The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

22.03.2015 07:55  Обновление Firefox 36.0.4 с устранением критической уязвимости

Доступно корректирующее обновление web-браузера Firefox 36.0.4, в котором устранена критическая уязвимость (CUA-56825245-3), позволяющая организовать выполнение произвольного JavaScript-кода с повышенными привилегиями доступа ко внутренностям браузера. Проблема проявляется при обработке специально оформленных SVG-изображений. Атака с использованием данной уязвимости была продемонстрирована на недавно проведённом конкурсе Pwn2Own 2015, в рамках которого были представлены zero-day уязвимости для всех значительных браузеров. Проблема также устранена в Firefox ESR 31.5.3 и SeaMonkey 2.33.1.

Позавчера, почти сразу после конкурса был представлен выпуск Firefox 36.0.3, в котором было заявлено устранение раскрытых на соревновании Pwn2Own проблем (список исправленных уязвимостей был обновлён с запозданием), но на деле исправлена одна критическая уязвимость (CUA-56825245-3), связанная с ошибкой обработки типизированных массивов в JIT-компиляторе, используемом в asm.js. Уязвимость может привести к выполнению кода в системе. Так как в соревновании были представлены 3 уязвимости, судя по всему, одна проблема пока остаётся неисправленной (до выпуска исправления участники соревнования Pwn2Own не имеют права публично разглашать подробности).

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/firefox/36...)
  2. OpenNews: На соревновании Pwn2Own 2015 продемонстрированы взломы Firefox, Chrome, Safari и IE
  3. OpenNews: Обновление Firefox 36.0.1 с устранением проблем со стабильностью
  4. OpenNews: Выход Firefox 37-beta и Firefox Developer Edition 38
  5. OpenNews: Релиз Firefox 36 с поддержкой HTTP/2.0
Тип: Проблемы безопасности
Ключевые слова: firefox, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 08:12, 22/03/2015 [ответить] [смотреть все]
  • –1 +/
    Теперь опять торброузер пересобирать ... весь текст скрыт [показать]
     
     
  • 2.4, Аноним, 11:04, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    SELinux Apparmor etc Вне этих систем браузер запускать опасно, как по мне ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 13:13, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Ога, давайте пробурим дно лодки, а потом попытаемся вычерпывать воду вовремя ... весь текст скрыт [показать]
     
     
  • 4.13, Аноним, 13:17, 22/03/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Нет Проектируем лодку так, чтобы когда возможная течь локализовывалась в отсек... весь текст скрыт [показать]
     
     
  • 5.40, anonymous, 20:17, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Только вот вбивать цифири номера кредитки всё равно придётся лезть в затопленный отсек...
     
     
  • 6.43, Аноним, 21:19, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Почему затопленные У тебя ведь не один отсек, а несколько отсеков с браузером в... весь текст скрыт [показать]
     
  • 5.45, Аноним, 00:43, 23/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Да-да, про Титаник именно так и говорили ... весь текст скрыт [показать]
     
     
  • 6.49, SkyRanger, 09:15, 23/03/2015 [^] [ответить] [смотреть все]  
  • +/
    >>возможная течь локализовывалась в отсеке с помощью герметичных переборок, а корабль не тонул от такого пустяка
    > Да-да, про "Титаник" именно так и говорили.

    Титаник затонул не поэтому, если в самый непотопляемый корабль пониже ватерлинии запулить в ряд по 3 торпеды, результат будет тот же, плюс кривые руки капитана тоже внесли свою лепту...

     
  • 3.27, anonymous, 18:22, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    SELinux - развлечение для рута, простым пользователям он не доступен.

    Но есть одна забавная опция. Вернуть javascript в интерпретируемый режим. И огородить. А на скорость забить, только больной извращенец будет писать полноценную прогу в браузере.

     
  • 1.5, Аноним, 11:21, 22/03/2015 [ответить] [смотреть все]  
  • +/
    а нечего хранить секреты во внутренностях браузера и вообще пользуйте вебкиоск ... весь текст скрыт [показать]
     
     
  • 2.9, бедный буратино, 12:07, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а можно собрать такую фигню, чтобы содержала только ядро и initrd ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Аноним, 13:52, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    можно ... весь текст скрыт [показать]
     
  • 3.18, paulus, 15:24, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    возьми PRA linux и не используй не нужные модули. http://goo.gl/h1GMeV
     
  • 2.37, Michael Shigorin, 19:52, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > и вообще пользуйте вебкиоск под виртуалкой :)
    > [...] для тех у кого нет желания устанавливать альт.

    Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12

    > да простит меня Михаил за не скрытую рекламу :)

    Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно понял.

    "Рекламу" было бы здорово увидеть в форме статьи о том, как именно пригодилось (и что не так); кстати, есть http://altlinux.org/starterkits/builder

    PS: завтра в сизиф долетит собственно сабж(tm): https://twitter.com/girar_builder/status/579658937772953600

    PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp

     
     
  • 3.41, frak, 20:54, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > Вообще на альте можно и без виртуалки, причём простому пользователю: http://www.altlinux.org/Hasher/FAQ#Q12

    согласен, у пользователей альта, в этом плане, удобства на лицо :)

    > Эт скорее Вы простите за тормоза с интересной доработкой propagator, если правильно
    > понял.

    все ок. я все понимаю и ожидания в данном случае того стоят.

    > "Рекламу" было бы здорово увидеть в форме статьи о том, как именно
    > пригодилось (и что не так)...

    больная тема отсутствия времени и лени при присутствии оного...  

    > PPS re #6: не-а, я подписываю свои сообщения.  А вот некростудент
    > Full inu опять пошёл на хирургические отходы по п. 6 http://wiki.opennet.ru/ForumHelp

    моя вина - лень логиниться было и троллей подкормил :)

     
     
  • 4.42, Michael Shigorin, 21:02, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Ответ ушёл почтой, чтоб не заспамливать обсуждение -- но всяко рад слышать!
     
  • 3.47, Аноним, 03:59, 23/03/2015 [^] [ответить] [смотреть все]  
  • +/
    А убунтуи как обычно релизнули на день раньше и в основную репу Вот как они ухи... весь текст скрыт [показать]
     
  • 1.7, Аноним, 11:51, 22/03/2015 [ответить] [смотреть все]  
  • +/
    36-й релиз у нас что, LTS Уже четвёртое обновление ... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 12:08, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Firefox 38 должен быть LTS ESR... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, iZEN, 14:51, 22/03/2015 [ответить] [смотреть все]  
  • –1 +/
    Во FreeBSD порт Firefox оперативно обновили: http://www.freshports.org/www/firefox/
    (пишу из него)
     
     
  • 2.22, Аноним, 17:00, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    У меня и моих подопечных лиса работает без нареканий ... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, th3m3, 17:10, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Всё нормально в Firefox. Не знаю, откуда вы такие всё вылазите с зондами от гугла.
     
  • 2.28, Xasd, 18:23, 22/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    дауж, вся проблема Firefox -- это слишком много свободы для настроек и кастумиза... весь текст скрыт [показать] [показать ветку]
     
     
     
    Часть нити удалена модератором

  • 4.33, Xasd, 19:12, 22/03/2015 [^] [ответить] [смотреть все]  
  • +/
    то есть раньше ты сидел на Firefox ТОЛЬКО лишь потому тебе было привычно исп... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 6.36, Xasd, 19:37, 22/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    то что разработчики Хрома сделали инновационный и ОТЛИЧНЕЙШИЙ GUI -- это дейст... весь текст скрыт [показать]
     
     
  • 7.46, dcsdcds, 02:46, 23/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    > то что разработчики Хрома сделали инновационный и *ОТЛИЧНЕЙШИЙ* GUI

    Не верил что есть люди которые на самом деле так считают, но вот надо же, увидел. Наверное и остальное г многих в восторг приводит. М-да, пичалька.

    А так то известно что у гугла, по определению, вообще все гуано кроме поиска. Но это и хорошо. А то бы он всю планету уже пожрал.

     
  • 1.29, grec, 18:26, 22/03/2015 [ответить] [смотреть все]  
  • +/
    > ко внутренностям браузера.

    Режет слух как-то.

     
     
  • 2.48, Есюки, 06:07, 23/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Выражение "Режет слух как-то", как-то слух режет.
     
  • 1.50, qwerty, 12:36, 23/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Все же, не пойму комментаторов пользующих браузер в в виртуалке который уверены что защищенный на 100%.  Суть конкурса как я понял, деньги дают за багу в браузере, не кто не искал баги в виртуалки, в ядре, и т.д.
     
     
  • 2.51, frak, 15:28, 23/03/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    суть в том, что баги в браузерах были, есть и будут. и понятно же, что в реальности их находят раньше, чем их находят "официально". А следовательно и стать "жертвой баги" вполне реально до ее исправления. Про 100% защищенность, пожалуйста, не надо - никто не говорил об этом, ибо не бывает :) А вот использование livecd с вебкиоском в виртуалке - где вы загрузились в браузер с "чистой" средой, зашли на нужный вам сайт (предполагается, что доверенный), произвели оплату/и т.п., выключили виртуалку (и следовательно обнулили среду) - мне не кажется странным. Также данный подход можно использовать для походов по подозрительным/заведомо вредоносным сайтам без особой опаски для хостовой системы - шансов, что через браузер гостевой системы ломанут хост гораздо меньше :)

    P.S. в качестве виртуалки, в данном контексте, я для себя использую VirtualBox.

     
  • 2.52, Аноним, 20:08, 23/03/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не на 100 , но лучше чем без http www opennet ru openforum vsluhforumID3 1018... весь текст скрыт [показать] [показать ветку]
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧