The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости

10.10.2024 09:41

Опубликованы корректирующий выпуски Firefox 131.0.2, Firefox ESR 115.16.1, Firefox ESR 128.3.1 и Tor Browser 13.5.7, в которых устранена критическая уязвимость (CVE-2024-9680), приводящая к выполнению кода на уровне процесса обработки контента при открытии специально оформленных страниц. Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах. Опасность уязвимости усугубляется тем, что ещё до появления исправления компанией ESET выявлены факты её использования в эксплоитах для совершения атак (0-day). Детальная информация о сути уязвимости пока не раскрывается.

Дополнительно можно отметить о выявлении в выпуске Firefox 131 проблем (1, 2, 3), приводящих к нарушению отображения элементов интерфейса при запуске браузера в окружениях на базе X11/Xorg без композитного менеджера. Проблемы проявляются в Xfce при выключенном композитном режиме в настройках и в простых оконных менеджерах. Например, пропадают тени и закругления всплывающих меню, отображается чёрный фон вместо прозрачности на индикаторе автопрокрутки.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Релиз Firefox 131
  3. OpenNews: Европейскому регулятору подана жалоба о появлении в Firefox функции отслеживания пользователей
  4. OpenNews: Mozilla продлила поддержку ESR-ветки Firefox 115 до марта 2025 года
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62023-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, X86 (ok), 10:01, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах

    Понаделают дверей, потом дыры в них латают. Неужели эта функция важнее безопасности?

     
     
  • 2.4, Аноним (-), 10:12, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Понаделают дверей

    Ну разумеется, анимации не нужны. Так же может быть дыра.
    И картинки не нужны. В декодере тоже может быть дыра.
    И стили тоже не нужны. Потому что там... ну ты понял.
    Нужно просто отображать plain text. Вот его хватит всем.

    *главное в сплите строки опять не сделать дыру, а то как-то совсем неудобно будет

    > потом дыры в них латают

    Просто если используешь инструменты из прошлого тысячелетия, то лепишь очередную use-after-free.
    Неужели их использование важнее безопасности?

     
     
  • 3.6, Советский инженер (ok), 10:23, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Нужно просто отображать plain text.

    шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчитывать, а там дырень

     
     
  • 4.11, alexfarman (?), 10:43, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И вообще графического интерфейса своего быть не должно, вывод текста сразу в терминал
     
     
  • 5.14, Аноним (14), 10:44, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В общем, Gemini protocol.
     
     
  • 6.39, OpenEcho (?), 13:12, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не, еще проще - gopher
     
  • 5.66, slavanap (?), 22:33, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ~$ links http://google.com
     
     
  • 6.79, Аноним (79), 09:40, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    $ lynx https://opennet.ru
     
  • 4.13, Аноним (-), 10:44, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно!
    При этом сам шрифт должен быть записан в ПЗУ терминала.
    А то вдруг произойдет что-то плохое если позволить пользователю грузить собственные шрифты.
     
     
  • 5.89, Асен Тотин (?), 13:44, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какой шрифт?! Какой терминал?! Там столько дыр может быть... Сразу все на бумагу через принтер, да и только.
     
     
  • 6.95, Аноним (95), 22:25, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А на бумаге сколько можно дыр понаставить дыроколом...
     
     
  • 7.96, Аноним (96), 22:57, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так, уберите это всё! Нету "вот этого всё" - нету проблем!
     

  • 1.17, Аноним (17), 10:47, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    > Например, пропадают тени и закругления всплывающих меню

    А минусы будут?

     
     
  • 2.33, Ivan_83 (ok), 12:05, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда думал что так и должно быть, у Dino такая же фигня.
     
  • 2.45, Аноним (45), 14:22, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну потому что надо вейландом пользоваться, а не цепляться за легаси. Переход к тому же считай бесшовный.
     
     
  • 3.64, Омнонном (?), 21:47, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вяленый - это и есть легаси. Мертворожденное.
     
     
  • 4.65, Аноним (65), 22:11, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Только в mesa/gnome -- explicit sync не осилили и никакой тройной буферизации. Implicit sync и двойная буферизация действительно легаси.
     
  • 3.86, Аноним (86), 12:54, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле, чем мозги пудрили людям и бодались с гномо(о)вцами.
     
     
  • 4.88, Аноним (-), 13:18, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение.

    Местные любители иксов, по их словам, так решали проблему того, что в ХОрге приложения могут подглядывать в чужие экраны.

    > Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле

    Ну так перепиши.
    Тех кто колупались в коде ХОрга уже не заставишь, тк оно насмотрелись на "тысячи строк ужаса" и их даже за деньги не заставишь.


     

  • 1.34, мяв (?), 12:13, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >приводящая к выполнению кода на уровне процесса обработки контент

    как прекрасно, что у меня все еще tomoyo на всех машинах!
    ну и флатпак. в некоторых дистрибутивах огнелис именно оттуда по дефолту, что, имхо, хорошо.

     
     
  • 2.36, Афроним (?), 12:41, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Hardened все же менее хардкорны чем эти песочницы.Может я ошибаюсь?
     
     
  • 3.71, мяв (?), 06:08, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да не, это в зависимости от того, кто писао политику.
    процесс все равно сможет прочесть/писать/исполнять примерно то же самое, что и в песочнице. иногда даже чуть меньше.
     
     
  • 4.80, Аноним (79), 09:53, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > в зависимости от того, кто писао политику.

    Это очень дорогая, трудоёмкая задача. Месяц использовал комп для создания полного лога аудита и потом, с него, gradm сгенерил политику RBAC по всем пользователям системы. Дале вычитывал и правил политики MAC чтобы получилось что-то рабочие и пригодное. В продакшн не пошло, надо сразу больше времени для проверки и редактирования политик.

    Переключился с MAC на CAP, легко и быстро можно раздать всем рутовым процессам только необходимые и достаточные привилегии.
        # pscap
    отображает всюду урезанные привилегии без возможности повышения.

    А всякие сильные баги в прогах ловит hardened ядро от grsecurity.

     
     
  • 5.82, мяв (?), 10:48, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Это очень дорогая, трудоёмкая задача.

    что? нет, если вы себя любите и используете то, что было сделано для людей.
    это максимум 30 минут в tomoyo-queryd. либо 1 настройка patternize.conf и потом поженание плодов режима обучения в связке с редкими ручными доработками.
    >RBAC

    он мертв.
    >В продакшн не пошло

    у меня все пошло, Вы просто не умеете правильно готовить.

     
  • 3.72, мяв (?), 06:13, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    + не надо забывать про уязвимости в самих песочницах. с МАС'ом и они не проканают. в целом, спектр покрываемых атак куда больше, некоторые даже ядро после инициализации могут контролить(ну, то есть, вообще любой подвид RCE/LCE не страшен).
     
  • 2.40, Ivan_83 (ok), 13:19, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неуловимый Джо Чтобы реально на что то такое попасть нужно стечение обстоятел... большой текст свёрнут, показать
     
     
  • 3.46, OpenEcho (?), 14:38, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.

    capsicum на Линуксе кажется еще лет 5 назад помер

     
     
  • 4.52, Аноним (-), 14:54, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > capsicum на Линуксе кажется еще лет 5 назад помер

    Что такое 5 лет для вечного core2duo ?
    Можно сидеть на самом лучшем ядре 2.6 и софте того же времени.


     
     
  • 5.56, Афроним (?), 15:22, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда. Так что сказки про кору дуба это вы приберегите для Айпони. Он как известно не выносит луддитства. D
     
  • 4.61, Ivan_83 (ok), 19:42, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
    Даже в венде такое есть, начиная с 2к как минимум.
     
     
  • 5.70, OpenEcho (?), 02:36, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня фря

    Я знаю, не первый день здесь :)

    > что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.

    У нас и то и другое и третье... весь зоопарк ОСей. А в линолиуме там setcap наверное самый подручный, но без Каспера, a вместо перчика - SElinux которыму следовало бы поучится простоте  capsicum, попроще наверное AppArmor, ну или если совсем не замaрачиваться то та же японская дева Томоё

     
     
  • 6.73, мяв (?), 06:20, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >AppArmor

    который ничерта не умеет, отключается на раз-два в рантайме, не предназначен для написания больших политик в принципе, да еще и работает в полную силу только на ядрах каноникла?
    спасибо, наелись.

    >дева Томоё

    ..который, в отличии от, умеет в контроль кратно большего кол.-ва операций с фс, сетью и даже может ядро зажать; имеет гибкую политику исключений с автоматическим режимом обучения, благодаря которым, политика даже для всей системы - очень даже реальна.

     
     
  • 7.83, OpenEcho (?), 12:10, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Со всеми этими MAC, слишком много головной боли. Я понимаю там каждый день только этим и заниматься, то еще куда не шло, поэтому и появилсь все эти докеры и кибернетсы, проще разогнать задачи по песочницам простым девопсам, чем держать гика ковыряющегося в МАС-ах
     
     
  • 8.90, мяв (?), 15:16, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да не особо я на десктопе 3й год пользую tomoyo в дебиане сильная головная бо... большой текст свёрнут, показать
     
     
  • 9.92, Ivan_83 (ok), 17:27, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так я особо ничем не парюсь, выкидываю капсикум, на десктопе вообще не упарываюс... текст свёрнут, показать
     
  • 9.97, OpenEcho (?), 10:40, 12/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    При обновлениях между мажорными версиями ОСи политики не ломаются Помнится с по... текст свёрнут, показать
     
     
  • 10.99, мяв (?), 05:08, 14/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    смотря, какие обновления если б я писала политики под дебиан с sysv, а потом бы... текст свёрнут, показать
     
     
  • 11.100, мяв (?), 05:09, 14/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    в целом, мне что-то подсказывает, что достаточно придумать, как запускать инит и... текст свёрнут, показать
     
     
  • 12.101, OpenEcho (?), 14:30, 14/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и я про тоже, чем проще система, тем больше надежность, дав девопсам изоляци... текст свёрнут, показать
     
     
  • 13.102, Аноним (-), 14:43, 14/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вернемся к православному DOSу Как раз есть FreeDOS Один поток, одна консолька,... текст свёрнут, показать
     
  • 6.75, мяв (?), 06:27, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >SELinux

    есть более простой, но чуть менее поддерживаемый SMACK.
    тоже на метках.

     
     
  • 7.84, OpenEcho (?), 12:18, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>SELinux
    > есть более простой, но чуть менее поддерживаемый SMACK.
    > тоже на метках.

    В интерпрайзах тяжело пропихнуть, а на "резидентшиал" уровне тоже слишком много времени на это все тратить. Проще то же Хвост или скорее МХ в frugal mode, все на read-only за исключением данных

     
  • 3.74, мяв (?), 06:23, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    запустите-ка мне ядро или саму песочницу в песочнице?
     
     
  • 4.76, Ivan_83 (ok), 07:24, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем?
    Можно поизвращатся с jail и таки запустить ядро в "песочнице", но чего ради?
     
     
  • 5.77, мяв (?), 08:20, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а затем, что спасает от любой уязвимости с СЕ де-факто.
    сам jail тоже в песочнице будет?
    а с МАС'ом - в "песочнице" будет все живое.
     
     
  • 6.93, Ivan_83 (ok), 18:01, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем от неё спасатся?)
    Вы на создание и саппорт этого всего потратите больше чем я на воосстановление если оно потребуется вообще когданить, пока за 16 лет юза фри оно было не надо.

    Я думаю что у вас перенос реальных фобий на ИБ, как у большинства тех кто не админит всякие сервисы с денежными транзакциями.
    Попробуйте сменить локацию и купить ствол, должно попустить :)

     

  • 1.44, Аноним (44), 14:16, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Fennec больше не может быть собран в соответствии с правилами F-Droid из за смены тулчейна в апстриме, и в репозитории остается уязвимая 129 версия - https://gitlab.com/relan/fennecbuild/-/issues/86
     
     
  • 2.49, OpenEcho (?), 14:45, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Fennec больше не может быть собран в соответствии с правилами F-Droid из
    > за смены тулчейна в апстриме, и в репозитории остается уязвимая 129
    > версия - https://gitlab.com/relan/fennecbuild/-/issues/86

    С Mull похоже те же проблемы

     
     
  • 3.78, мяв (?), 08:21, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    только что 131 прилетела.
    fennec все еще 129.
     
     
  • 4.85, OpenEcho (?), 12:20, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > только что 131 прилетела.
    > fennec все еще 129.

    Пасиб, а то я только в ручную обновляю (параноя однако...)

     
  • 2.51, Аноним (-), 14:50, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Fennec больше не может быть собран в соответствии с правилами F-Droid из-за смены тулчейна в апстриме,

    Это больше вопрос к правилам ф-дроида и их адекватности.

    > и в репозитории остается уязвимая 129 версия

    Могли бы бекпортить фиксы.. а не, не могли.
    Они же просто пересобирают лису, а не пишут новый код.

    Ну штош, если такова цена щво6одки, то посмотрим сколько людей захотят за нее заплатить


     
     
  • 3.62, Ivan_83 (ok), 19:44, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так и чо?
    Я выше написал, для андройда будет 3 условия, но там и ограничения со стороны ОС сразу более жёсткие и по файлам особо не пошаришься, если только эксплоит сразу для рута запускать.
     
  • 2.69, Аноним (69), 01:46, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я ничего не понял. Firefox зависит от проприетарного тулчейна? Если да, то это не полностью опенсорсный браузер.
     

  • 1.57, Аноним (57), 16:51, 10/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В альтлинуксе firefox-esr Версия: 115.11.0-alt1

    Неуязвим?

     
     
  • 2.58, Аноним (58), 17:25, 10/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Неуловим!
     
  • 2.103, Аноним (57), 12:12, 13/11/2024 [^] [^^] [^^^] [ответить]  
  • +/

    Вот и в альт прилетела новая версия

    firefox-esr-115.16.1-alt1

     

  • 1.67, Анониссимус (?), 00:00, 11/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если не все анонимы поняли, то поясняю: с этой уязвимостью вы можете открыть сайтик, который сможет скриншотить, кейлогать, и вообще лазить по всему хомяку.

    И от этого всего можно спастись только отказом от X11 и применением Selinux, AppArmor и подобных средств.

     
     
  • 2.68, Аноним (65), 00:17, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    У x11 уже не осталось пользователей, зачем от него отказываться? Никто не будет таргетить полпроцента 1%.
     
  • 2.81, Аноним (81), 09:58, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Предлагаю вместо отказа от фич X11 отказаться от раздувания фич в браузере. Ну просто потому что

    >вообще лазить по всему хомяку.

    X11 не предоставляет, а вот браузер, сделанный из-под палки всяких там шаманок под спринтами на KPI по методике "release early, release often" - как раз да.

     
     
  • 3.87, Аноним (-), 13:18, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > отказаться от раздувания фич в браузере

    Если для вас обычные анимации это раздувание фич, то прошу проследовать на Lynx, ФФ не для вас.

    > X11 не предоставляет

    Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.

     
     
  • 4.91, Местный с житейским делом (?), 15:31, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.

    Запускай отдельных X11-сервер на каждое приложение, как раз получится как в вейланде.

     
  • 2.94, Аноним (94), 19:36, 11/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20 лет назад, это можно делать и сегодня. без всяких там ваших извращений...
     
     
  • 3.98, Анониссимус (?), 13:13, 12/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным
    > пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20
    > лет назад, это можно делать и сегодня. без всяких там ваших
    > извращений...

    Это по сути отказ от многооконного интерфейса. То есть того, ради чего и создан был X.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру