Разработчики анонимной сети Tor представили (https://blog.torproject.org/blog/tor-browser-607-released) экстренный выпуск развиваемого проектом web-браузера Tor Browser 6.0.7 (https://www.torproject.org/download/download-easy.html), ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена критическая уязвимость, о которой сообщалось (https://www.opennet.me/opennews/art.shtml?num=45588) утром, которая уже активно используется для деанонимизации пользователей браузера. Всем пользователям Tor Browser рекомендовано незамедлительно установить обновление. Исправление данной уязвимости для Firefox, пока недоступно (https://www.mozilla.org/en-US/firefox/50.0.2/releasenotes/) (уязвимость, для который публично доступен рабочий эксплоит, позволяет выполнить код в системе).
Из дополнительных сведений сообщается, что проблема вызвана уязвимостью в коде вывода SVG-анимации, и для блокировки эксплоита необходимо отключить как JavaScript, так и поддержку SVG, что производится в Tor Browser при активации переключателя обеспечения высокого уровня безопасности. Эксплоит специфичен для Windows, однако сама уязвимость проявляется также в macOS и Linux.URL: https://blog.torproject.org/blog/tor-browser-607-released
Новость: http://www.opennet.me/opennews/art.shtml?num=45595
В соседней теме отметились уже
A Tails-то только обновился..
Вот незадача
Уже выпустили 7.0.1 с исправлением.
> Уже выпустили 7.0.1 с исправлением.Имелось в виду "2.7.1".
А в Firefox когда пофиксят?
Да, 3 минуты как обновился фокс, до 5.0.2
Оперативненько среагировали. Теперь можно заходить на extensions.gnome.org, только на это и годится Firefox.
Ты лучше сразу на хакер.ру иди, пока на это ты только и годишься )
Очередная ошеломительная победа файрфокса. Впрочем, ничего нового.
Я правильно понимаю, что, судя по https://bugzilla.mozilla.org/show_bug.cgi?id=1321066#c73, следует ждать 50.0.3 ?
29.11 50.0.1 критическая
30.11 50.0.2 0-day#
PS: От былого огнелиса осталось только название.
Дааа и солнце уже не то и трава какая то не зеленая..
А зима то вообще как не зима!
А машины! Напихали туда "мозгов", так они ж не едут..
Говеная электроника все портит.
> Дааа и солнце уже не то и трава какая то не зеленая..Учитывая естественное смещение спектра, так оно и есть )
> А машины! Напихали туда "мозгов", так они ж не едут..
> Говеная электроника все портит.Все верно.
Правда, при этом почему охотно забывают, что такие знакомые и надежные технические решения "без мозгов" (вернее, не полагающиеся полностью на электронику) вылизывали десятилетиями.
А вот если взять и посадить среднестатичтического современного водителя опеннета в какой-нибудь грузовичок сороковых-пятидесятых, то далеко не факт, что он вообще стронутся с места сумеет. Зато уверенно можно утверждать, что бибика через максимум пару сотен километров превратиться в просто тяжелую телегу. Про первые серийные авто вообще лучше не заикаться )
Удивляет ваше нытьё.
Дыры фиксятся? Фиксятся.
У вас за спиной стоит кто-то с палкой и следит, чтобы вы пользовались именно лисой? Думаю, что нет.
Они вам что-то обещали? - Нет.
Они хотят с вас денег? - Нет.
И напоследок: вы лично как-то принимаете участие, чтобы всё было гуд в плане бездырности лисы?"Чего ж тебе ещё надо, собака?" (с)
> "Чего ж тебе ещё надо, собака?" (с)Я хоть и не собака, но скажу, что нужно в браузерах: избавление от ненужного мёртвого кода, который никогда не используется (это решено в Java 1.0 на уровне class-loader'а ещё 20 лет назад, а на С(++) это не будет решено никогда). Одновременно с этим решается проблема патчинга уязвимого кода на лету - во время работы браузера заменяется уязвимый модуль и перезапускается в работу только он, а не вся махина бинарщины. Устаревшие языки программирования линии C(++) способны на такое только с надстройками из других языков, расширяющих их функционал в той или иной доменной модели работы, будь то динамический Web (JavaScript, HTML5) и приложения на других языках.
Ну всё, теперь только проприетарная Java вместо браузера... Ни тебе Firefox, ни тебе Chrome, ни тебе Edge. Только хардкор.
>[оверквотинг удален]
> Я хоть и не собака, но скажу, что нужно в браузерах: избавление
> от ненужного мёртвого кода, который никогда не используется (это решено в
> Java 1.0 на уровне class-loader'а ещё 20 лет назад, а
> на С(++) это не будет решено никогда). Одновременно с этим решается
> проблема патчинга уязвимого кода на лету - во время работы браузера
> заменяется уязвимый модуль и перезапускается в работу только он, а не
> вся махина бинарщины. Устаревшие языки программирования линии C(++) способны на такое
> только с надстройками из других языков, расширяющих их функционал в той
> или иной доменной модели работы, будь то динамический Web (JavaScript, HTML5)
> и приложения на других языках.Вы наверно путаете виртуальную машину Java и программу в машинных кодах (пусть и написанную на C++) работающих одномоментно на данной машине? Тогда вопрос, а как виртуальная машина будет патчить себя на лету?
Кстати, в жабе уже есть pure java либа htmlunit, которая является безГУЁвым полноценным web-клиентом. Для тестов всяких и веб-скрейпинга....дык, ест оно примерно 150-200 мег на одного воркера. Что совершенно приемлемо и даже сравнимо с могучими сишными браузерами. Так что надо лишь гуй написать. Я бы использовал такое, а на пенсии и поконтрибьютил код 8)
> Исправление
> данной уязвимости для Firefox, пока недоступно (https://www.mozilla.org/en-US/firefox/50.0.2/releasenotes/)
> (уязвимость, для который публично доступен рабочий эксплоит, позволяет выполнить код в
> системе). Эксплоит специфичен для Windows, однако сама уязвимость проявляется
> также в macOS и Linux.FreeBSD неуязвима. (А то в последнее время чуть ли не каждый день нужно пересобирать порт Firefox из-за чужих проблем с безопасностью - заколебало, мягко говоря).
Срецифицен для Вин, как для самой популяроной ОС.
Но есть оговорка, что другим не стоит расслабляться (не в этой статье).
rkhunter, chkrootkit, десктопный антивирус чего говорят? Или на вашем сервере только Firefox запущен?
> FreeBSD неуязвимаВы из секты? Это https://www.freebsd.org/security/notices.html тогда что такое?
>FreeBSD неуязвима.Ишь ты! А я то думал, что у Змея Горыныча все bsd-like головы болят одномоментно...
> А то в последнее время чуть ли не каждый день нужно пересобирать порт Firefox из-за чужих проблем с безопасностью - заколебало, мягко говоряА зачем пересобирать на "неуязвимой" ОС, если в сабжевом обновлении значится только секурное исправление?
Перезадам вопрос:
У меня одного стали вкладки к мышки прилипать с выходом 50.0? Будто я перетаскиваю вкладку.
А ещё вот такой прикол https://youtu.be/-1KOnnXjBJY
Эт нормально.
Они чейчас работают над песочницами для каждой вкладки
У него скорее всего проблемы с памятью на компе. Проверил на 50, 50.0.1, 50.0.2 - везде ничего не валится.
а без аддонов запускал?
Tor Project нанимает разработчика!Кому интересно - https://blog.torproject.org/blog/tor-project-hiring-developer
Ну такие уязвимости только на компах бухгалтерш прокатывают.
У которых кроме ИЕ нет ничего?