The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Firefox 84.0.2 с устранением уязвимости

06.01.2021 20:03

Опубликован корректирующий выпуск Firefox 84.0.2, в котором устранена критическая уязвимость (CVE-2020-16044), которая может привести к выполнению кода злоумышленника при обработке специально оформленного блока COOKIE-ECHO в пакете SCTP (Stream Control Transmission Protocol). Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free) в обработчике COOKIE-ECHO. Детальная информация об уязвимости пока не разглашается.

Из грядущих изменений можно отметить появление в Firefox 85 в меню менеджера паролей Lockwise кнопки "Remove All Logins" для удаления разом всех сохранённых паролей. В Firefox 86 (перенесено на Firefox 87) будет отключён по умолчанию обработчик клавиши Backspace вне контекста форм ввода. Удаление обработчика Backspace было предложено ещё 7 лет назад и мотивировано тем, что клавиша Backspace активно используется при наборе текста в формах, но вне фокуса на форме ввода обрабатывается как переход к прошлой странице, что может привести к потере набранного текста из-за непреднамеренного перемещения на другую страницу. Для возвращения старого поведения в about:config добавлена опция browser.backspace_action.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Компания Mozilla работает над новым оформлением Firefox
  3. OpenNews: В Firefox 85 появится дополнительная защита от отслеживания, основанная на сегментировании сети
  4. OpenNews: Релиз Firefox 84
  5. OpenNews: В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане
  6. OpenNews: Локальная root-уязвимость в реализации SCTP в ядре Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54365-firefox
Ключевые слова: firefox, sctp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (76) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Гимли (?), 20:04, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Long live, Firefox.
     
     
  • 2.42, VINRARUS (ok), 00:08, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Шоб ты так жыл...
     
  • 2.65, Аноним (65), 17:58, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Уязвимость вызвана обращением к уже освобождённой области памяти

    что, не помог раст растаманам?

     
     
  • 3.77, Аноним (-), 04:03, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да их уже уволили, они 10 лет "помогали" - но двигло релизнуть так и не смогли. За 10 лет, Карл!
     
     
  • 4.82, Аноним (-), 23:06, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Да их уже уволили, они 10 лет "помогали" - но двигло релизнуть так и не смогли. За 10 лет, Карл!

    Ох уж эти эксперды оупеннета!
    https://mail.mozilla.org/pipermail/rust-dev/2012-January/001256.html
    > [rust-dev] The Rust compiler 0.1 is unleashed
    >

     

  • 1.2, Гэндальф (?), 20:06, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Всегда использовал альт и стрелку назад.
     
     
  • 2.4, Гэндальф (?), 20:07, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То бишь влево, ну вы поняли.
     
  • 2.5, Аноним (5), 20:07, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    а чо боковые кнопки мыши совест не пазваляет юзати !?
     
     
  • 3.7, Гэндальф (?), 20:09, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты о чём? У меня мышка то с колёсиком ещё.
     
     
  • 4.21, Аноним (21), 20:32, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А у меня уже с шариком
     
     
  • 5.25, Гэндальф (?), 20:45, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То бишь с шариком, ну вы поняли.
     
  • 5.57, Аноним (57), 10:00, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не оптическая? Тогда ещё, а не уже.
     
     
  • 6.68, arthi747 (ok), 18:13, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Манипулятор типа "мышь".
     
  • 3.78, Рмшъ (?), 05:18, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не у всех они так настроены
     

  • 1.3, Аноним (5), 20:06, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    i love Firefox !
     
  • 1.8, Аноним (8), 20:10, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Заметил такую проблему: в фф вместо курсора дерьмо собачье. Во всех других программах всё в порядке. Как починить?
     
     
  • 2.9, Аноним (9), 20:11, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пересесть на Chromium ;-)
     
     
  • 3.10, Гимли (?), 20:12, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типичный дельный совет на опеннет...
     
     
  • 4.69, Аноним (69), 18:30, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типичный. Потому, как правильный.
     
  • 2.11, Аноним (11), 20:13, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удали фф
     
     
  • 3.12, Гимли (?), 20:15, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё один...
     
  • 2.14, Alladin (?), 20:18, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Какое у вас De? не Gtk? Может проблема в корявой настройке gtk или отсутствие настройки?
     
     
  • 3.20, Аноним (8), 20:25, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    KDE5-Xorg, в других программах всё в полном порядке. В том числе с гтк3. Сейчас специально проверил, с гтк2 тоже всё в порядке.

    Пользуясь случаем, можно ли прикрутить к ФФ нормальные файловые диалоги из кде. Без гномовых порталов и прочего -- они часть флатпака. Вот по примеру хромиума, можно дёргать kdialog и всё прекрасно. Заодно затирания буфер выделения починится (это в фф вообще регулярно ломается много лет).

     
     
  • 4.22, Аноним (22), 20:35, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользуясь случаем, можно ли прикрутить к ФФ нормальные файловые диалоги из кде.

    СуСе петчит лису для такого. Искать по кейвордам firefox, suse, kde.

     
     
  • 5.26, Аноним (8), 20:46, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Пользуясь случаем, можно ли прикрутить к ФФ нормальные файловые диалоги из кде.
    > СуСе петчит лису для такого. Искать по кейвордам firefox, suse, kde.

    Достаточно будет применить этот файл? Откуда его лучше скачать? Кстати не нашёл как его скачать на этом сайте https://build.opensuse.org/package/view_file/mozilla:Factory/MozillaFirefox/fi

     
     
  • 6.45, НяшМяш (ok), 01:26, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё можно готовые сборки скачать https://software.opensuse.org//download.html?project=mozilla%3AFactory&pa
     
  • 4.52, Ilya Indigo (ok), 07:30, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ХЗ, у меня в openSUSE как в KDE4 настроено, такой курсор и отображает.
    Тема в Firefox только стандартная, остальные отключены.
    Может дело в теме Firefox?
     
  • 2.59, Аноним (59), 10:45, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нефиг ставить из флатпака.
     
     
  • 3.62, Аноним (8), 14:30, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нефиг ставить из флатпака.

    У меня собрано из исходников. Я не могу использовать браузеры, собранные шлангом. По техническим причинам. Лучше ответьте на поставленный вопрос.

     
  • 2.80, Стас Михайлов (?), 21:42, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня другая проблема - отсутствует поддержка ALSA и из-за этого нет звука. (пы.сы. - опеннет всегда читаю с виндузятни пушо игори)
     
     
  • 3.81, Аноним (8), 21:54, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Компилируй из исходников, либо бери из дистрибутива где это сделали за тебя. С alsa прекрасно работает всё. Или попробуй apulse, он тоже обычно работает, у меня ещё не было такого чтобы не работало.
     
     
  • 4.83, Стас Михайлов (?), 23:06, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, apulse попробую. А из исходников - толку? Они же её поддержку вроде совсем выпилили.
     
     
  • 5.84, Аноним (8), 23:32, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Там надо только отключить пульсу и передать --enable-alsa конфигурационному скрипту, в исходниках всё осталось. Не проверял работоспособность webrtc, в остальном совершенно никаких проблем.
     

  • 1.13, Аноним (13), 20:17, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >The Stream Control Transmission Protocol (SCTP) is a computer networking communications protocol in the Transport Layer of the Internet Protocol Suite. Originally intended for Signaling System 7 (SS7) message transport in telecommunication, the protocol provides the message-oriented feature of the User Datagram Protocol (UDP)

    Какое отношение это имеет к вебу?

     
     
  • 2.16, Alladin (?), 20:19, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Прямое
     
     
  • 3.56, Аноним (57), 09:44, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А какие вебсервера могут через SCTP контент отдавать?
     
  • 2.17, Аноним (13), 20:19, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, это дерьмо - часть WebRTC. Ну-ну. media.peerconnection.enabled false.
     

  • 1.18, Аноним (18), 20:20, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зачем стирать введённое на текущей странице, при переходе к предыдущей странице. Не надо так делать никогда. Жава-скриптоиды. :)))

    Вот тут надо фиксить. А не костылить выпиливанием backspace.

     
     
  • 2.30, Аноним (9), 20:50, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не, нафига какие-то там фиксы-шмиксы и прочие полумеры? Костыли проверены годами!
     
  • 2.34, Аноним (34), 21:17, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём тут жабаскриптоиды? Это фуррифокс так работает. В старой Опере с этим проблем не было, а вот движитель всего опенсорса так и не смог. Не нужно им это. А теперь почему-то "ой".
     
     
  • 3.46, НяшМяш (ok), 01:27, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В старой Опере все сайты ещё были старые, статичные. И когда делаешь назад-вперёд, то в кеше сохраняется всё набраное. А новые модные сайты все сейчас на жеесе и назад-вперёд вызывает очистку из-за инициализации этого самого жееса. В фурифоксе, например, на статичном опеннете как сохраняло набраные посты, так сохраняет и сейчас (только что проверил).
     
     
  • 4.66, Аноним (66), 17:58, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нифига. Вот на этом же опеннете набирают рандомные буквы и жму назад-вперёд — всё улетучивается, причём на опеннете у меня даже скрипты выключены.

    А в Опере сохранялся весь стейт и никакого перезапуска скриптов не было. С точки зрения страницы практически ничего не происходило.

     
     
  • 5.70, Аноним (70), 18:37, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нифига. Вот на этом же опеннете набирают рандомные буквы и жму назад-вперёд
    > — всё улетучивается, причём на опеннете у меня даже скрипты выключены.

    Исключительно трудности анонима. УМВР. ESR 78.

     
     
  • 6.85, Аноним (8), 23:34, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это скорее всего из-за безопасного user.js не работает, он отключает запоминание форм и кеширование.
     
  • 2.36, Аноним (36), 21:26, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эоо бесило 15 лет назад, бесит и чичас.
     

  • 1.24, Аноним (24), 20:40, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Менеджер паролей, что это вообще такое? Неужели кто-то доверяет свои пароли вечно дырявой Мозилле?
     
     
  • 2.44, VINRARUS (ok), 00:12, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В 21 веке без манагеров никак.
     
  • 2.51, СеменСеменыч777 (?), 06:52, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    кто заминусовал, тот очевидно доверяет.
    на момент прочтения таких было четверо.
    если предложить в palemoon выпилить этот код, то пошлют или нет ?
     

  • 1.29, Аноним (-), 20:50, 06/01/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
  • 1.32, Аноним (32), 20:54, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хех, похоже Presto была и остаётся единственным веб-обозревателем не профукивающим введённое в формы при переходе или обновлении страниц.
    И умела это 10+ лет эго. Но, как часто один местный завсегдатай любит повторять - секрет сей магии видимо утерян безвозвратно (с)
     
     
  • 2.39, Аноним (8), 22:18, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну нет, lazarus form recovery только на фф есть, толку то от престо если при падении всё равно потеряет (а престо сегфолтился). Как хреновенькая замена можно попробовать https://stephanmahieu.github.io/fhc-home/ которая в принципе тоже работает хоть и не восстанавливает самостоятельно.
     
  • 2.48, Аноним (48), 03:25, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты просто дебил и в этом никакого секрета магии нет. FF тоже умеет не терять введенную форму, если сайт статический html или CGI. На динамических сайтах и опера не сможет этого сделать. Даже 10+ лет эго (охереть ты хохмач-затейник какой)
     
     
  • 3.54, Аноним (54), 09:17, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Этот лисоеб сорвался, несите нового
     
     
  • 4.63, Аноним (63), 16:05, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот из лисоёб?
     
     
  • 5.79, Аноним (79), 11:10, 08/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ху из лисоёб?
     

  • 1.33, Аноним (33), 21:12, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Детальная информация об уязвимости пока не разглашается.

    Конечно не разглашаются. Сначала надо её на си переписать с раста, а то как-то опозорятся.

     
     
  • 2.37, Total Anonimus (?), 21:30, 06/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Когда уязвимосьт именно в фоксе - можно закрыть и трезвонить , если же недоделка протокола , затрагивающая других - разглашение грозит судом . Второе очень вероятно , с учётом того что и ESR обновили .
     
     
  • 3.60, Аноним (13), 10:52, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С чего бы это вдруг грозит судом? Статья какая? Обход DRM?
     
     
  • 4.61, Total Anonimus (?), 13:07, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Преднамеренное раскрытие уязвимости в других продуктах . Гугл срочным обновлением хрома (за несколько дней до релиза) подтвердил всеобщность проблемы .
     

  • 1.35, Аноним (36), 21:25, 06/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Юзал его давно с firebird или phoenix, нипомню хто раньше из них был. Терпел все тормаза все эти годы. Уход с движка вынудил таперь сидеть на василискет изза всего 3 плагинов. Жаль но тормозила умерла, но стоит  у меня 2 -3 бравзером.
     
  • 1.41, Аноним (41), 00:07, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Rust таки не помогает?
     
     
  • 2.43, VINRARUS (ok), 00:11, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Его здешние РНРшники загнобили.
     
  • 2.47, НяшМяш (ok), 01:29, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Его там 10% всего. Если в бочку бахнуть ведро мёда, содержимое бочки не превратится в мёд.
     
     
  • 3.67, Аноним (65), 18:01, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А шо так мало?! На расте невозможно написать более 10% кода? Приходится 90% писать на си/асме?
     

  • 1.49, псевдонимус (?), 04:47, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вебртц надо при сборке отключать просто.
     
  • 1.50, КО (?), 06:02, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    JS отключен и поипать.
     
  • 1.53, Fracta1L (ok), 08:52, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free)

    Кек

     
     
  • 2.55, Аноним (57), 09:38, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Rust от дырени не спас.
     

  • 1.58, lockywolf (ok), 10:20, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А кнопку "стоп" они не хотят починить? Чтобы таки стопала, а не элегантной декорацией из более цивилизованной эпохи.
     
  • 1.64, Аноним (63), 16:06, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это фиаско, сэр.
     
  • 1.71, Аноним (71), 18:49, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    одни д0лбAй0бы отключают Del в simple terminal, другие Backspace в Firefox. й0бнyтые нAх0й!
     
     
  • 2.75, Аноним (8), 22:43, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кстати да, спасибо хоть оставили возможность. Я использую pgup/pgdn для скрола, и сразу жму бэкспейс когда закончил. Ещё у меня сбоку мышки кнопки назад/вперёд, т.е. с бэкспейсом хотя бы назад я могу перейти независимо от положения руки (вперёд возвращаться не так часто приходится).
     
     
  • 3.76, Аноним (8), 22:44, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё стрелки для плавного скрола.
     

  • 1.72, еврей (?), 21:34, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Под Windows обновление появилось сразу. Под Linux... вот жду уже вторые сутки, пока маинтейнер соблаговолит собрать новый пакет. Затем наверняка уйдёт ещё несколько дней на тестирование. Зато свободка!
     
     
  • 2.74, Аноним (8), 22:39, 07/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В чём твоя проблема? Скачай с сайта бинарники для линукса, будет тебе сразу, как в венде. Особенно учитывая, что они в большинстве дистрибутивов поставляются "как есть", на сборку мейнтейнерами нужно отдельное пресональное разрешение от тромозиллы. Многие программы прекрасно живут где-нибудь в хомяке и сами себя обновляют, зачем им какие-то пакетные менеджеры?
     

  • 1.73, еврей (?), 21:37, 07/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Удаление обработчика Backspace было предложено ещё 7 лет назад

    Мало. Надо было ещё лет пять подождать.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру