The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Обновление Firefox 97.0.2 с устранением критических 0-day уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 97.0.2 с устранением критических 0-day уязвимостей"  +/
Сообщение от opennews (ok), 05-Мрт-22, 09:19 
Доступен корректирующий выпуск Firefox 97.0.2 с  устранением двух уязвимостей, которым присвоен статус критических проблем. Уязвимости позволяют обойти sandbox-изоляцию и  добиться выполнения своего кода с привилегиями браузера при обработке специально оформленного контента. Утверждается, что для обеих проблем выявлено наличие рабочих эксплоитов, которые уже используются для совершения атак...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56808

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Анонимно (ok), 05-Мрт-22, 09:19   –2 +/
rust не помог?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #30

2. Сообщение от полураспад (?), 05-Мрт-22, 09:23   +/
помог бы если бы использовали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #26

4. Сообщение от timur.davletshin (ok), 05-Мрт-22, 09:26   –8 +/
А смысл? Уже 98-ой в стадии release candidate 3. Возможно он уже и будет финальным.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #37

26. Сообщение от Корец (?), 05-Мрт-22, 09:52   +/
Почему не используют?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27

27. Сообщение от Аноним (27), 05-Мрт-22, 09:58   +/
Потому, что для фапа - это не то использование, что вы ищете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

28. Сообщение от iPony129412 (?), 05-Мрт-22, 10:25   +11 +/
А пока неделю сидите с дырой 👌
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #31, #43

29. Сообщение от Аноним (30), 05-Мрт-22, 10:29   +/
А вот если бы переписали на раст? Да ничего бы не произошло они и раст не смогли нормально написать. Не то что браузер на нём переписать.  
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

30. Сообщение от Аноним (30), 05-Мрт-22, 10:30   +/
Ты же сам прекрасно знаешь не шмогли они в раст не шмогли.  Виноваты сишники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

31. Сообщение от timur.davletshin (ok), 05-Мрт-22, 10:40   –1 +/
> А пока неделю сидите с дырой 👌

В RC все те же патчи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #46

33. Сообщение от Гнъ Анонимъ (?), 05-Мрт-22, 11:39   –4 +/
Rust или не Rust, но тѣмъ интереснѣе, что въ данномъ случаѣ мы видимъ именно ошибки съ памятью, такiя какъ use-after-free. И старые языки отъ такихъ ошибокъ не предоставляютъ никакихъ защитъ. Я не знаю, способенъ ли Растъ замѣнить Си и сдѣлать программированіе болѣе безопаснымъ (а то почему-то много къ нему вижу всякихъ претензій), но безусловно то, что новый языкъ низкоуровневого программированія нуженъ.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

34. Сообщение от Аноним (34), 05-Мрт-22, 11:46   +/
>а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU.

WebGPU же в релизе нет?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

35. Сообщение от Аноним (34), 05-Мрт-22, 11:49   +3 +/
apt list firefox
>firefox/impish-updates,impish-security,now 97.0+build2-0ubuntu0.21.10.1 amd64 [установлен]

apt update
...  
Все пакеты имеют последние версии.

Oh shit.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

36. Сообщение от timur.davletshin (ok), 05-Мрт-22, 12:01   +/
Нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от КО (?), 05-Мрт-22, 12:06   +/
А ESR так для вида?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #38

38. Сообщение от timur.davletshin (ok), 05-Мрт-22, 12:18   +/
>  А ESR так для вида?

В оригинальной публикации не говорилось про ESR, дополнили позже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от timur.davletshin (ok), 05-Мрт-22, 12:32   +/
> Rust или не Rust, но тѣмъ интереснѣе, что въ данномъ случаѣ мы
> видимъ именно ошибки съ памятью, такiя какъ use-after-free. И старые языки
> отъ такихъ ошибокъ не предоставляютъ никакихъ защитъ. Я не знаю, способенъ
> ли Растъ замѣнить Си и сдѣлать программированіе болѣе безопаснымъ
> (а то почему-то много къ нему вижу всякихъ претензій), но безусловно
> то, что новый языкъ низкоуровневого программированія нуженъ.

y0k0wka ты и тут?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #44

40. Сообщение от Аноним (-), 05-Мрт-22, 13:03   +/
В Fedora ещё 97.0.1.
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (41), 05-Мрт-22, 14:33   –2 +/
Я понимаю, что тутовая аудитория использует в основном FF, ибо в дистр впилено, привылки за годы и ещё много причин.

Но объясните мне пожалуйста, зачем оно может ещё кому-то понадобится?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #65

42. Сообщение от Аноним (42), 05-Мрт-22, 14:44   +2 +/
Вкладки выше, чем у другого обозревателя?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #60

43. Сообщение от th3m3 (ok), 05-Мрт-22, 15:03   +/
Уже неделю на 98. Всё норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #45, #57

44. Сообщение от Гнъ Анонимъ (?), 05-Мрт-22, 15:06   +/
Вы о чёмъ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

45. Сообщение от Аноним (45), 05-Мрт-22, 16:04   +5 +/
Тоже уже на win 98. Всё норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от iPony129412 (?), 05-Мрт-22, 16:25   +1 +/
Уже двое написали глупости про УМВР  – рад за вас.
Разработчик такое для своего продукта для массовой аудитории позволить не может.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

47. Сообщение от Аноним (47), 05-Мрт-22, 17:02   –2 +/
Почему в браузерах вечные уязвимости? Что с ними не так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #56

48. Сообщение от Аноним (48), 05-Мрт-22, 18:56   +2 +/
WEB 2.0
Вот, что не так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от Kuromi (ok), 05-Мрт-22, 20:15   +/
О, WebGPU еще даже не полноценный стандарт, а критические дыры уже есть. Толи еще будет...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

50. Сообщение от Ilya Indigo (ok), 05-Мрт-22, 20:46   +/
Может мне кто-нибудь помочь с удалением аккаунта firefox с двуфакторной аутентификацией?

1 Я недавно зарегистрировал домен и создал на нём почту и хотел привязать эту почту к аккаунту firefox для синхронизации.
Оказалось что прежний владелец этого домена имел такую же почту и уже создал аккаунт с двуфакторной аутентификацией и я теперь не могу его удалить чтобы зарегистрировать его заново.
Как мне его удалить имея доступ только к email?

2 Я пытался задать этот вопрос на форуме поддержки https://support.mozilla.org/ru/questions/new/desktop но дальше этой страницы меня не пускают.
Я могу только ответить на чей-то вопрос но задать свой вопрос мне не дают. Нажатие на кнопку Получить помощь приводит к началу, выбора продукта и далее та же страница.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #54

51. Сообщение от Аноним (51), 05-Мрт-22, 20:57   +/
РФ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #52

52. Сообщение от Ilya Indigo (ok), 05-Мрт-22, 21:01   +/
Домен не РФ, заходил на форум из РФ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

53. Сообщение от Аноним (53), 05-Мрт-22, 21:43   +2 +/
Да подумаешь всего-то делов - браузер переписать. Давно уже пора свой запилить и профиты с рекламы миллионами долларов иметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

54. Сообщение от Аноним (72), 05-Мрт-22, 21:58   +/
Заведи другую почту. Делов-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #55

55. Сообщение от Ilya Indigo (ok), 05-Мрт-22, 22:03   +/
Охота это сделать официально и по нормальному, возможно указав Мозилле на этот недостаток.
Если убежусь что в Мозилле неадекваты и договорится с ними не возможно, то придётся так и сделать, но пока хочу это решить как положено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #73

56. Сообщение от Аноним (53), 05-Мрт-22, 22:06   +2 +/
Они невероятно сложные, и работают с большим количеством разнообразного входа. А это значит что некорректная его обработка приведет часто к уязвимости.

Проктолы обмена данными (tcp, udp, http(s, /2, quick, tls), ws(s)), форматы данных (PDF, json, HTML, CSS, Изображения, Видео, javascript).

Только Javascript чего стоит. Это язык программирования с виртуальной машиной для исполнения инструкций поступающих в браузер из сети.

Еще например WebGL (загугли) один из этого списка https://developer.mozilla.org/ru/docs/Web/API

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

57. Сообщение от Anonwrg5 (?), 05-Мрт-22, 22:19   +/
В 98-м этих фиксов, возможно, нет, если их только что выявили. В этом случае они войдут в очередной релиз-кандидат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

59. Сообщение от Anonwrg5 (?), 06-Мрт-22, 00:12   +/
Ты путаешь стандарт с реализацией. В любой реализации есть баги. В любом ПО есть баги. Уязвимости это подкласс багов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #61

60. Сообщение от Аноним (60), 06-Мрт-22, 02:03   +/
Не понимаю о чём вы, у меня в любом браузере вкладки высотой почти с экран. Или смотря как окно программы разверну.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #64

61. Сообщение от Kuromi (ok), 06-Мрт-22, 06:13   +/
И тем не менее суть WebGPU - в доступе сайтов к GPU. Достаточно вспомнить какие крики были со стороны Микрософт на тему WebGL, а с WebGPU это все можно умножить в разы.
Да, конечно можно сказать что WebGL-ом пугали, а впустую, но он и не взлетел толком и браузеры к тому моменту обвешались песочницами, фильтрами вызовов и прочими механизмами.
Опять же припомним сколько ЛЕТ та же Мозилла причесывала и пыталась довести до ума свою реализацию WebGL (которая даже на Виндоус так никогда и не достигла паритета по скорости с реализацией в Хроме, а а Линуксе так вообще тормозила безбожно в силу "неудачно архитектуры" как ФФ так и графического стека Линукса). И это еще притом что как таковой WebGL в Мозилле и зародился (Гугл продвигал другой стандарт, но первыми эксперименты с 3D контекстом начали инженеры Мозиллы). Доводить свои разработки до наконец-то достойного качества как раз накануне объявления их устаревшими и deprecated - это фишка. Вон, только на дня в Линуксе наконец-то включили WebGL в отдельном процессе. 6 Лет багу стукнуло.
В общем, от WebGPU ничего хорошего не жду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от ИмяХ (?), 06-Мрт-22, 06:34   +/
Бубунтушникам только и остаётся ждать, когда майнтейнеры запилят для них ебилды, ибо самостоятельно мамкины хакеры собрать пакет не в состоянии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #63, #72

63. Сообщение от бубунтушник (?), 06-Мрт-22, 09:11   +/
В состоянии, а толку? Сколько его не пересобирай - точно такой же 97.0+build2-0ubuntu0.21.10.1 обратно получается.

Но ты-то не мамкин хакер, у тебя-то lfs?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

64. Сообщение от Аноним (42), 06-Мрт-22, 09:26   +1 +/
> Не понимаю о чём вы

Да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

65. Сообщение от Аноним (65), 06-Мрт-22, 15:27   +1 +/
Процент у FF видели? Никому он и не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

66. Сообщение от Аноним (66), 06-Мрт-22, 15:38   +/
Tor формировать внеплановое обновление отказался (https://gitlab.torproject.org/tpo/applications/tor-browser/-... зато есть время на https://gitlab.torproject.org/tpo/applications/tor-browser/-...
Ответить | Правка | Наверх | Cообщить модератору

72. Сообщение от Аноним (72), 07-Мрт-22, 18:41   +/
Сейчас бы шуметь вентилляторами собирая себе браузер. Пока апстрим починится, можно и в хроме ютубчик посмотреть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

73. Сообщение от Аноним (72), 07-Мрт-22, 18:48   –1 +/
В Мозилле как раз адекваты и не будут изобретать новые бизнес-процессы ради очередняры из интернета, который не может завести почтовый алиас. Но ты, я вижу, из тех, кому шашечки важнее, чем ехать и свободного времени у тебя навалом. Расскажи потом как прошло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

79. Сообщение от MihaNix (ok), 29-Мрт-22, 02:22   +/
В Chrome та же фигня.
Но там чуть раньше поправили.
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру