The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.10.2018 07:35  Обновление Firefox 62.0.3 с устранением критических уязвимостей

Опубликован корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости. Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox 60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя.

Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента.

Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых аргументов указатель стека может быть смещён на 8 байтов относительно ожидаемого значения. Указанную особенность можно использовать для получения информации об адресе вызванной функции, хранящемся в стеке, который, в свою очередь, может применяться для организации выхода из sandbox-окружения.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Для Android создан web-браузер Firefox Focus на базе движка Webkit
  3. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
  4. OpenNews: Разработчики Firefox представили браузер Tofino, использующий технологии Chromium
  5. OpenNews: План развития функциональности Firefox на 2018 год
  6. OpenNews: Представлен первый выпуск Firefox для устройств виртуальной реальности
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: firefox, android
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, AnPoz (ok), 08:36, 03/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Аналогичный патч вышел и для Firefox Mobile.
     
     
  • 2.38, marios (ok), 09:37, 04/10/2018 [^] [ответить]    [к модератору]
  • +/
    Нету такого браузера, есть Firefox for Android.
     
     
  • 3.39, AnPoz (ok), 11:07, 04/10/2018 [^] [ответить]    [к модератору]
  • +1 +/
    > Нету такого браузера, есть Firefox for Android.

    Тогда уж "Быстрый браузер Firefox" что на мой взгляд еще хуже в качестве названия

     
  • 1.7, анан (?), 09:40, 03/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    они на раст переходили, почему опять проблемы памятью?
     
     
  • 2.8, Нанобот (ok), 09:55, 03/10/2018 [^] [ответить]    [к модератору]
  • +9 +/
    потому что уязвимый код на с++
     
     
  • 3.20, Аноним (20), 12:41, 03/10/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    > С++
    > проблемы с памятью

    Студенты чтоли писали? Как на С++ могут быть проблемы с памятью? Я понимаю на С ещё, но С++... Это диагноз.

     
     
  • 4.22, Аноним (22), 13:01, 03/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    попробуйте написать на С++ нгикс или ДиПиАй для всей РФ
     
     
  • 5.23, Аноним (20), 13:14, 03/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Смешивать С и С++ код моветон. А в С++ почти всегда автоматически память контролируется, прямо как в этих ваших растах.
     
     
  • 6.25, тоже Аноним (ok), 13:31, 03/10/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Когда нужно написать десктопное приложение - да Когда речь о движке интерптерат... весь текст скрыт [показать]
     
     
  • 7.42, rshadow (ok), 14:26, 04/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    сборщик мусора не нужен
     
     
  • 8.43, тоже Аноним (ok), 20:17, 04/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > сборщик мусора не нужен

    Когда Хром валится у меня на Айпаде от нехватки памяти, он, наверное, думает так же.

     
     
  • 9.44, Аноним (44), 08:08, 05/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Хром на айпаде не нужен.
     
  • 3.24, Аноним (20), 13:22, 03/10/2018 [^] [ответить]    [к модератору]  
  • +/
    То что у них 5 миллионов строк кода на С (не С++ а именно С) как бы намекает...
     
  • 2.14, llolik (ok), 10:23, 03/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Потому что JS движок на Rust ещё никто не переписывал. Он по прежнему на C++.
     
     
  • 3.40, oni14 (?), 11:23, 04/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    я знаю что есть js движки на Go. пусть возьмут на вооружение =)
     
  • 2.21, Аноним84701 (ok), 12:43, 03/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Там еще переходить и переходить https www openhub net p firefox analyses late... весь текст скрыт [показать]
     
     
  • 3.31, трурль (?), 20:58, 03/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >HTML 5,056,599

    ПЯТЬ МИЛЛИОНОВ строк на html? О_О
    Это куда столько напихано? Это даже размазать по одному символу на строку, все равно чудовищно много.

     
     
  • 4.32, Аноним (32), 23:49, 03/10/2018 [^] [ответить]    [к модератору]  
  • +/
    HTML - Documentation?
     
     
  • 5.36, трурль (?), 09:04, 04/10/2018 [^] [ответить]    [к модератору]  
  • +/
    В несколько раз больше «Войны и мира»?
     
  • 5.37, трурль (?), 09:05, 04/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Разве что туда всю болтовню на форумах включили.
     
  • 2.33, Аноним (33), 00:35, 04/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Когда перепишут, V8 можно будет на помойку кинуть.
     
  • 1.26, iZEN (ok), 13:52, 03/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для сборки Firefox 62.0.3 уже нужен LLVM 7.0.
     
  • 1.27, Аноним (27), 14:21, 03/10/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Установил Firefox Nighty 64 0a1 -нет возможности отключить обновления -автозапол... весь текст скрыт [показать]
     
     
  • 2.30, AlAvis (?), 18:22, 03/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Автоматические обновления отключаются как обычно . Поиск обновлений теперь отключается только через политики . Автозаполнением занимается системный аддон , достаточно удалить . toolkit.telemetry.enabled не отключается для всех НЕрелизных версий , насколько помню , с 62й .
     
     
  • 3.34, Anonim (??), 00:44, 04/10/2018 [^] [ответить]    [к модератору]  
  • +/
    ищи в поисковике или гитхабе:
    firefox autoconfig

    а именно
    unlockPref("tolkit.telemetry.disabled")

     
     
  • 4.35, Anonim (??), 00:48, 04/10/2018 [^] [ответить]    [к модератору]  
  • +/
    ой, затупил:)
    unlockPref("toolkit.telemetry.enabled")
     
  • 1.28, Kuromi (ok), 15:11, 03/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    -автозаполнение банковских карт (галочку можно снять)
    ...
    Есть вероятность что все это будет не отключаемо в будущих сборках (65,66 или 67)

    Автозаполнение карт штатно (в релизе) поддерживается только для США, Канады и Германии, о распространении на остальной мир (а уж тем более на Россию) никто пока и не думает, это в Ночнушке включено для всех, так что не переживайте.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor