URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115464
[ Назад ]
Исходное сообщение
"Обновление Firefox 62.0.3 с устранением критических уязвимостей"
Отправлено opennews , 03-Окт-18 08:36 
Опубликован (https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/) корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/). Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox  60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя.

Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента.


Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых аргуметов указатель стека может быть смещён на 8 байтов относительно ожидаемого значения.  Указанную особенность можно использовать для получения информации об адресе вызванной функции, хранящемся в стеке, который, в свою очередь, может применяться для организации выхода из sandbox-окружения.

URL: https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/
Новость: https://www.opennet.me/opennews/art.shtml?num=49385

Содержание
Сообщения в этом обсуждении
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено AnPoz , 03-Окт-18 08:36 
Аналогичный патч вышел и для Firefox Mobile.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено marios , 04-Окт-18 09:37 
Нету такого браузера, есть Firefox for Android.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено AnPoz , 04-Окт-18 11:07 
> Нету такого браузера, есть Firefox for Android.

Тогда уж "Быстрый браузер Firefox" что на мой взгляд еще хуже в качестве названия

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено анан , 03-Окт-18 09:40 
они на раст переходили, почему опять проблемы памятью?
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Нанобот , 03-Окт-18 09:55 
потому что уязвимый код на с++
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 03-Окт-18 12:41 
> С++
> проблемы с памятью

Студенты чтоли писали? Как на С++ могут быть проблемы с памятью? Я понимаю на С ещё, но С++... Это диагноз.

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 03-Окт-18 13:01 
попробуйте написать на С++ нгикс или ДиПиАй для всей РФ
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 03-Окт-18 13:14 
Смешивать С и С++ код моветон. А в С++ почти всегда автоматически память контролируется, прямо как в этих ваших растах.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено тоже Аноним , 03-Окт-18 13:31 
Когда нужно написать десктопное приложение - да.
Когда речь о движке интерптератора (который, внезапно, должен реализовать выделение памяти под переменные и сборщик мусора) - удачи с "автоматикой"...
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено rshadow , 04-Окт-18 14:26 
сборщик мусора не нужен
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено тоже Аноним , 04-Окт-18 20:17 
> сборщик мусора не нужен

Когда Хром валится у меня на Айпаде от нехватки памяти, он, наверное, думает так же.

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 05-Окт-18 08:08 
Хром на айпаде не нужен.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 03-Окт-18 13:22 
То что у них 5 миллионов строк кода на С (не С++ а именно С) как бы намекает...
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено llolik , 03-Окт-18 10:23 
Потому что JS движок на Rust ещё никто не переписывал. Он по прежнему на C++.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено oni14 , 04-Окт-18 11:23 
я знаю что есть js движки на Go. пусть возьмут на вооружение =)
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним84701 , 03-Окт-18 12:43 
> они на раст переходили,

Там еще переходить и переходить?
https://www.openhub.net/p/firefox/analyses/latest/languages_...


Language Code
C++ 11,790,199
JavaScript 7,910,535
HTML 5,056,599
C 4,946,470
Rust 2,058,338

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено трурль , 03-Окт-18 20:58 
>HTML 5,056,599

ПЯТЬ МИЛЛИОНОВ строк на html? О_О
Это куда столько напихано? Это даже размазать по одному символу на строку, все равно чудовищно много.

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 03-Окт-18 23:49 
HTML - Documentation?
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено трурль , 04-Окт-18 09:04 
В несколько раз больше «Войны и мира»?
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено трурль , 04-Окт-18 09:05 
Разве что туда всю болтовню на форумах включили.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 04-Окт-18 00:35 
Когда перепишут, V8 можно будет на помойку кинуть.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено iZEN , 03-Окт-18 13:52 
Для сборки Firefox 62.0.3 уже нужен LLVM 7.0.
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Аноним , 03-Окт-18 14:21 
Установил Firefox Nighty 64.0a1
-нет возможности отключить обновления
-автозаполнение банковских карт (галочку можно снять)
-выберите что блокировать
медленные трекеры
все обнаруженные трекеры
-разрешить отправлять технические данные и данные взаимодейсвия в Mozilla
-разрешить отправлять сообщения об ошибках браузера (в том числе ТЕКСТ ошибок) в Mozilla
-разрешить отправлять от вашего имени накопившиеся сообщения о падении

about:config
toolkit.telemetry.enabled - нет возможности переключить


Есть вероятность что все это будет не отключаемо в будущих сборках (65,66 или 67)

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено AlAvis , 03-Окт-18 18:22 
Автоматические обновления отключаются как обычно . Поиск обновлений теперь отключается только через политики . Автозаполнением занимается системный аддон , достаточно удалить . toolkit.telemetry.enabled не отключается для всех НЕрелизных версий , насколько помню , с 62й .
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Anonim , 04-Окт-18 00:44 
ищи в поисковике или гитхабе:
firefox autoconfig

а именно
unlockPref("tolkit.telemetry.disabled")

"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Anonim , 04-Окт-18 00:48 
ой, затупил:)
unlockPref("toolkit.telemetry.enabled")
"Обновление Firefox 62.0.3 с устранением критических уязвимос..."
Отправлено Kuromi , 03-Окт-18 15:11 
-автозаполнение банковских карт (галочку можно снять)
...
Есть вероятность что все это будет не отключаемо в будущих сборках (65,66 или 67)

Автозаполнение карт штатно (в релизе) поддерживается только для США, Канады и Германии, о распространении на остальной мир (а уж тем более на Россию) никто пока и не думает, это в Ночнушке включено для всех, так что не переживайте.