[jessie] - iceweasel <not-affected> (Only affects 38.x ESR and 39)
[wheezy] - iceweasel <not-affected> (Only affects 38.x ESR and 39)
[squeeze] - iceweasel <not-affected> (Only affects 38.x ESR and 39)

https://security-tracker.debian.org/tracker/CVE-2015-4495

Only affects 38.x ESR and 39

А вот это непонятно. Откуда инфа?

А вообще эта долбанная секретность поражает — сам эксплоит гуляет по всей Сети, а выяснить какие именно версии ФФ ему подвержены — хрен — соответствующая запись в багзилле под грифом ДСП. Самому что-ли проверять?

Мопед не мой. Debian Security Team пишут так

Ололо, я джва года ждал

https://www.mozilla.org/en-US/security/advisories/mfsa2013-99/

Нет никаких оснований не доверять дебианщикам в части их ответственности, но до версий между 31 (Джесси, еще неуязвима) и 38 (Стретч, уже уязвима) ведь им дела нет.

Так, файл PdfJs.jsm, где и был баг, судя по тому, как его исправляли, с 37-й версии по 38-ю вообще не изменялся.

Судя по всему, firefox-39.0-8.fc22.x86_64 это не firefox 39.0.3 https://lists.fedoraproject.org/pipermail/package-announce/2015-July/161717.html

Что-то в федоре не торопяться обезопасить юзеров =((

Лол, это просто дурацкий днф, после dnf clean all && dnf update firefox обнаружилась версия 39.0.3.

Почему-то меня это нисколько не удивляет. всё равно его не юзаю.

Я как бы про расширения и про sop/cors для них в целом. Ручной выбор файлов есесна должен быть как и был всегда.

Если у тебя включен нестандартный профиль для firefox, то да. Дефолтный, по крайней мере в Ubuntu позволяет слишком много, в том числе спокойно ходить и читать файлы с директории пользователя, под которым запущен Firefox. Проверить легко, достаточно открыть /home/%username%/ в адресной строке браузера. Причем, я уже не помню включает ли дефолтный профиль абстракцию private-files, или нет. Но по крайней мере в дефолтной абстракции private-files чтение ~/.ssh/ и bash_history запрещено, но конечно там нету других мест, куда тоже смотрит сплойт.

Ого! Скачивали вообще всю инфу. Недоступен только тот оказался, кто пароли в текстовом файле хранит, и после каждого выхода в инет чистится :)

спасибо

вот так дебиан

порадовал

Тебе грозит повышенная адекватность. Находясь в обществе макак с «вебом головного мозга», ты можешь чувствовать себя излишне адекватным человеком. А отсюда неизбежные стрессы и раздражения, из-за которых ты можешь сорваться и кого-нибудь побить, например.

Только этих двух строк достаточно, чтобы поставить диагноз.

содержимым /etc/passwd

А что там может быть интересного в 2015 году?

Только в том случае, если профиль для Firefox включен. В той же Ubuntu он по-дефолту отключен. Но даже если его и включить, там у него довольно лояльные настройки: про ключи ssh, gnupg можно не беспокоиться, а вот ко всяким файлам в ~/Documents, ~/.remmina, ~/.purple Firefox может спокойно обращаться.Потому профиль тоже надо допиливать руками.

У меня тоже самое было с yum, просто он записал себе fastest mirrors и по ним проверял, а обновление к этому времени прошло не по всем мирорам.

Установить Pale Moon

А разве pdf.js не загружается, когда страница содержит линк на pdf? А дальше хз — может, у них какая-то байда с парсером, поволяющая тот же js запустить.

Вот прям как жопой почуял что с файрфоксом что-то не то. Ещё после прошлого большого бага фарш-плеера, плюнул на всё, потратил выходной, и написал профиль app-armor для файрфокса (взял профиль из бубунты за основу), так чтобы он был по максимуму ограничен в доступе к файлам\папкам, и имел доступ только к одному месту в файловой системе (загрузки складировать).

Позавчера посмотрел лог аудита для файрфокса и слегка прифигел - сплошные denied на разных важных конфигах из корневого и домашнего каталога. Уж подумал, что опять фарш-плеер шалит. А сейчас вот залез на лор, и тут вот это....

А никто не в курсе, а базу сохранённых паролей в файрфоксе, куки, и др. вещи, этот скрипт похищать не мог ? Много-ли интересных вещей прямо из профиля файрфокса похитить можно ?

Что лучше поставить 39.0.3 или ESR 38.1.1 ?

icecat, iseweasel, palemoon, только не с mozilla.org ;-(

ужс(

Ну в нормальных браузерах пароли хранятся в зашифрованной связке ключей ОС (gnome keyring, apple keychain).

Фурифокс не уверен что их умеет.

а это уже вините индусов из бангалора. разогнали не только питерских, таже в канаде и сша холокост был.

Э, алё. same origin позволяет шарашить странички со своего сайта. гугл может шарашить гугл, вася.ком может шарашить васю.кома. а pdfjs с диска был. уже не должно применяться same origin.

Да, не умеет. Но не на хром-же теперь переходить ? Посмотрел содержимое профиля, сохранённые пароли хранятся в logins.json. Пароли там лежат не в чистом виде, а как-то зашифрованы. Вопрос только, где лежит ключ и как он защищён.

Ключи хранятся в key3.db

Да и не суть как оно зашифрованно, без мастер пароля это полная ерунда. Я сливаю два файлика из твоего хомяка, и сохраненные пароли легко извлеку. Есть вот firefox_passwd.py для расшифровки, если интересно.

Так сказали в итоге, что за сайт-то был? А то я пропустил. Уязвимость эксплуатировалась _через сам сайт_, а не рекламную сеть. На HN был оригинальный баг-репортер, говорил, что это был некий «a international news website operating from Russia», но не RT. Какие варианты? Спутник? Медуза? Тасс? Интерфакс? Как-то другие сайты, подходящие под описание, в голову не приходят.

вот тут выловили http://forum.nag.ru/

Да не, спасибо, расшифровывать необходимости нет.

Но вообще, такие баги очень огорчают. Если кому интересно, кстати, могу выложить свой профиль файрфокса для AppArmor. Как раз навожу сейчас в нём порядок.

передавала данные пользователей на украинский сервер.

Тут ключевое слово «на украинский сервер»....а сервер, наверно, под чутким руководством бандеровских друзей-NSA?

Выкладывай, обмажусь манами и буду курить.

Тут ключевое слово «на украинский сервер»....а сервер, наверно, под чутким руководством бандеровских друзей-NSA?

Разумеется, там на сайте ещё и зашифрованную визитку Яроша нашли.

Вот: http://pastebin.com/4MBXntew

Профиль делал под openSUSE 13.1 с Mate 1.10, на других системах, вероятно, потребуется поменять некоторые пути и возможно добавить что-то при работе файрфокса в других DE. Также, различные дополнения могут потребовать ещё каких-то изменений. Конкретно в этом примере, я сделал поддержку flashgot+wget, flashplayer через хромовскую обёртку pepperflash.

У Медузы, по крайней мере, была новость об этом. Так что, возможно, не они. Иначе бы попытались иначе подать.

Думаю, если-бы хотели скрыть, то наверное наоборот написали-бы первыми.