ROSA Forum

Группа Mozilla

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Как утверждается в блоге Mozilla, уязвимость появилась в результате использования механизма, который обеспечивает «принцип одинакового источника» (политика, которая разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах) и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет — например, на Android.

Эксплоит не позволяет запускать произвольный код, но позволяет скачивать файлы пользователей. Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd. Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

http://www.linux.org.ru/news/mozilla/11841470

А у нас 39.0 и обновлений не было.

В ближайшее время сделаем.

У меня в Ubuntu обновления автоматические отключены, щас проверил обновления, да 39.0.3 уже в репозиториях. Скорее всего появилась там в день, когда о проблеме стало известно и Mozilla залатала дыру.

thunderamur писал(а):У меня в Ubuntu обновления автоматические отключены, щас проверил обновления, да 39.0.3 уже в репозиториях. Скорее всего появилась там в день, когда о проблеме стало известно и Mozilla залатала дыру.

Зато мы в OpenSSL дыру быстрее всех залатали! По теме - мы стараемся, но у нас нет богатого миллиардера за пазухой, потому получается чуть медленнее.

И я это прекрасно понимаю
И очень надеюсь, что вопрос с финансированием решится в положительную сторону. А также, что даже более важно, что государственные структуры начнут потихоньку без фанатизма переводить на СПО.

thunderamur писал(а):А также, что даже более важно, что государственные структуры начнут потихоньку без фанатизма переводить на СПО.

Они их и переводят. Только, предпочитают использовать свои наработки. У них тоже программисты есть.

Правильнее использовать одна платформу. И на её базе свои наработки реализовывать.

thunderamur писал(а):... А также, что даже более важно, что государственные структуры начнут потихоньку без фанатизма переводить на СПО.

Опоздали. Без фанатизма уже не получится.
http://minsvyaz.ru/ru/documents/4548/

Фанатизм тут не причём. Распил бабла рулит.

Алзим писал(а):Фанатизм тут не причём. Распил бабла рулит.

Не знаю, не знаю. Пожалуй не соглашусь. Слышали песенку про мальчика "Бобби", который очень любил и очень копил. И такой фанатизм бывает.

по НПП было тоже много чего подписано.. где оно теперь?

Сейчас пришли обновления.
Спасибо, за быстрое реагирование.
Хоть я и не пользуюсь Мазиллой в Линуксах, но всё равно спасибо.

Кому надо обновиться, то просто от рута в консоли: Или подождать несколько минут и обновиться стандартно через значок в панели.

Во вторник, 22 сентября, компания Mozilla выпустила обновления для своего браузера Firefox для Windows, Mac, Linux и Android. Версия 41 исправляет 24 уязвимости, 5 из которых являются критическими. Бреши позволяют злоумышленнику раскрывать системные и пользовательские данные, выполнять произвольный код, модифицировать системную информацию, обходить контроль безопасности, удаленно подменять URL, а также получать удаленный доступ к локальной системе и сети с повышенными привилегиями.
С помощью специально сконфигурированного контента, загружаемого жертвой, удаленный атакующий может вызвать переполнение буфера, ошибки повреждения памяти и использования после освобождения и выполнить произвольный код.
Что касается не связанных с безопасностью обновлений, то, среди прочего, в Firefox 41 реализована возможность персонализировать учетную запись пользователя, благодаря чему теперь можно обмениваться такими данными, как пароли, закладки и история просмотров, а также открывать заложенные страницы на всех устройствах.
В ближайшее время появится бета-версия Firefox 42, и будет отделен Firefox 43 для разработчиков. В соответствии с шестинедельным циклом разработки выпуск Firefox 42 состоится 3 ноября нынешнего года, а Firefox 43 – 15 декабря.
Источник.