LINUX.ORG.RU

Новые уязвимости Firefox 3.0

 , ,


0

0

Обнаружены две уязвимости Firefox. Одна из ошибок, связаная с применением XSLT-преобразований, приводит к переписыванию участка памяти и потенциально может быть использована для получения доступа к компьютеру пользователя. Уязвимы версии под все платформы, исправления будут доступны 1-го апреля в релизе 3.0.8

>>> Подробности

★★★★★

Re: Новые уязвимости Firefox 3.0

>исправления будут доступны 1-го апреля в релизе 3.0.8

это прекрасТно!

sovbodu_anonymousam ()

Re: Новые уязвимости Firefox 3.0

Обнаружены на PWN2OWN?.. Fun. :)

cruxish ★★★★ ()

Re: Новые уязвимости Firefox 3.0

BTW...

> The pwn2own bug can be mitigated by disabling JavaScript.

/me - убеждённый фанат NoScript

cruxish ★★★★ ()

Re: Новые уязвимости Firefox 3.0

Вот так. Начали копать под FF и, получается, он не менее дыряв чем IE.

d9d9 ★★★ ()

Re: Новые уязвимости Firefox 3.0

> исправления будут доступны 1-го апреля

Типа это розыгрыш на самом деле? :) И никаких уязвимостей нет?

Flaming ★★ ()

Re: Новые уязвимости Firefox 3.0

edigaryev@brick ~/ff $ firefox xmlcrash.html 
Ошибка сегментирования

Решето!11

edigaryev ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Flaming

Re: Новые уязвимости Firefox 3.0

> Типа это розыгрыш на самом деле? :) И никаких уязвимостей нет?

розыгрышь будет в том, что никаких исправлений нет ;-)

maxcom ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Flaming

Re: Новые уязвимости Firefox 3.0

>Типа это розыгрыш на самом деле? :) И никаких уязвимостей нет?

Нет, дыра настоящая, розыгрышем будет фикс.

Zenom ★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от d9d9

Re: Новые уязвимости Firefox 3.0

> Вот так. Начали копать под FF и, получается, он не менее дыряв чем IE.

Менее. ;) IE вообще взломали за пять минут, несмотря на все его "средства безопасности".

cruxish ★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от d9d9

Решето.

>Начали копать под FF и, получается, он не менее дыряв чем IE.

Адекватные люди этого никогда и не отрицали, более того, смело говорили, что Firefox более дыряв. Но ошибки исправляются на порядок быстрее!

Camel ★★★★★ ()

Re: Новые уязвимости Firefox 3.0

да, что-то фокс сливает... буду epiphany использовать...

ei-grad ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от cruxish

Не 5 минут.

> IE вообще взломали за пять минут, несмотря на все его "средства безопасности".

IE взломали не за 5 минут! За 5 минут взломали единственный экземпляр на единственной машине. Дело былло так, специалист много месяцев (!) корпел над эксплойтом, потом подготовил специальную страницу, которая загружает этот эксплойт в браузер, потом обратился к этой странице на "соревнованиях". Если не учитывать время подготовки, то действительно, браузер взломали за 5 минут, но тогда и высшее образование делается за час, а не за 5 лет обучения.

Camel ★★★★★ ()

Re: Новые уязвимости Firefox 3.0

патч из двух строчек конечно ) просто местами переставили порядок вызова функций ) т.к. еще 4 дня - лично я ждать не буду ! )


diff --git a/content/xslt/src/xslt/txKeyFunctionCall.cpp b/content/xslt/src/xslt/txKeyFunctionCall.cpp
--- a/content/xslt/src/xslt/txKeyFunctionCall.cpp
+++ b/content/xslt/src/xslt/txKeyFunctionCall.cpp
@@ -390,19 +390,19 @@ nsresult txXSLKey::testNode(const txXPat
if (mKeys[currKey].matchPattern->matches(aNode, &aEs)) {
txSingleNodeContext evalContext(aNode, &aEs);
nsresult rv = aEs.pushEvalContext(&evalContext);
NS_ENSURE_SUCCESS(rv, rv);

nsRefPtr<txAExprResult> exprResult;
rv = mKeys[currKey].useExpr->evaluate(&evalContext,
getter_AddRefs(exprResult));
- NS_ENSURE_SUCCESS(rv, rv);

aEs.popEvalContext();
+ NS_ENSURE_SUCCESS(rv, rv);

if (exprResult->getResultType() == txAExprResult::NODESET) {
txNodeSet* res = static_cast<txNodeSet*>
(static_cast<txAExprResult*>
(exprResult));
PRInt32 i;
for (i = 0; i < res->size(); ++i) {
val.Truncate();

Sylvia ★★★★★ ()

Re: Новые уязвимости Firefox 3.0

Прикольно. Проверил. Работает.

f3ex ★★ ()

Re: Новые уязвимости Firefox 3.0

Все приложения переднего плана давно пора писать на Java.

iZEN ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Sylvia

Re: Новые уязвимости Firefox 3.0

фсе, меня уже не касается

make[1]: Leaving directory `/var/tmp/mozilla'
902.64user 55.14system 9:45.55elapsed 163%CPU


:/var/tmp$ firefox --version
Mozilla Firefox 3.0.7, Copyright (c) 1998 - 2009 mozilla.org

:/var/tmp$ firefox xmlcrash.html

Error during XSLT transformation: An unknown XPath extension function was called.

Sylvia ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от iZEN

Re: Новые уязвимости Firefox 3.0

> Все приложения переднего плана давно пора писать на Java.

унылый троллинг.

shahid ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от iZEN

Re: Новые уязвимости Firefox 3.0

>Это чё такое у тебя?

это? в то время как некоторые троллят на форуме о написании программ переднего плана на жабе, я потратила 5 минут своего и 10 минут процессорного времени и пересобрала патченный ФФ, а тролли могут и далее сидеть с решетом, отключеным ЖС или пользоваться другим браузером...

Sylvia ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Sylvia

Re: Новые уязвимости Firefox 3.0

> это? в то время как некоторые троллят на форуме о написании программ переднего плана на жабе, я потратила 5 минут своего и 10 минут процессорного времени и пересобрала патченный ФФ, а тролли могут и далее сидеть с решетом, отключеным ЖС или пользоваться другим браузером...

хоть сейчас бери и в рекламу windows вставляй...

да - это дырявое решето, но это наше решето и наши дырки

действительно уныло

ARHL ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от f3ex

Re: Новые уязвимости Firefox 3.0

Сопровождающий:
Nobuhiro Iwamatsu

вот его и пинайте, если дистр не дебиан - сами найдете кого пинать)

Sylvia ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от shahid

Re: Новые уязвимости Firefox 3.0

>> Все приложения переднего плана давно пора писать на Java.

> унылый троллинг.



как нищеброд с cel500/128 - соглашусь

ядро + прослойка + приложения - решает

куча либ на каждый чих, программа, требующая экзотик библиотек - не нужно, либо пусть будет взаимозаменяемо


мы перестали лазить в окна к любимым девушкам, мы перестали писать драйвера и быть настоящими мужчинами, мы перестали заботиться о системах... мы запустили финансы, экологию, сейчас ещЁ и запустим linux

ARHL ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от ARHL

Re: Новые уязвимости Firefox 3.0

>хоть сейчас бери и в рекламу windows вставляй.

антирекламу? может быть. Вендузятники еще посидят с теми же дырками, им сложнее сделать пересборку с патчем

>да - это дырявое решето, но это наше решето и наши дырки


и надо сидеть с этими дырками как кукушата в гнезде, ждать пока патчи опустятся сверху как манна небесная. Ждете майнтейнеров - так и скажите.

Sylvia ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Sylvia

Re: Новые уязвимости Firefox 3.0

> и надо сидеть с этими дырками как кукушата в гнезде, ждать пока патчи опустятся сверху как манна небесная. Ждете майнтейнеров - так и скажите.

у меня по разным причинам стоит 7 браузеров. как то раз случайно удивился, что среди них нет firefox, хотя один или два - на gecko.


> антирекламу? может быть. Вендузятники еще посидят с теми же дырками, им сложнее сделать пересборку с патчем


я не понимаю, как можно ставить в заслугу браузеру плугины, если 90% пользователей пользуются дефолтовыми настройками. как можно ставить в заслугу безопасность, если он дыряв? это обман с целью получения пользователей, прибыли и бонусов. точно также делает и microsoft. только вранья в linux ещЁ и не хватало

ARHL ()

Re: Новые уязвимости Firefox 3.0

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2a1pre) Gecko/20090327 Minefield/3.6a1pre не упал

los_nikos ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от ptah_alexs

Re: Новые уязвимости Firefox 3.0

>По вашему Silvy это такой ЛОРовский билд-сервис ?)

Это здоровая альтернатива HighwayStar'у, всех уже задравшего своим ОднаБабкаСобрала.

Давайте выделим Silvy на ЛОРе репозитарий?:)

Pavval ★★★★★ ()

Re: Новые уязвимости Firefox 3.0

Решето? =)

Sleepy ()

Re: Новые уязвимости Firefox 3.0

NoScript наше всио!

OzOx ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Pavval

Re: Новые уязвимости Firefox 3.0

учитывая то что пакеты для Debian я делаю через слаковские с помощью alien -d , лучше не надо ^_^

Sylvia ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от cruxish

Re: Новые уязвимости Firefox 3.0

> The pwn2own bug can be mitigated by disabling JavaScript.

Таки у Столлмана не паранойя относительно JavaScript.

unrealix ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от ARHL

Re: Новые уязвимости Firefox 3.0

>ты опоздал со своим комментарием. лет этак на 15

15? Тебя-то еще тогда и на свете не было...

Sleepy ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Sleepy

Re: Новые уязвимости Firefox 3.0

> 15? Тебя-то еще тогда и на свете не было...

15 лет назад я написал свой первый спейс-файтинг на бейсике на zx spectrum, используя 21 символ псевдографики

впрочем, одно другому не мешает :)

ARHL ()

Re: Новые уязвимости Firefox 3.0

а я вот все на стухшем нетскейпе сижу... скажите мне тоже чего нибудь ждать?

splinter ★★★★★ ()

Re: Новые уязвимости Firefox 3.0

Сижу в большинстве случаев на nightly, так что у меня все уже запатчено.

//Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2a1pre) Gecko/20090327 Minefield/3.6a1pre (.NET CLR 3.5.30729)

devl547 ★★★★★ ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Sylvia

Re: Новые уязвимости Firefox 3.0

>учитывая то что пакеты для Debian я делаю через слаковские с помощью alien -d , лучше не надо ^_^

Надо, Сильви, надо!:)
Ибо плохой deb все-таки лучше tar.gz.

Pavval ★★★★★ ()

Опера тут не причём

А скажите, как проблемы в файрфоксе коррелируют с проблемами на Айсвизеле? Неужели из-за какого-то файрвокса и православные дебианщики могут пострадать?

operast ()
Ответ на: Опера тут не причём от operast

Re: Опера тут не причём

> А скажите, как проблемы в файрфоксе коррелируют с проблемами на Айсвизеле? Неужели из-за какого-то файрвокса и православные дебианщики могут пострадать?

как фаирфокс не называй
он все равно в лес смотрит
коли рожа крива

ARHL ()

Re: Новые уязвимости Firefox 3.0

FF RIP :)

vidliks ()
Ответ на: Re: Новые уязвимости Firefox 3.0 от Sylvia

Re: Новые уязвимости Firefox 3.0

>фсе, меня уже не касается

<trolling>
А меня это давно не касалось.

$opera xmlcrash.html

This document had an invalid XSLT stylesheet. Error message from the XSLT engine:
Error: XPath expression compilation failed: w00t()
Details: compilation error (characters 1-6, "w00t()"): unknown function called: 'w00t'
</trolling>

Dimanc ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.