LINUX.ORG.RU

Исправлены критические уязвимости в Mozilla Firefox

 , ,


0

0

Наконец-то, через несколько недель после того, как информация о двух критических уязвимостях, затрагивающих Firefox 3.0.0 и всю 2-ю ветку, была подтверждена разработчиками, анонсирован релиз Firefox 2.0.0.16 и пока неофициально выложен на FTP Firefox 3.0.1 (ftp://ftp.mozilla.org/pub/firefox/rel...). В этих версиях исправлены эти две опасные уязвимости:

  • MFSA 2008-34 — возможность выполнения кода злоумышленника через переполнения ссылочного счетчика CSS-объектов, используемого в структуре данных CSSValue;
  • MFSA 2008-35 — злоумышленник может открыть несколько табов в Firefox, используя символ "|" в URI, когда внешнее приложение пытается открыть определенную страницу, а браузер при этом не запущен. Опасность уязвимость представляет с точки зрения возможности формирования URL, при клике на который в контексте "chrome" будет выполнен XUL-скрипт злоумышленника.

Также объявлено, что 2-я ветка будет поддерживаться до середины декабря 2008 года, после чего выпуск обновлений будет прекращен.

>>> Подробности



Проверено: Shaman007 ()

> злоумышленник может открыть несколько табов в Firefox, используя
> символ "|" в URI, когда внешнее приложение пытается открыть
> определенную страницу, а браузер при этом не запущен.

Блин три раза перечитал пока понял, что речь идет о ссылке
в почте или еще где...:)))
Ну не открываю я ссылки пока браузер не запущен...:)

GlorySmith
()
Ответ на: комментарий от GlorySmith

>Ну не открываю я ссылки пока браузер не запущен...:)

а я вообще ссылки из почты или откуда там не открываю...

delilen ★☆
()

Мозила как был дырявым решетом так и остался. Видно карма у него хреновая, или у девелоперов руки не из тех мест растут.

Sherak ★☆
()
Ответ на: комментарий от GlorySmith

>Ну не открываю я ссылки пока браузер не запущен...:)

Т.е. ты запускаешь браузер, копируешь в письме ссылку, вставляешь её в строку браузера и жмёшь "Перейти"? Эк вас жизнь покарёжила... :D

Sherak ★☆
()
Ответ на: комментарий от Sherak

>Мозила как был дырявым решетом так и остался. Видно карма у него хреновая, или у девелоперов руки не из тех мест растут.

Доооо! Mozilla Foundation ни хрена не понимают в разработке, это же очевидно!

anonymous
()

Неспешненько так, неспешненько.

Round ★★
()

жалко что iceweasel/icecat/epiphany и прочие базирующиеся на тех же исходниках с непонятным статусом и непонятно как для них выходят обновления (если вообще выходят)

Sylvia ★★★★★
()

>Наконец-то, через несколько недель

Шустренько они сработали! :)

anonymous
()
Ответ на: комментарий от anonymous

>>RMS прав, пусть wget за меня по ссылкам ходит

плюспицот )))

Andru ★★★★
()
Ответ на: комментарий от oguretz

>Эксплоиты! Эксплоиты! Эксплоиты!...

Где?!! Нетутьки!..

anonymous
()

/me ушол читатать Schneier, Bruce secrets & Lies.txt

FiXer ★★☆☆☆
()
Ответ на: комментарий от Sylvia

>жалко что iceweasel ... непонятно как для них выходят обновления (если вообще выходят)

в Debian unstable уже есть(ещё в 12 часов утра)

sniper21 ★★★★★
()
Ответ на: комментарий от Sherak

Бгхым... я, конечно, сижу в огнелисе, но ссылки хз откуда у меня по умолчанию открываются в конквероре. Ну лень мне сие переделывать. Так что фигня оно все, а не уязвимость. Это "злоумышленнику" надо ещеь пользователю внушить сделать так, чтоб сплойт сработал. Возможно даже по телефону объяснить. Короче, ситуация похожа на вирусы, которые ручками компилить нужно под определенное ядро.

Reddle
()
Ответ на: комментарий от Alsvartr

Гг! :) Ортодоксам всего мира посвящается.

cache ★★
()

осталось избавится от тормозов и я перееду с оперы :) а, ну да, и еще пофиксить пару пока-не-найденных багов :D

brrr
()

Короче решето полное.

Opera - Наше все.

Много раз "пересаживался на FF" с Oper'ы - поработаешь несколько месяцев - выкидываешь в дальний угол FF.

ComputerPers
()
Ответ на: комментарий от ComputerPers

Все так говорят, буд-то полно пострадавших от дыр в фф.

madcore ★★★★★
()
Ответ на: комментарий от Sylvia

епифанька потихоньку с геккоо сваливает на WebKit, может поэтому особливого интереса не видно с их стороны. хотя... бага критическая, должны зафиксить.

Deleted
()
Ответ на: комментарий от Deleted

>епифанька потихоньку с геккоо сваливает на WebKit

Как-то уж слишком потихоньку она это делает. Arora так уже даже можно пользоваться.

FENix
()

Задрал фокс своей падучестью (конечно же из-за плагинов), а без плагинов он не нужен (опера быстрее). Оперовцы вообще молодцы, и новый дизайн сделали уже покруче (хотя все еще гавно редкое).

kost-bebix ★★
()

Ничего удивительного в новости нет. Чем более популярнее продукт, тем активнее ищутся в нём уязвимости. Очевидно, что глобально ФФ - единственный реальный конкурент ИЕ. Главное, что бы исправляли вовремя. А по поводу Оперы. Опера уже опенсорс? Конверор и Епифанти зависимы от DE. Остальное на базе WebKit крайне сыро, так что вариантов выбора браузера не так уж и много.

pento ★★★★★
()
Ответ на: комментарий от kost-bebix

>Оперовцы вообще молодцы, и новый дизайн сделали уже покруче

Ну осильте ж Вы наконец темы оформления, или сделайте свою, кот. будет удовлетворять Ваши вкусы! Тем более, что интерфейс Оперы может изменятся до неузнаваемости, благодаря свободному перемещению абсолютно всех элементов интерфейса.

sArj
() автор топика
Ответ на: комментарий от pento

>Ничего удивительного в новости нет. Чем более популярнее продукт, тем активнее ищутся в нём уязвимости.

В первую очередь речь идет не о самый уязвимостях, а о _времени_, кот. понадобилось для их исправления!

sArj
() автор топика
Ответ на: комментарий от caddr

> HTML в письмах must die

юзай sylpheed или mutt, они этого отродясь не умеют )

cray_rus
()
Ответ на: комментарий от FENix

Arora можно было бы пользоваться если бы 1) оно не висло на загрузке если какой то из сайтов мертв. 2) плагины бы.. хотя бы флеш тот же, нужен все таки иногда лучше как в Опере (галочка enable plugins) или как в ФФ (аддон - noflash или как-то так)

Iceweasel (FF2.x) пропатчился, хорошо конечно, а вот IceCat ( http://gnuzilla.gnu.org ) (на основе ФФ3) кажется заброшен (

Sylvia ★★★★★
()
Ответ на: комментарий от GlorySmith

>Представь, да...Один раз было письмо с хтмл кодом типа <a href=http://porno.com>http://linux.org.ru</a>

Нормальные люди отключают хтмл в незнакомых письмах по дефолту. А щёлкают только на ссылки в текстовых письмах или в хтмле от тех кому можна доверять. А заниматься копи-пастом это имхо ламеризм.

Sherak ★☆
()
Ответ на: комментарий от Gharik

Спокойно, больной. Ужин, как всегда - по расписанию.

isu
()
Ответ на: комментарий от Deleted

неужели так нужен .tgz пакет еще и с неофициального ресурса?

обычный мозилловский .tar.gz распаковывается на любом дистрибутиве, в любой каталог, в /usr/bin или другой каталог в PATH кидается symlink на firefox
вся установка...

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Все программы должны быть опакечены, иначе ваша система превратится в помойку.

P.S. Да, в пакете русский FF.

Deleted
()
Ответ на: комментарий от Sylvia

> кому как )

Не "кому как". Это аксиома.

Deleted
()
Ответ на: комментарий от brrr

Палочки там показывают уровень самой критичной из уязвимостей.

anonymfus ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.