The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Firefox 97.0.2 и 91.6.1 с устранением критических 0-day уязвимостей

05.03.2022 09:17

Доступен корректирующий выпуск Firefox 97.0.2 и 91.6.1 с устранением двух уязвимостей, которым присвоен статус критических проблем. Уязвимости позволяют обойти sandbox-изоляцию и добиться выполнения своего кода с привилегиями браузера при обработке специально оформленного контента. Утверждается, что для обеих проблем выявлено наличие рабочих эксплоитов, которые уже используются для совершения атак.

Детали пока не раскрываются, известно только, что первая уязвимость (CVE-2022-26485) связана с обращением к уже освобождённой области памяти (Use-after-free) в коде для обработки параметра XSLT, а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU.

Всем пользователям браузеров на движке Firefox рекомендуется срочно установить обновления. Особенно внимательными к установке обновлений следует быть пользователям Tor Browser, основанном на ESR-ветке Firefox 91, так как уязвимости могут привести не только к компрометации системы, но и к деанонимизации пользователя. Обновление с устранением рассматриваемых уязвимостей для Tor Browser пока не сформировано.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: В Firefox может появиться группировка вкладок и вертикальная навигация по вкладкам
  3. OpenNews: В Firefox 98 для некоторых пользователей будет изменена поисковая система по умолчанию
  4. OpenNews: Обновление Firefox 97.0.1
  5. OpenNews: Релиз Firefox 97
  6. OpenNews: Wayland использует менее 10% Linux-пользователей Firefox
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/56808-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимно (ok), 09:19, 05/03/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –2 +/
     
     
  • 2.2, полураспад (?), 09:23, 05/03/2022 Скрыто модератором
  • +/
     
     
  • 3.26, Корец (?), 09:52, 05/03/2022 Скрыто модератором
  • +/
     
     
  • 4.27, Аноним (27), 09:58, 05/03/2022 Скрыто модератором
  • +/
     
  • 2.30, Аноним (30), 10:30, 05/03/2022 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (4)

  • 1.4, timur.davletshin (ok), 09:26, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    А смысл? Уже 98-ой в стадии release candidate 3. Возможно он уже и будет финальным.
     
     
  • 2.28, iPony129412 (?), 10:25, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +11 +/
    А пока неделю сидите с дырой 👌
     
     
  • 3.31, timur.davletshin (ok), 10:40, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А пока неделю сидите с дырой 👌

    В RC все те же патчи.

     
     
  • 4.46, iPony129412 (?), 16:25, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже двое написали глупости про УМВР  – рад за вас.
    Разработчик такое для своего продукта для массовой аудитории позволить не может.


     
  • 3.43, th3m3 (ok), 15:03, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уже неделю на 98. Всё норм.
     
     
  • 4.45, Аноним (45), 16:04, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Тоже уже на win 98. Всё норм.
     
  • 4.57, Anonwrg5 (?), 22:19, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В 98-м этих фиксов, возможно, нет, если их только что выявили. В этом случае они войдут в очередной релиз-кандидат.
     
  • 2.37, КО (?), 12:06, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А ESR так для вида?
     
     
  • 3.38, timur.davletshin (ok), 12:18, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >  А ESR так для вида?

    В оригинальной публикации не говорилось про ESR, дополнили позже.

     

  • 1.29, Аноним (30), 10:29, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот если бы переписали на раст? Да ничего бы не произошло они и раст не смогли нормально написать. Не то что браузер на нём переписать.  
     
     
  • 2.53, Аноним (53), 21:43, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да подумаешь всего-то делов - браузер переписать. Давно уже пора свой запилить и профиты с рекламы миллионами долларов иметь.
     

  • 1.33, Гнъ Анонимъ (?), 11:39, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Rust или не Rust, но тѣмъ интереснѣе, что въ данномъ случаѣ мы видимъ именно ошибки съ памятью, такiя какъ use-after-free. И старые языки отъ такихъ ошибокъ не предоставляютъ никакихъ защитъ. Я не знаю, способенъ ли Растъ замѣнить Си и сдѣлать программированіе болѣе безопаснымъ (а то почему-то много къ нему вижу всякихъ претензій), но безусловно то, что новый языкъ низкоуровневого программированія нуженъ.
     
     
  • 2.39, timur.davletshin (ok), 12:32, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Rust или не Rust, но тѣмъ интереснѣе, что въ данномъ случаѣ мы
    > видимъ именно ошибки съ памятью, такiя какъ use-after-free. И старые языки
    > отъ такихъ ошибокъ не предоставляютъ никакихъ защитъ. Я не знаю, способенъ
    > ли Растъ замѣнить Си и сдѣлать программированіе болѣе безопаснымъ
    > (а то почему-то много къ нему вижу всякихъ претензій), но безусловно
    > то, что новый языкъ низкоуровневого программированія нуженъ.

    y0k0wka ты и тут?

     
     
  • 3.44, Гнъ Анонимъ (?), 15:06, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы о чёмъ?
     

  • 1.34, Аноним (34), 11:46, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU.

    WebGPU же в релизе нет?

     
     
  • 2.36, timur.davletshin (ok), 12:01, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет.
     

  • 1.35, Аноним (34), 11:49, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    apt list firefox
    >firefox/impish-updates,impish-security,now 97.0+build2-0ubuntu0.21.10.1 amd64 [установлен]

    apt update
    ...  
    Все пакеты имеют последние версии.

    Oh shit.

     
     
  • 2.62, ИмяХ (?), 06:34, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Бубунтушникам только и остаётся ждать, когда майнтейнеры запилят для них ебилды, ибо самостоятельно мамкины хакеры собрать пакет не в состоянии.
     
     
  • 3.63, бубунтушник (?), 09:11, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В состоянии, а толку? Сколько его не пересобирай - точно такой же 97.0+build2-0ubuntu0.21.10.1 обратно получается.

    Но ты-то не мамкин хакер, у тебя-то lfs?

     
  • 3.72, Аноним (72), 18:41, 07/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас бы шуметь вентилляторами собирая себе браузер. Пока апстрим починится, можно и в хроме ютубчик посмотреть.
     

  • 1.40, Аноним (-), 13:03, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Fedora ещё 97.0.1.
     
  • 1.41, Аноним (41), 14:33, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я понимаю, что тутовая аудитория использует в основном FF, ибо в дистр впилено, привылки за годы и ещё много причин.

    Но объясните мне пожалуйста, зачем оно может ещё кому-то понадобится?

     
     
  • 2.42, Аноним (42), 14:44, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вкладки выше, чем у другого обозревателя?
     
     
  • 3.60, Аноним (60), 02:03, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не понимаю о чём вы, у меня в любом браузере вкладки высотой почти с экран. Или смотря как окно программы разверну.
     
     
  • 4.64, Аноним (42), 09:26, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не понимаю о чём вы

    Да.

     
  • 2.65, Аноним (65), 15:27, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Процент у FF видели? Никому он и не нужен.
     

  • 1.47, Аноним (47), 17:02, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Почему в браузерах вечные уязвимости? Что с ними не так?
     
     
  • 2.48, Аноним (48), 18:56, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    WEB 2.0
    Вот, что не так.
     
  • 2.56, Аноним (53), 22:06, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они невероятно сложные, и работают с большим количеством разнообразного входа. А это значит что некорректная его обработка приведет часто к уязвимости.

    Проктолы обмена данными (tcp, udp, http(s, /2, quick, tls), ws(s)), форматы данных (PDF, json, HTML, CSS, Изображения, Видео, javascript).

    Только Javascript чего стоит. Это язык программирования с виртуальной машиной для исполнения инструкций поступающих в браузер из сети.

    Еще например WebGL (загугли) один из этого списка https://developer.mozilla.org/ru/docs/Web/API

     

  • 1.49, Kuromi (ok), 20:15, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, WebGPU еще даже не полноценный стандарт, а критические дыры уже есть. Толи еще будет...
     
     
  • 2.59, Anonwrg5 (?), 00:12, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты путаешь стандарт с реализацией. В любой реализации есть баги. В любом ПО есть баги. Уязвимости это подкласс багов.
     
     
  • 3.61, Kuromi (ok), 06:13, 06/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И тем не менее суть WebGPU - в доступе сайтов к GPU. Достаточно вспомнить какие крики были со стороны Микрософт на тему WebGL, а с WebGPU это все можно умножить в разы.
    Да, конечно можно сказать что WebGL-ом пугали, а впустую, но он и не взлетел толком и браузеры к тому моменту обвешались песочницами, фильтрами вызовов и прочими механизмами.
    Опять же припомним сколько ЛЕТ та же Мозилла причесывала и пыталась довести до ума свою реализацию WebGL (которая даже на Виндоус так никогда и не достигла паритета по скорости с реализацией в Хроме, а а Линуксе так вообще тормозила безбожно в силу "неудачно архитектуры" как ФФ так и графического стека Линукса). И это еще притом что как таковой WebGL в Мозилле и зародился (Гугл продвигал другой стандарт, но первыми эксперименты с 3D контекстом начали инженеры Мозиллы). Доводить свои разработки до наконец-то достойного качества как раз накануне объявления их устаревшими и deprecated - это фишка. Вон, только на дня в Линуксе наконец-то включили WebGL в отдельном процессе. 6 Лет багу стукнуло.
    В общем, от WebGPU ничего хорошего не жду.
     

  • 1.50, Ilya Indigo (ok), 20:46, 05/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может мне кто-нибудь помочь с удалением аккаунта firefox с двуфакторной аутентификацией?

    1 Я недавно зарегистрировал домен и создал на нём почту и хотел привязать эту почту к аккаунту firefox для синхронизации.
    Оказалось что прежний владелец этого домена имел такую же почту и уже создал аккаунт с двуфакторной аутентификацией и я теперь не могу его удалить чтобы зарегистрировать его заново.
    Как мне его удалить имея доступ только к email?

    2 Я пытался задать этот вопрос на форуме поддержки https://support.mozilla.org/ru/questions/new/desktop но дальше этой страницы меня не пускают.
    Я могу только ответить на чей-то вопрос но задать свой вопрос мне не дают. Нажатие на кнопку Получить помощь приводит к началу, выбора продукта и далее та же страница.

     
     
  • 2.51, Аноним (51), 20:57, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    РФ?
     
     
  • 3.52, Ilya Indigo (ok), 21:01, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Домен не РФ, заходил на форум из РФ.
     
  • 2.54, Аноним (72), 21:58, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Заведи другую почту. Делов-то.
     
     
  • 3.55, Ilya Indigo (ok), 22:03, 05/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Охота это сделать официально и по нормальному, возможно указав Мозилле на этот недостаток.
    Если убежусь что в Мозилле неадекваты и договорится с ними не возможно, то придётся так и сделать, но пока хочу это решить как положено.
     
     
  • 4.73, Аноним (72), 18:48, 07/03/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Мозилле как раз адекваты и не будут изобретать новые бизнес-процессы ради очередняры из интернета, который не может завести почтовый алиас. Но ты, я вижу, из тех, кому шашечки важнее, чем ехать и свободного времени у тебя навалом. Расскажи потом как прошло.
     

  • 1.66, Аноним (66), 15:38, 06/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Tor формировать внеплановое обновление отказался (https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/40826#note), зато есть время на https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/40687
     
  • 1.79, MihaNix (ok), 02:22, 29/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Chrome та же фигня.
    Но там чуть раньше поправили.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру