Представлены (https://blog.mozilla.org/security/2014/09/24/rsa-signature-f.../) корректирующие выпуски Firefox 32.0.3 (https://www.mozilla.org/en-US/firefox/32.0.3/releasenotes/) и Chrome 37.0.2062.124 (http://googlechromereleases.blogspot.ru/2014/09/stable-chann...), а также в Firefox ESR 24.8.1, 31.1.1, Thunderbird 31.1.2, 24.8.1 и SeaMonkey 2.29.1. В новых выпусках устранена опасная уязвимость (https://www.mozilla.org/security/announce/2014/mfsa2014-73.html) в поставляемых в комплекте библиотеках NSS (https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS), допускающая создание поддельных RSA-сертификатов. Проблема также устранена в обновлениях NSS 3.16.2.1, NSS 3.16.5 и NSS 3.17.1.
Воспользовавшись данной уязвимостью атакующий может сформировать фальсифицированный RSA-сертификат, который может быть применён для вывода индикатора доверия при организации защищённого соединения с поддельным сайтом, закамуфлированным под другой сайт. Таким способом может быть организован сбор параметров аутентификации или распространение вредоносного ПО, так как пользователь будет считать, что работает с проверенным сайтом, на самом деле взаимодействуя с подставным сайтом от злоумышленников.URL: https://blog.mozilla.org/security/2014/09/24/rsa-signature-f.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40673
Пока в ОС или броузере прописано 9000 корневых CA, использование HTTPS - это чистой водысамообман.
Пока существуют CA -- использование HTTPS это чистой воды самообман.
А как FF относится к NSS? Эти чудаки что догадались статически линковать библиотеки?
У них настолько хитровывернутая система сборки, что никто не берётся её исправить. Кстати, половина опций сборки не работает, при попытке выпилить какой-нибудь ldap просто не компилируется.
>У них настолько хитровывернутая система сборки, что никто не берётся её исправитьФантазер. Фсе прекрасно собирается и линкуется штатными средствами без танцев, никто не принуждает использовать сорцы либ идущих в дистриубтиве браузера.
При чём тут "сорцы либ идущих в дистриубтиве браузера"? Речь про --disable-webm и подобные опции.
В DragonFlyBSD замечательно компилится без этих опций и работает.
Заголовок-то поправьте, "с устранению уязвимости и NSS" - такое чувство что NSS устранить хотят.
Дообновлялись.., что g+ при масштабировании корежет Firefox 32.0.3 сборки мозилловцев.
G+ вообще заставляет Firefox адски тормозиить, а после открытия нескольких G+-табов - крэшиться (сменилось множество версий, опробованы куча опций, чистые переустановки, всё одно) (под Win7, под Linux и XP - не крэшится). Долго терпел скрипя зубами, не выдержал, перешёл на Chrome из-за этого, наверно так и задумано специально :-)
> под Win7Ну ты понял. Жри дальше.
>закамуфлированным под другой сайтзавязывайте с таким литературным переводом
> завязывайте с таким литературным переводом...потому что средний аноним Опеннета, пишущий "крэшиться" в комментариях, его не понимает?