forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление Firefox 62.0.3 с устранением критических уязвимостей"
Отправлено opennews, 03-Окт-18 08:36

Опубликован (https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/) корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/). Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox 60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя.
Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента.

Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых аргуметов указатель стека может быть смещён на 8 байтов относительно ожидаемого значения. Указанную особенность можно использовать для получения информации об адресе вызванной функции, хранящемся в стеке, который, в свою очередь, может применяться для организации выхода из sandbox-окружения.
URL: https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49385

Исходное сообщение
"Обновление Firefox 62.0.3 с устранением критических уязвимостей" Отправлено opennews, 03-Окт-18 08:36
Опубликован (https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/) корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/). Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox 60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя. Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента. Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых аргуметов указатель стека может быть смещён на 8 байтов относительно ожидаемого значения. Указанную особенность можно использовать для получения информации об адресе вызванной функции, хранящемся в стеке, который, в свою очередь, может применяться для организации выхода из sandbox-окружения. URL: https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/ Новость: https://www.opennet.ru/opennews/art.shtml?num=49385

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликован (https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/) корректирующий 
> выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две 
> уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2018-24/). Не 
> связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям 
> присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки 
> Firefox  60.2.2. В своём сочетании уязвимости могут использоваться для создания 
> многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя.

> Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации 
> типов JavaScript и организовать запись и чтение в произвольные области памяти 
> процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника 
> внутри sandbox-окружения процесса обработки контента.

> Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push 
> при JIT-компиляции. При указании многобайтовых аргуметов указатель стека может быть смещён 
> на 8 байтов относительно ожидаемого значения.  Указанную особенность можно использовать 
> для получения информации об адресе вызванной функции, хранящемся в стеке, который, 
> в свою очередь, может применяться для организации выхода из sandbox-окружения.

> URL: https://www.mozilla.org/en-US/firefox/62.0.3/releasenotes/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49385

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру