полезен...

Re: Очередная уязвимость в Mozilla Firefox

>>а вы сам кто будете? В том смысле, что если вы сами никогда не разрабатывали серьёзных сайтов, то не стоит спешить с вердиктами.

Re: Очередная уязвимость в Mozilla Firefox

> Мой совет - юзайте оперу.

Ну нафиг - недобровзер. Только-только поддержку js болеее или менее нормальную приделали... Делал функцияю для вставки текста в поле textares по месту курсора, так вставляет, позицию курсора меняет, а сам курсор - на старом месте мигает. Пилять... :-F

atrus (09.05.2005 23:59:40)

Re: Очередная уязвимость в Mozilla Firefox

абсолютно согласен..

как язык JavaScript намного круче Java. тут и prototype-based OO и first-class functions и closures.

другое дело, что про это большинство пользователей (и не пользователей) языка понятия вообще не имеют :)

Re:

>>Больше дырок находят и фиксят, меньше остается :)

Этот принцип больше подходит к софту, который долго не обновляется, например к ИЕ. А с фофанским подходом "в новой версии мы убрали кучу старых глюков и попутно добавили новых" такой принцип не катит.

Energizer (10.05.2005 3:51:11)

Re: Очередная уязвимость в Mozilla Firefox

>...является кастрация ВСЕХ въеб-девелоперов, которые делают сайты на жабоскрипте и полный отказ от этого маразматического языка.

А не проще от ФайрФокса отказаться?

Re:

> Этот принцип больше подходит к софту, который долго не обновляется, например к ИЕ. А с фофанским подходом "в новой версии мы убрали кучу старых глюков и попутно добавили новых" такой принцип не катит.

C чего ты взял, что добавили новых? Новые добавляются при глобальных изменениях, и то не всегда. Когда одну ветку вылизывают, чем больше фиксят, тем меньше остается. :) Тем более последние дыры были еще с давних времен кода. Так что все путем.

Re:

ты до этого сам додумался или тебя дядя гейтс с балмером гетзефакнули?

Re: Очередная уязвимость в Mozilla Firefox

> The problem is that "IFRAME" JavaScript URLs are not properly protected from being executed in context of another URL in the history list. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of an arbitrary site.

Гы. Нет, ну просто гы-гы-гы. IE переболел IFRAME-болезнью уже много лет назад, но это, видимо, грабли, на которые прямо-таки обязан наступить каждый.

Re: Очередная уязвимость в Mozilla Firefox

> Что в переводе означает: "дурни, не ведитесь на провокацию, все уже давно починили и дергаться не надо."

метод использования firefox включает в себя необходимость чтения bugtraq/slashdot/etc..? :)

МС домашних юзверов заставить качать фиксы не может. И не только домашних...

WindowsUser (10.05.2005 11:24:52)

Re: Очередная уязвимость в Mozilla Firefox

Да ну. Если пользователь не хочет быть защищенным, то заставлять его бессмысленно :)

Re: Очередная уязвимость в Mozilla Firefox

> А не проще от ФайрФокса отказаться?

И бровзить lynx'ом? :) Проблема-то не в дырах! Просто если ВСЕ сайты будут использовать простой ХТМЛ, то и включать этот дебильный жабоскрипт никогда не придется.

Re: Очередная уязвимость в Mozilla Firefox

А нафиг от него отказываться?

Re: Очередная уязвимость в Mozilla Firefox

> А не проще от ФайрФокса отказаться?

Теперь уже сложнее будет отказаться. Раскрутили PR-щики, народ подхватил. Те же, кому надо ехать, а не шашечки, юзают Konqueror и горя не знают.

mokhin (10.05.2005 16:07:08)

Re: Очередная уязвимость в Mozilla Firefox

> Просто если ВСЕ сайты будут использовать простой ХТМЛ, то и включать этот дебильный жабоскрипт никогда не придется.

смешной ты человек, в самом деле...
оглянись вокруг - 21 век. без яваскрипта сейчас - никак.
js - это уже давно не просто фишка для
return confirm на кнопке удаления. это навороченный OO-язык,
с помощью которого делаются красивые и удобные сайты типа гмыла.

kelyar (10.05.2005 16:36:45)

Re: Очередная уязвимость в Mozilla Firefox

>> обычно те, кто называет JavaScript недоязыком на него никогда > как >следует не смотрели. то, что синтаксис похож и в названии > Java есть - >ни о чем не говорит
>
>Поддерживаю предыдущего оратора:
>
>http://www.dklab.ru/chicken/nablas/38.html >http://www.dklab.ru/chicken/nablas/39.html >http://www.dklab.ru/chicken/nablas/40.html
>
>you-name-it (*) (09.05.2005 20:19:40)

мды, ребята;
одно слово: python
и точка

olecom (10.05.2005 16:39:30)

Re: Очередная уязвимость в Mozilla Firefox

> без яваскрипта сейчас - никак

Чушь. Так или иначе, но жабоскрипт сдохнет. Проблема современного Интернета в том, что все пытаются скрестить ужа с ежом: С одной стороны, иметь верстку на уровне паблишинга, а с другой - всякие рюшечки, ПРИСУЩИЕ ПОЛНОЦЕННЫМ ЯЗЫКАМ ПРОГРАММИРОВАНИЯ. Но извините, это ДВЕ РАЗНЫЕ ЗАДАЧИ! И жабоскрипт здесь - неполноценное дитя прогресса, которое заставляют оживлять дурацкие странички. Гипертекст - вот основа Интернета, все остальное (SOAP, JavaScript, etc) - от лукавого.

Re: Очередная уязвимость в Mozilla Firefox

>мды, ребята; одно слово: python и точка

Только что хотел написать то же самое )) А кто вообще раньше догадался до всех этих фишек с метаклассами и пр. Всегда ли JavaScript был таким ? Я сам никогда не использовал всех этих трюков с объектами, не было надобности. Прочитав эти три статьи, у меня парям дежавю, как будто я читаю наставления Гвидо.

Re: Очередная уязвимость в Mozilla Firefox

> Просто если ВСЕ сайты будут использовать простой ХТМЛ, то и включать этот дебильный жабоскрипт никогда не придется.

А ещё есть такой формат - TXT. Рулит так, что аж обруливается. Всё просто и ясно, никаких заморочек.

Re: Очередная уязвимость в Mozilla Firefox

Из одного языка идеи тырили - из perl. Впрочем, perl сам по себе - коллекция идей из разных языков.

Re: Очередная уязвимость в Mozilla Firefox

>Из одного языка идеи тырили - из perl. Впрочем, perl сам по себе - коллекция идей из разных языков.

Осведомленность поражает. И что же из перла _тырили_?

Re: Очередная уязвимость в Mozilla Firefox

В общем, как и предсказывалось - больше пользователей, больше дыр. Чудес не бывает - писать программы не умеет никто :)

WFrag (11.05.2005 8:04:35)

Re: Очередная уязвимость в Mozilla Firefox

>SOAP

SOAP-то чем не угодил? Ну толстый, ну неудобный, кривой. Зато хоть какое-то соглашение.

>JavaScript

А что делать с сайтами типа GMail?

WFrag (11.05.2005 8:05:50)

Re: Очередная уязвимость в Mozilla Firefox

gmail мона через evolution смотреть или через любой мыл-клиент, который pop3 держит..

einsturzende_neubauten (11.05.2005 9:45:28)

Re: Очередная уязвимость в Mozilla Firefox

Ну ты же понимаешь неравноценность этой замены :)

WFrag (11.05.2005 10:09:23)

Re: Очередная уязвимость в Mozilla Firefox

> включая ЛОР ? или все-таки сделаем исключение

ЛОР использует жабку на сервере, а не жабоскрипт в хытымыле.

Re:

> C чего ты взял, что добавили новых? Новые добавляются при глобальных изменениях, и то не всегда. Когда одну ветку вылизывают, чем больше фиксят, тем меньше остается. :)

Угу, угу, угу. Когда ослика травили за его баги и ржали над майкрософтом с такими же аргументами про исправление багов в IE, думали иначе. А теперь скромненько так, раз баги правят, мол меньше их. Вот погодите эта жуткая куча безобразно спроектированного кода с наследием и от глюкскейпа еще, уже радует мир тормознутостью и багами, еще расплюются люди как распробуют.