The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от opennews (??) on 28-Мрт-09, 13:27 
На четыре дня раньше запланированного срока анонсирован (https://developer.mozilla.org/devnews/index.php/2009/03/27/f.../) выход обновления Firefox 3.0.8 (http://www.mozilla.com/firefox/3.0.8/releasenotes/) в котором устранены (http://www.mozilla.org/security/known-vulnerabilities/firefo...) 2 критические уязвимости.

Первая уязвимость (http://www.mozilla.org/security/announce/2009/mfsa2009-13.html) была продемонстрирована на соревновании (https://www.opennet.ru/opennews/art.shtml?num=20818) по взлому web-браузеров, проведенному в рамках конференции CanSecWest 2009. Уязвимость позволяет удаленному злоумышленнику инициировать выполнение кода в системе. Проблема связана с ошибкой в реализации построения дерева XUL элементов в методе _moveToEdgeShift, которая могла привести к вызову сборщика мусора для выполняющегося объекта. Уязвимости не подвержены Firefox 2, Thunderbird 2 (http://www.mozilla-europe.org/en/products/thunderbird...

URL: https://developer.mozilla.org/devnews/index.php/2009/03/27/f.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=20984

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Владислав (??) on 28-Мрт-09, 13:27 
Блин, плагины перестали работать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Аноним (??) on 28-Мрт-09, 14:42 
Если верить данным веб-сервера
релиз 3.0.7 был выложен 21-Feb-2009 02:29
http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../
релиз 3.0.8 был выложен 27-Mar-2009 21:56
http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../

как говорится "no comments".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Шурек Табуреткин on 28-Мрт-09, 15:02 
>Если верить данным веб-сервера
>релиз 3.0.7 был выложен 21-Feb-2009 02:29
>http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../
>релиз 3.0.8 был выложен 27-Mar-2009 21:56
>http://pj-mirror01.mozilla.org/pub/mozilla.org/firefox/relea.../
>
>как говорится "no comments".

а что собственно не нравится? в феврале 3.0.7, в марте 3.0.8.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от _stx_ on 28-Мрт-09, 15:57 
заголовок не нравится.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Аноним (??) on 28-Мрт-09, 15:36 
уже пакеты под слаку собрали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от User294 (ok) on 28-Мрт-09, 16:36 
Для убунты - 3.0.8 уже в репах.За оперативность убунтуйцам респекты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от gelo (??) on 28-Мрт-09, 18:47 
для окон тоже уже 3.0.8 )
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от ggggghhgg on 28-Мрт-09, 18:59 
Да для всех уже есть бинарники собранные
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от User294 (ok) on 28-Мрт-09, 22:29 
Сама по себе мозилла почему-то не удосуживается сборкой своих бинарей для AMD64, так что то что оно именно в репах есть - позитивно.Убунтуйцы порадовали вменяемой реакцией на достаточно критичную проблему.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Аноним (??) on 29-Мрт-09, 05:30 
Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и не попробую. Но зато через уязвимости в этих функциях выполняют произвольный код... Дайте браузер без Cookies (фу), JavaScript, Java, Ajax... Чтобы были https и ssl. Который не стремишься всё время обновлять. А поставил в 2004-м и пользуешься спокойно. Я и под виндой друзьям поставлю. Скажите название?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от anonymous (??) on 29-Мрт-09, 06:16 
lynx например
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Bocha email(??) on 29-Мрт-09, 08:53 
Вы бы еще телнет на 80 порт посоветовали, уровень комфорта тот же примерно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от anonymous (??) on 29-Мрт-09, 15:33 
Тогда dillo.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от User294 (ok) on 29-Мрт-09, 17:22 
>Вы бы еще телнет на 80 порт посоветовали,

Зато под требования подходит идеально - и багам особо негде быть и не умеет ничего.Даже хтмл парсить не умеет.Мечта вопрошавшего по идее :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от да зачем вам мое имя on 29-Мрт-09, 09:04 
>Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и
>не попробую. Но зато через уязвимости в этих функциях выполняют произвольный
>код... Дайте браузер без Cookies (фу), JavaScript, Java, Ajax... Чтобы были
>https и ssl. Который не стремишься всё время обновлять. А поставил
>в 2004-м и пользуешься спокойно. Я и под виндой друзьям поставлю.
>Скажите название?

Arachne, но не помню, поддерживает ли он https.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от User294 (ok) on 29-Мрт-09, 17:19 
>Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и
>не попробую. Но зато через уязвимости в этих функциях выполняют произвольный
>код...

Вы *думаете* что не юзаете эти функции.А вот если вам их жестко отключить - узнаете о вебе много нового скорее всего :D

>Дайте браузер без Cookies (фу),

В нормальном виде куки используются для запоминания настроек, что иногда весьма удобно.Можно конечно по 20 раз самолично все делать, но зачем?Кроме того некоторые сайты без куков просто не работают (например, не проходит логин и так далее).А так хоть в том же файрфоксе прием куков отключается или давится несимпатичным сайтам.Да и любой другой приличный браузер позволяет отключить прием куков.А совсем непозорные - еще и выборочно.Потому что если вариант пососать или принять куки (на сессию а потом %#нуть их если они не нужны), выбор разумного человека думаю понятен?

Итого:если вы ходите только на опеннет, храбро отключайте куки.Хотя даже и тут вас будут ждать неудобства - в куках запоминаются настройки (например, как показывать комментарии).На ряде других сайтов без поддержки куков можно и попросту всосать когда сайт у вас просто не заработает.

>JavaScript,

Опять же любой приличный браузер позволяет их отключить.Ну, вы поимеете то чтохотели: половина сайтов у вас в принципе не будет работать.Вообще.Давно прошли те времена когда веб был набором статичных текстовичков.Но если оно надо - любой приличный браузер позволяет отключить их.Хорошие браузеры позволяют выборочно.Ну а навороты типа NoScript в файрфоксе - для ценителей контроля над ситуацией, можно оставтиь JS там где он натурально нужен и ... не более того :).Отрубить JS совсем?Ну только если вы ходите на пару сайтов.А в противном случае - у вас что-то где-то не отработает и вы всосете.

>Java,

А вы ее много в вебе видели?Я у себя не включаю сроду, рантайм у мну отсутствует и вроде не страдаю от этого :)

>Ajax...

Отрубается отключением ява-скрипта.Вот только опять же - при этом вы просто пролетите при попытке зайти на некоторые сайты.Семеро одного не ждут и дятлов с отключенным JS - мало.Так что если у вас что-то не заработает на каком-то сайте, жаловаться придется в спортлото.

>Чтобы были https и ssl.

Уж не для онлайн банкинга ли?А то как минимум яваскрипт нужен почти всем сайтам банков которые попадались.Нет, то есть вы конечно можете их принципа переться в отделение самолично за тридевять земель, если не повезет - толкаться в очереди и прочая.А я лучше JS включу, вы уж извините :)

>Который не стремишься всё время обновлять.

Для сетевого софта это чревато.

>А поставил в 2004-м и пользуешься спокойно.

Так чтобы с 2004 года не апдейтить - юзайте telnet на порт 80, а хтмл парсьте глазами :).А то даже в Lynx (если не ошибаюсь) находили уязвимость.И явно не в 2004 году...

>Я и под виндой друзьям поставлю.

Они вас поколотят когда у них половина сайтов не заработает и из остального еще 3/4 будет работать криво и с особенностями.

>Скажите название?

Телнет на 80-й порт, больше под ваши критерии ничо не пролезет пожалуй - чтобы за 5 лет багов не нашли и нихрена не работало - самое то :)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от аноним on 30-Мрт-09, 20:10 
>пососать
>всосать
>сосать

в вашем посте очень заметны состояния психического возбуждения и напряжения, вызванные либидинозными и агрессивными потребностями, связанными с оральной зоной

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от kegf (??) on 30-Мрт-09, 09:51 
>Дайте браузер. Чтобы без горы функций, которых я никогда не узнаю и
>не попробую. Но зато через уязвимости в этих функциях выполняют произвольный
>код... Дайте браузер без Cookies (фу), JavaScript, Java, Ajax... Чтобы были
>https и ssl. Который не стремишься всё время обновлять. А поставил
>в 2004-м и пользуешься спокойно. Я и под виндой друзьям поставлю.
>Скажите название?

links -g

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от Аноним (??) on 29-Мрт-09, 13:19 
> Дайте браузер без ....

imho надо покопаться и просто отключить эти функции. JavaScript и Java и Adobe Flash и так далее.
Только вот нюанс... как вы долго проработаете в браузере без них если эти фичи использует каждый второй сайт? Это уж совсем для аскетов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от bAlex_ (ok) on 29-Мрт-09, 22:15 
В принципе терпимо, только задалбывают неработающие динамические меню (спрашивается, какого фига в сам стандарт HTML до сих пор тега не предложили...). Без флеша легко и свободно.
В общем если по всяким виртуальным казино, порносайтам, интернет магазинам не шариться - жить можно очень спокойно. Практически все грамотные сайты с тех. документацией отлично видятся без всяких джав.
Особенно почитаю сайты, что легко смотрятся в линксе, например http://www.bog.pp.ru/
Побольше бы таких...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от User294 (ok) on 30-Мрт-09, 15:40 
>сам стандарт HTML до сих пор тега не предложили...).

Думаете, вебмастера будут делать строго по стандарту специально для вас?Мечтать не вредно, их обычно вообще чудаки с отключенным жаваскриптом не интересуют - семеро одного не ждут а если вы что-то отрубили и оно у вас не работает, это по большому счету ваши проблемы.И своими их делать поверьте, никто не хочет (кроме считанных единиц особо-добрых и неленивых вебмастеров).

>Без флеша легко и свободно.

Ага.До тех пор пока не пришлют ссылку на ролик на ютубе или подобном или не попадется сайт где ВСЯ нафигация или как минимум стартовый редиректор - зачем-то на флеше.Можно конечно бухтеть что вы на такие сайты не ходите но случаи как известно бывают разные.

>Практически все грамотные сайты с тех. документацией отлично видятся без всяких джав.

Угу, а вы давно были на сайтах допустим производителей чипов?У половины этих скотов оно без флеша просто не работает, вообще.Например, бывает так что стартовая заставка на флеше редирект без него на навигацию по сайту тупо не происходит.Формально сайт браузабелен и без флеша но - вы весь мозг сломаете пока нужный урл на который надо пройти накопаете сами вместо того чтобы вас на него выбросила бы флешовая заставка-редиректор.Особо умные догадываются сделать линк для пропуска заставки, но это как вы понимаете не все.Итого проще разрешить для сволочуг флеш чем сношать мозг полчаса изучением анатомии сайта.Если я пришел на сайт чтобы доку на чип отхватить - я хочу доку на чип.А не черт побери дрочить анатомию их сраного сайта.

>Побольше бы таких...

Мечтать не вредно.Только с таким же успехом вы можете мечтать увидеть стадо динозавров.Сайты в таком стиле, на говнопомойках типа pp.ru обречены на постепенное вымирание как мамонты и динозавры.Даже если кому-то это и не нравится.Веб был таким десятки лет назад.А время идет в ОДНУ сторону...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от bAlex_ (ok) on 30-Мрт-09, 19:36 
Да мне это всё понятно :) Я просто отметился собственным мнением, а Вы меня так жестоко отконраргументировали :)

И вообще, давайте уважать себя сами и заставим уважать тех кто свои сайты нам показывает. Только дружно и коллективно. Хотя конечно по течению проще...

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Тайна под именем User294"  +/
Сообщение от Maxim Chirkov (ok) on 01-Апр-09, 10:24 
Открою вам секрет, эксперимент успешно завершен и об этом уже можно публично говорить. Пользователь User294 - бот, разработанный в институте системного программирования РАН в качестве отечественного конкурента известного бота A.L.I.C.E (http://www.alicebot.org/), претендующий на  получение премии Лёбнера, за разработку в области искусственного интеллекта http://www.loebner.net/Prizef/loebner-prize.html).

С весны прошлого года бот проходил испытания на страницах opennet. Эксперимент прошел блестяще ! Несмотря на периодическую коррекцию в модели поведения бота (сравните например сообщения от User294 полугодичной давности), явно прослеживаемое постоянное наращивание базы знаний (лингвистическая модель построена на базе архива отечественных news конференций и десятка web-форумов) и нереально большой  для одного человека объем отправляемых сообщений, никто даже не заподозрил, что это бот ! Особенно поразило то, что никто не обратил внимание на то, что сообщения User294 появляются в форуме практически круглосуточно, в то время как человек не может обходится без сна.

В ближайшее время будет опубликована статья, где будут изложены все подробности эксперимента.

Например, могу раскрыть несколько служебных команд, которые можно использовать прямо в тексте сообщений  для изменения поведения:

&force_answer; - инициирование обязательного ответа от User294
&civility_level=N; - установка уровня вежливости ответов, 0 - автотюнинг, -10 0 грубый ответ, 10 - изысканный ответ.


Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Тайна под именем User294"  +/
Сообщение от аноним on 01-Апр-09, 11:25 
теперь самое время для опровержения от лица User294
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Тайна под именем User294"  +/
Сообщение от Nick email(??) on 01-Апр-09, 12:01 
>&force_answer; - инициирование обязательного ответа от User294
>&civility_level=N; - установка уровня вежливости ответов, 0 - автотюнинг, -10 0 грубый
>ответ, 10 - изысканный ответ.

Очевидна необходимость введения команды
&max_iq_answer - полезна при ответах на тупые вопросы с целью экономии процессорного времени на выработку ответа

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "Тайна под именем User294"  +/
Сообщение от XoRe (ok) on 01-Апр-09, 12:35 
Как пропатчить KDE под FreeBSD?
&force_answer
&civility_level=10

&force_answer
&civility_level=10

&force_answer
&civility_level=10

&force_answer
&civility_level=10

=)

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Тайна под именем User294"  +/
Сообщение от тайна on 01-Апр-09, 17:54 
родился новый мем :)
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Тай напод име нем"  +/
Сообщение от Andrey Mitrofanov on 01-Апр-09, 18:03 
>>> <br>&amp;force_answer<br>

Он не отвеит: у Вас ошибка в формате "тега". И не одна.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Тайна под именем User294"  +/
Сообщение от Аноним (??) on 01-Апр-09, 18:04 
>[оверквотинг удален]
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>=)

Точку с запятой после команды ставить надо.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Тайна под именем User294"  +/
Сообщение от User294 (??) on 01-Апр-09, 18:52 
>[оверквотинг удален]
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>&force_answer
>&civility_level=10
>
>=)

I'm terribly sorry to inform you, but stack overflow error has occurred. Please contact developers.

R0: 0xDEADBEEF R1: 0x00C0FFEE R2: 0xEEEEEEEE R3: 0xAAAAAAAA
R4: 0xA5A5A5A5 R5: 0xDEADC0DE R6: 0xЫЫЫЫЫЫЫЫ R7: 0xСЕКРЕТНО

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Тайна под именем User294"  +/
Сообщение от XoRe (ok) on 02-Апр-09, 10:03 
>[оверквотинг удален]
>>&force_answer
>>&civility_level=10
>>
>>=)
>
>I'm terribly sorry to inform you, but stack overflow error has occurred.
>Please contact developers.
>
>R0: 0xDEADBEEF R1: 0x00C0FFEE R2: 0xEEEEEEEE R3: 0xAAAAAAAA
>R4: 0xA5A5A5A5 R5: 0xDEADC0DE R6: 0xЫЫЫЫЫЫЫЫ R7: 0xСЕКРЕТНО

Чорт!.
Говорила мне мама, пора заканчивать кодить в блокноте, надо использовать IDA с подсветкой...
=)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

29. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от XoRe (ok) on 30-Мрт-09, 09:26 
Кстати шарясь в инете с помощью FireFox с плагином NoScript, могу сказать, что проблем изза отключенного JavaScript на удивление мало.
Работают многие файло-ресурсы, музыко-ресурсы, даже интернет магазины)
На очень многих сайтах оказываешься только для того, чтобы найти там информацию.
А для этого JavaScript необходим редко.

Но я не призываю отключить JavaScript.
Например, если я вижу, что на данном сайте необходим JavaScript, я его сразу включаю)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от Харон on 30-Мрт-09, 12:31 
в новости забыли написать, что Фаерфокс обновился первым из всех хакнутых на конкурсе броузеров. Возникает вопрос, за что платят пользователи Сафари и ИЕ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от bonsai on 30-Мрт-09, 19:14 
Пользователи IE вообще ни за что не платят, там всё "бесплатно", поставил филку и всё - сиди, балдей. Насчет сафари не скажу, но использовать систему, которая работает только на отдельных железяках и где только через iTunes можно закинуть музыку на "самый лучший плеер", я бы не стал, эти ещё хуже M$.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Обновление Firefox 3.0.8 с исправлением 2 критических уязвим..."  +/
Сообщение от Аноним (??) on 01-Апр-09, 11:50 
> Пользователи IE вообще ни за что не платят

ням ням... а Винду Стив Балмер бесплатно раздает да? Я вот не в курсе. Cкажем так оно является бесплатным компонентом винды, с помощью которого они стараются установить свои стандарты для веба.

А Сафари идет с компьютерами apple которые никто не назовет бесплатными, Стив Джобс для Винды делает версию для того что бы переход с винды на мак был более безболезненным, исключительно для этого.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Обновление Firefox 3.0.7 с исправлением 2 критических уязвим..."  +/
Сообщение от web promotion service email on 16-Дек-10, 20:36 
Иоу'д веруjете заjедно са више готовине газиллион инвестициjа коjа би могла Википедиjа стекну неке много више сервера.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру