URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 122861
[ Назад ]
Исходное сообщение
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено opennews , 06-Янв-21 20:04 
Опубликован корректирующий выпуск Firefox 84.0.2, в котором устранена критическая уязвимость (CVE-2020-16044), которая может привести к выполнению кода злоумышленника при обработке специально оформленного блока COOKIE-ECHO в пакете SCTP (Stream Control Transmission Protocol). Уязвимость вызвана обращением к уже освобождённой обрасти памяти в обработчике COOKIE-ECHO. Детальная информация об уязвимости пока не разглашается...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54365

Содержание
Сообщения в этом обсуждении
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гимли , 06-Янв-21 20:04 
Long live, Firefox.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено VINRARUS , 07-Янв-21 00:08 
Шоб ты так жыл...
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 17:58 
> Уязвимость вызвана обращением к уже освобождённой области памяти

что, не помог раст растаманам?

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 08-Янв-21 04:03 
Да их уже уволили, они 10 лет "помогали" - но двигло релизнуть так и не смогли. За 10 лет, Карл!
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 08-Янв-21 23:06 
> Да их уже уволили, они 10 лет "помогали" - но двигло релизнуть так и не смогли. За 10 лет, Карл!

Ох уж эти эксперды оупеннета!
https://mail.mozilla.org/pipermail/rust-dev/2012-January/001...
> [rust-dev] The Rust compiler 0.1 is unleashed
>

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гэндальф , 06-Янв-21 20:06 
Всегда использовал альт и стрелку назад.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гэндальф , 06-Янв-21 20:07 
То бишь влево, ну вы поняли.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:07 
а чо боковые кнопки мыши совест не пазваляет юзати !?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гэндальф , 06-Янв-21 20:09 
Ты о чём? У меня мышка то с колёсиком ещё.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:32 
А у меня уже с шариком
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гэндальф , 06-Янв-21 20:45 
То бишь с шариком, ну вы поняли.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 10:00 
Не оптическая? Тогда ещё, а не уже.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено arthi747 , 07-Янв-21 18:13 
Манипулятор типа "мышь".
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Рмшъ , 08-Янв-21 05:18 
Не у всех они так настроены
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:06 
i love Firefox !
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:10 
Заметил такую проблему: в фф вместо курсора дерьмо собачье. Во всех других программах всё в порядке. Как починить?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:11 
Пересесть на Chromium ;-)
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гимли , 06-Янв-21 20:12 
Типичный дельный совет на опеннет...
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 18:30 
Типичный. Потому, как правильный.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:13 
Удали фф
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Гимли , 06-Янв-21 20:15 
Ещё один...
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Alladin , 06-Янв-21 20:18 
Какое у вас De? не Gtk? Может проблема в корявой настройке gtk или отсутствие настройки?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:25 
KDE5-Xorg, в других программах всё в полном порядке. В том числе с гтк3. Сейчас специально проверил, с гтк2 тоже всё в порядке.

Пользуясь случаем, можно ли прикрутить к ФФ нормальные файловые диалоги из кде. Без гномовых порталов и прочего -- они часть флатпака. Вот по примеру хромиума, можно дёргать kdialog и всё прекрасно. Заодно затирания буфер выделения починится (это в фф вообще регулярно ломается много лет).

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:35 
> Пользуясь случаем, можно ли прикрутить к ФФ нормальные файловые диалоги из кде.

СуСе петчит лису для такого. Искать по кейвордам firefox, suse, kde.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:46 
>> Пользуясь случаем, можно ли прикрутить к ФФ нормальные файловые диалоги из кде.
> СуСе петчит лису для такого. Искать по кейвордам firefox, suse, kde.

Достаточно будет применить этот файл? Откуда его лучше скачать? Кстати не нашёл как его скачать на этом сайте https://build.opensuse.org/package/view_file/mozilla:Factory...

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено НяшМяш , 07-Янв-21 01:26 
Ещё можно готовые сборки скачать https://software.opensuse.org//download.html?project=mozilla...
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Ilya Indigo , 07-Янв-21 07:30 
ХЗ, у меня в openSUSE как в KDE4 настроено, такой курсор и отображает.
Тема в Firefox только стандартная, остальные отключены.
Может дело в теме Firefox?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 10:45 
Нефиг ставить из флатпака.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 14:30 
> Нефиг ставить из флатпака.

У меня собрано из исходников. Я не могу использовать браузеры, собранные шлангом. По техническим причинам. Лучше ответьте на поставленный вопрос.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Стас Михайлов , 08-Янв-21 21:42 
А у меня другая проблема - отсутствует поддержка ALSA и из-за этого нет звука. (пы.сы. - опеннет всегда читаю с виндузятни пушо игори)
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 08-Янв-21 21:54 
Компилируй из исходников, либо бери из дистрибутива где это сделали за тебя. С alsa прекрасно работает всё. Или попробуй apulse, он тоже обычно работает, у меня ещё не было такого чтобы не работало.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Стас Михайлов , 08-Янв-21 23:06 
Спасибо, apulse попробую. А из исходников - толку? Они же её поддержку вроде совсем выпилили.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 08-Янв-21 23:32 
Там надо только отключить пульсу и передать --enable-alsa конфигурационному скрипту, в исходниках всё осталось. Не проверял работоспособность webrtc, в остальном совершенно никаких проблем.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:17 
>The Stream Control Transmission Protocol (SCTP) is a computer networking communications protocol in the Transport Layer of the Internet Protocol Suite. Originally intended for Signaling System 7 (SS7) message transport in telecommunication, the protocol provides the message-oriented feature of the User Datagram Protocol (UDP)

Какое отношение это имеет к вебу?

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Alladin , 06-Янв-21 20:19 
Прямое
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 09:44 
А какие вебсервера могут через SCTP контент отдавать?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:19 
Ага, это дерьмо - часть WebRTC. Ну-ну. media.peerconnection.enabled false.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:20 
Зачем стирать введённое на текущей странице, при переходе к предыдущей странице. Не надо так делать никогда. Жава-скриптоиды. :)))

Вот тут надо фиксить. А не костылить выпиливанием backspace.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:50 
Не, нафига какие-то там фиксы-шмиксы и прочие полумеры? Костыли проверены годами!
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 21:17 
А при чём тут жабаскриптоиды? Это фуррифокс так работает. В старой Опере с этим проблем не было, а вот движитель всего опенсорса так и не смог. Не нужно им это. А теперь почему-то "ой".
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено НяшМяш , 07-Янв-21 01:27 
В старой Опере все сайты ещё были старые, статичные. И когда делаешь назад-вперёд, то в кеше сохраняется всё набраное. А новые модные сайты все сейчас на жеесе и назад-вперёд вызывает очистку из-за инициализации этого самого жееса. В фурифоксе, например, на статичном опеннете как сохраняло набраные посты, так сохраняет и сейчас (только что проверил).
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 17:58 
Нифига. Вот на этом же опеннете набирают рандомные буквы и жму назад-вперёд — всё улетучивается, причём на опеннете у меня даже скрипты выключены.

А в Опере сохранялся весь стейт и никакого перезапуска скриптов не было. С точки зрения страницы практически ничего не происходило.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 18:37 
> Нифига. Вот на этом же опеннете набирают рандомные буквы и жму назад-вперёд
> — всё улетучивается, причём на опеннете у меня даже скрипты выключены.

Исключительно трудности анонима. УМВР. ESR 78.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 08-Янв-21 23:34 
Это скорее всего из-за безопасного user.js не работает, он отключает запоминание форм и кеширование.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 21:26 
Эоо бесило 15 лет назад, бесит и чичас.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:40 
Менеджер паролей, что это вообще такое? Неужели кто-то доверяет свои пароли вечно дырявой Мозилле?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено VINRARUS , 07-Янв-21 00:12 
В 21 веке без манагеров никак.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено СеменСеменыч777 , 07-Янв-21 06:52 
кто заминусовал, тот очевидно доверяет.
на момент прочтения таких было четверо.
если предложить в palemoon выпилить этот код, то пошлют или нет ?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:50 
Вот вам почитать принес:
https://digdeeper.neocities.org/ghost/browsers.html
https://digdeeper.neocities.org/ghost/addons.html
https://digdeeper.neocities.org/ghost/mozilla.html
https://www.opennet.ru/opennews/art.shtml?num=53533

> Август 2020: Mozilla теперь явно прекратили уделять всякое внимание технологиям, полностью переключившись на социальные проблемы - Борьбу со смертоносным вирусом и непрекращающимся расизмом (https://blog.mozilla.org/blog/2020/08/11/changing-world-chan...). Как уже и было заметно ранее, они сократили свой персонал на 250 человек, большинство из

которых были техническими специалистами, работавшими над движком браузера и его безопасностью.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 20:54 
Хех, похоже Presto была и остаётся единственным веб-обозревателем не профукивающим введённое в формы при переходе или обновлении страниц.
И умела это 10+ лет эго. Но, как часто один местный завсегдатай любит повторять - секрет сей магии видимо утерян безвозвратно (с)
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 22:18 
Ну нет, lazarus form recovery только на фф есть, толку то от престо если при падении всё равно потеряет (а престо сегфолтился). Как хреновенькая замена можно попробовать https://stephanmahieu.github.io/fhc-home/ которая в принципе тоже работает хоть и не восстанавливает самостоятельно.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 03:25 
Ты просто дебил и в этом никакого секрета магии нет. FF тоже умеет не терять введенную форму, если сайт статический html или CGI. На динамических сайтах и опера не сможет этого сделать. Даже 10+ лет эго (охереть ты хохмач-затейник какой)
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 09:17 
Этот лисоеб сорвался, несите нового
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 16:05 
Вот из лисоёб?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 08-Янв-21 11:10 
Ху из лисоёб?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 21:12 
> Детальная информация об уязвимости пока не разглашается.

Конечно не разглашаются. Сначала надо её на си переписать с раста, а то как-то опозорятся.

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Total Anonimus , 06-Янв-21 21:30 
Когда уязвимосьт именно в фоксе - можно закрыть и трезвонить , если же недоделка протокола , затрагивающая других - разглашение грозит судом . Второе очень вероятно , с учётом того что и ESR обновили .
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 10:52 
С чего бы это вдруг грозит судом? Статья какая? Обход DRM?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Total Anonimus , 07-Янв-21 13:07 
Преднамеренное раскрытие уязвимости в других продуктах . Гугл срочным обновлением хрома (за несколько дней до релиза) подтвердил всеобщность проблемы .
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 06-Янв-21 21:25 
Юзал его давно с firebird или phoenix, нипомню хто раньше из них был. Терпел все тормаза все эти годы. Уход с движка вынудил таперь сидеть на василискет изза всего 3 плагинов. Жаль но тормозила умерла, но стоит  у меня 2 -3 бравзером.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 00:07 
Rust таки не помогает?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено VINRARUS , 07-Янв-21 00:11 
Его здешние РНРшники загнобили.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено НяшМяш , 07-Янв-21 01:29 
Его там 10% всего. Если в бочку бахнуть ведро мёда, содержимое бочки не превратится в мёд.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 18:01 
А шо так мало?! На расте невозможно написать более 10% кода? Приходится 90% писать на си/асме?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено псевдонимус , 07-Янв-21 04:47 
Вебртц надо при сборке отключать просто.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено КО , 07-Янв-21 06:02 
JS отключен и поипать.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Fracta1L , 07-Янв-21 08:52 
> Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free)

Кек

"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 09:38 
Rust от дырени не спас.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено lockywolf , 07-Янв-21 10:20 
А кнопку "стоп" они не хотят починить? Чтобы таки стопала, а не элегантной декорацией из более цивилизованной эпохи.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 16:06 
Это фиаско, сэр.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 18:49 
одни д0лбAй0бы отключают Del в simple terminal, другие Backspace в Firefox. й0бнyтые нAх0й!
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 22:43 
Вот кстати да, спасибо хоть оставили возможность. Я использую pgup/pgdn для скрола, и сразу жму бэкспейс когда закончил. Ещё у меня сбоку мышки кнопки назад/вперёд, т.е. с бэкспейсом хотя бы назад я могу перейти независимо от положения руки (вперёд возвращаться не так часто приходится).
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 22:44 
Ещё стрелки для плавного скрола.
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено еврей , 07-Янв-21 21:34 
Под Windows обновление появилось сразу. Под Linux... вот жду уже вторые сутки, пока маинтейнер соблаговолит собрать новый пакет. Затем наверняка уйдёт ещё несколько дней на тестирование. Зато свободка!
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено Аноним , 07-Янв-21 22:39 
В чём твоя проблема? Скачай с сайта бинарники для линукса, будет тебе сразу, как в венде. Особенно учитывая, что они в большинстве дистрибутивов поставляются "как есть", на сборку мейнтейнерами нужно отдельное пресональное разрешение от тромозиллы. Многие программы прекрасно живут где-нибудь в хомяке и сами себя обновляют, зачем им какие-то пакетные менеджеры?
"Обновление Firefox 84.0.2 с устранением уязвимости"
Отправлено еврей , 07-Янв-21 21:37 
> Удаление обработчика Backspace было предложено ещё 7 лет назад

Мало. Надо было ещё лет пять подождать.