LINUX.ORG.RU

Firefox 37.0.1

 , , , ,


0

3

Тихо и незаметно произошло обновление стабильной версии Firefox до 37.0.1. Выпуск является корректирующим с исправлением двух серьезных уязвимостей.

Первая является критической: ошибка позволяет обойти проверку SSL сертификата в HTTPS соединениях с использованием протокола HTTP/2, что делает возможным проведение MITM атак. Злоумышленник, манипулируя заголовком Alt-Svc, задействует HTTP/2 режим шифрования без аутентификации. Для шифрования не требуется прохождение процедуры подтверждения подлинности сервера. Уязвимость устранена отключением поддержки HTTP/2 Alt-Svc.

Вторая уязвимость позволяет обойти ограничения режима Reader Mode (режим читателя). Ошибка проявляется на Android версии и в сборках для разработчиков. Также устранены ошибки, приводящие к краху браузера в определенных условиях: при некоторых сочетаниях графического оборудования и стороннего ПО.

>>> Подробности

★★★★★

Проверено: maxcom ()
Последнее исправление: Klymedy (всего исправлений: 4)

Офигеть «минорный релиз». Когда ждать в LTS-ветке?

ZenitharChampion ★★★★★
()

Да это же....
МИНОРЩИНА!!!

mittorn ★★★★★
()

манипулируя заголовком Alt-Svc, задействует HTTP/2 режим шифрования без аутентификации
Уязвимость устранена отключением поддержки HTTP/2 Alt-Svc.

Афигеть! Только придумали ххтп/2 и сразу же в него заложили бомбу

Bad_ptr ★★★★★
()
Ответ на: комментарий от Bad_ptr

Афигеть! Только придумали ххтп/2 и сразу же в него заложили бомбу

Хочешь сказать, это уязвимость протокола, а не конкретной реализации?

Legioner ★★★★★
()

Мне не нравится. Не вижу ничего полезного или важного ни в 37, ни в 37.0.1, зачем они напрягают своих пользователей стрёмными цифрами?

wakuwaku ★★★★
()
Ответ на: комментарий от wakuwaku

Не вижу ничего полезного или важного ни в 37, ни в 37.0.1

Закрытие уязвимостей. Или ты из того контингента, который отключает Windows Update сразу после установки?

anonymous
()
Ответ на: комментарий от wakuwaku

Мне не нравится. Не вижу ничего полезного или важного ни в 37, ни в 37.0.1, зачем они напрягают своих пользователей стрёмными цифрами?

Сиди на 31 и не напрягайся. Обновишься на 38 и дальше сиди. Только и там не забывай обновляться, а то рискуешь оказаться с голым задом.

mandala ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Закрытые уязвимостей в подсистемах, которые у меня и так отключены… MITM тебя не особо беспокоит, если ты живёшь в России, поскольку большинство соединений и так с MITM. А насчёт Windows Update это логично, чем разгребать все эти сотни обновлений, вычленяя вредные, ломающие что-то, и так далее. Куда эффективнее не обновлять.

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 2)
Ответ на: комментарий от Polugnom

И даже не мининовость.

Так безопасность. А в первого апреля все были заняты картинками и прощелкали коректирующий хромоног с не менее серьезными исправлениями.

mandala ★★★★★
() автор топика
Ответ на: комментарий от wakuwaku

большинство соединений и так с MITM

А еще кое кто пьет кровь младенцев по утрам и вечерам. Как ты думаешь, почему стены обратно не перекрасили?

Куда эффективнее не обновлять.

Ты лентяй просто и криворук видимо.

mandala ★★★★★
() автор топика
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Твоя правда, мне хватило поразгребать это говно пару раз, чтобы перейти на линукс. Что до сомнений насчёт MITM… Ну, не знаю, это вроде и не скрывается.

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от wakuwaku

Ну, не знаю, это вроде и не скрывается.

И ты их видишь и обычно с матерком идешь через заграницу. А тут тихо и мирно, без подтверждения подлинности.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

А еще кое кто пьет кровь младенцев по утрам и вечерам.

Вы таки хочете сказать шо они не обедают?

anonymous
()
Ответ на: комментарий от MrClon

network.http.altsvc.enabled и network.http.altsvc.oe

mandala ★★★★★
() автор топика
Ответ на: комментарий от Legioner

фиг знает) когда читал так и показалось

Bad_ptr ★★★★★
()
Ответ на: комментарий от Legioner

Ну, если бы это была ошибка реализации, а не протокола, то зачем отключать поддержку HTTP/2 Alt-Svc, а не просто фиксить баг?

Indexator ★★★
()
Ответ на: комментарий от Twissel

Вроде пару дней назад, да. Тогда нормально.

SjZ ★★★★★
()

В дебиан, вроде, уже прилетело

sehellion ★★★★★
()

HTTP/2 еще не используется толком, а уже обосрались.

Spoofing ★★★★★
()
Ответ на: комментарий от Indexator

Ну, если бы это была ошибка реализации, а не протокола, то зачем отключать поддержку HTTP/2 Alt-Svc, а не просто фиксить баг?

Возможно потому, что фиксить баг сложно и долго, а уязвимость исправлять надо как можно быстрей. Потом в спокойной обстановке пофиксят, потестируют и в следующей версии включат.

Legioner ★★★★★
()

Не понятно, зачем они выпускают мажорный релиз, а потом каждый раз фиксят критические баги в минорных релизах к этой версии?!

Все-таки привязка к графику релизов, это плохо.

awesomenickname ★★★★★
()
Ответ на: комментарий от Indexator

Отключили на всякий случай, до тех пор, пока досконально не разберуться. HTTP/2 почти не распространен, поэтому его отключение не критично.

anonymous
()

Затрахали уже со своими обновлениями... Опять кучу времени на сборку тратить...

Meyer ★★★★★
()

У меня all-in-one gestures и скрол по клику на колесо отваливается периодически, лечится рестартом. Не было печали - апдейтов накачали. Отключаю автоапдейт ибо ненужно.

erebtonge
()

Что это делает на глагне?

mittorn ★★★★★
()
Ответ на: комментарий от Legioner

Это справедливо. Но тогда лучше в описании уточка уточнять, что отключено для дальнейших разбирательств, а то звучит, как «закопали и забыли».

Indexator ★★★
()

чот браузерная индустрия стала плохо пахнуть. Постоянно ломают, а потом чинят. Походу допилив какой нить кусок сразу в продакшн?

anonymous
()
Ответ на: комментарий от Meyer

за меня компилятор и система сборки собирают

anonymous
()

К слову сказать, в этом новом фоксе плохо работает Tree Style Tabs. Дети не создаются.

Deleted
()
Ответ на: комментарий от garik_keghen

не нужна, внезапно фф прекрасно запускается от юзера. Улавливаешь?

darkenshvein ★★★★★
()

Минорщина на главной?

haku ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.