LINUX.ORG.RU

Firefox 37.0.1

 , , , ,


0

3

Тихо и незаметно произошло обновление стабильной версии Firefox до 37.0.1. Выпуск является корректирующим с исправлением двух серьезных уязвимостей.

Первая является критической: ошибка позволяет обойти проверку SSL сертификата в HTTPS соединениях с использованием протокола HTTP/2, что делает возможным проведение MITM атак. Злоумышленник, манипулируя заголовком Alt-Svc, задействует HTTP/2 режим шифрования без аутентификации. Для шифрования не требуется прохождение процедуры подтверждения подлинности сервера. Уязвимость устранена отключением поддержки HTTP/2 Alt-Svc.

Вторая уязвимость позволяет обойти ограничения режима Reader Mode (режим читателя). Ошибка проявляется на Android версии и в сборках для разработчиков. Также устранены ошибки, приводящие к краху браузера в определенных условиях: при некоторых сочетаниях графического оборудования и стороннего ПО.

>>> Подробности

★★★

Проверено: maxcom ()

Офигеть «минорный релиз». Когда ждать в LTS-ветке?

ZenitharChampion ★★★★★ ()

Да это же....
МИНОРЩИНА!!!

mittorn ★★★★★ ()

манипулируя заголовком Alt-Svc, задействует HTTP/2 режим шифрования без аутентификации
Уязвимость устранена отключением поддержки HTTP/2 Alt-Svc.

Афигеть! Только придумали ххтп/2 и сразу же в него заложили бомбу

Bad_ptr ★★★ ()
Ответ на: комментарий от Bad_ptr

Афигеть! Только придумали ххтп/2 и сразу же в него заложили бомбу

Хочешь сказать, это уязвимость протокола, а не конкретной реализации?

Legioner ★★★★★ ()

Мне не нравится. Не вижу ничего полезного или важного ни в 37, ни в 37.0.1, зачем они напрягают своих пользователей стрёмными цифрами?

wakuwaku ★★★★ ()
Ответ на: комментарий от wakuwaku

Не вижу ничего полезного или важного ни в 37, ни в 37.0.1

Закрытие уязвимостей. Или ты из того контингента, который отключает Windows Update сразу после установки?

anonymous ()
Ответ на: комментарий от darkenshvein

Я запетросянил. Мне нужна просто обнова, в deb пакетике.

garik_keghen ★★★★★ ()
Ответ на: комментарий от wakuwaku

Мне не нравится. Не вижу ничего полезного или важного ни в 37, ни в 37.0.1, зачем они напрягают своих пользователей стрёмными цифрами?

Сиди на 31 и не напрягайся. Обновишься на 38 и дальше сиди. Только и там не забывай обновляться, а то рискуешь оказаться с голым задом.

mandala ★★★ ()
Ответ на: комментарий от anonymous

Закрытые уязвимостей в подсистемах, которые у меня и так отключены… MITM тебя не особо беспокоит, если ты живёшь в России, поскольку большинство соединений и так с MITM. А насчёт Windows Update это логично, чем разгребать все эти сотни обновлений, вычленяя вредные, ломающие что-то, и так далее. Куда эффективнее не обновлять.

wakuwaku ★★★★ ()
Последнее исправление: wakuwaku (всего исправлений: 2)
Ответ на: комментарий от Polugnom

И даже не мининовость.

Так безопасность. А в первого апреля все были заняты картинками и прощелкали коректирующий хромоног с не менее серьезными исправлениями.

mandala ★★★ ()
Ответ на: комментарий от wakuwaku

большинство соединений и так с MITM

А еще кое кто пьет кровь младенцев по утрам и вечерам. Как ты думаешь, почему стены обратно не перекрасили?

Куда эффективнее не обновлять.

Ты лентяй просто и криворук видимо.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Твоя правда, мне хватило поразгребать это говно пару раз, чтобы перейти на линукс. Что до сомнений насчёт MITM… Ну, не знаю, это вроде и не скрывается.

wakuwaku ★★★★ ()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от wakuwaku

Ну, не знаю, это вроде и не скрывается.

И ты их видишь и обычно с матерком идешь через заграницу. А тут тихо и мирно, без подтверждения подлинности.

mandala ★★★ ()

Да едриться в пасатижи, я буквально вчера до 37.0 обновился!

MrClon ★★★★★ ()
Ответ на: комментарий от mandala

А еще кое кто пьет кровь младенцев по утрам и вечерам.

Вы таки хочете сказать шо они не обедают?

anonymous ()

Оно уже перестало жрать всю имеющуюся на компе память?

zenden ()
Ответ на: комментарий от Legioner

Ну, если бы это была ошибка реализации, а не протокола, то зачем отключать поддержку HTTP/2 Alt-Svc, а не просто фиксить баг?

Indexator ★★★ ()

Интересно, будет ли в ESR

SjZ ★★★★★ ()
Ответ на: комментарий от Twissel

Вроде пару дней назад, да. Тогда нормально.

SjZ ★★★★★ ()

В дебиан, вроде, уже прилетело

sehellion ★★★★ ()

HTTP/2 еще не используется толком, а уже обосрались.

Spoofing ★★★★★ ()
Ответ на: комментарий от Indexator

Ну, если бы это была ошибка реализации, а не протокола, то зачем отключать поддержку HTTP/2 Alt-Svc, а не просто фиксить баг?

Возможно потому, что фиксить баг сложно и долго, а уязвимость исправлять надо как можно быстрей. Потом в спокойной обстановке пофиксят, потестируют и в следующей версии включат.

Legioner ★★★★★ ()

Не понятно, зачем они выпускают мажорный релиз, а потом каждый раз фиксят критические баги в минорных релизах к этой версии?!

Все-таки привязка к графику релизов, это плохо.

awesomenickname ★★★★ ()
Ответ на: комментарий от Indexator

Отключили на всякий случай, до тех пор, пока досконально не разберуться. HTTP/2 почти не распространен, поэтому его отключение не критично.

anonymous ()

Затрахали уже со своими обновлениями... Опять кучу времени на сборку тратить...

Meyer ★★ ()

У меня all-in-one gestures и скрол по клику на колесо отваливается периодически, лечится рестартом. Не было печали - апдейтов накачали. Отключаю автоапдейт ибо ненужно.

erebtonge ()

Что это делает на глагне?

mittorn ★★★★★ ()
Ответ на: комментарий от Legioner

Это справедливо. Но тогда лучше в описании уточка уточнять, что отключено для дальнейших разбирательств, а то звучит, как «закопали и забыли».

Indexator ★★★ ()

чот браузерная индустрия стала плохо пахнуть. Постоянно ломают, а потом чинят. Походу допилив какой нить кусок сразу в продакшн?

anonymous ()
Ответ на: комментарий от Meyer

за меня компилятор и система сборки собирают

anonymous ()

К слову сказать, в этом новом фоксе плохо работает Tree Style Tabs. Дети не создаются.

alright ()
Ответ на: комментарий от garik_keghen

не нужна, внезапно фф прекрасно запускается от юзера. Улавливаешь?

darkenshvein ★★★ ()

Минорщина на главной?

haku ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.