В браузере Mozilla Firefox нашелся баг...

> Опенсорс как всегда рулит, быстро пофиксили.

Причём в выходные дни!

> Причём в выходные дни!

Теперь осталось дождаться когда проснется бюрократическая верхушка и это все дело официально проанонсирует :) Потому как сейчас об ошибке знают только пользователи ЛОРа. И разработчики.

> А мне до п. ) Я жаву всегда и везде отрубаю.

Ещё одному дятлу ни один добрый дядя вовремя не объяснил разницу между java и javascript?

А прикольно они ему на багзилле ответили:

Thank you very much for reporting this here and setting the security flag.
Because this flaw was posted publicly we happened to get multiple reports, but
normally that would not be the case and we appreciate your effort to let us know.

Что я бы перевёл следующим образом:
---
Спасибо, что сообщил нам и поставил security флаг. Какая-то падла запостила это на LOR, так что теперь
все знают об уязвимости, и нас этими репортами уже
завалили по уши. Но обычно так так не происходит,
обычно сначала нам сообщают и ждут фикса. А тут
какой-то хрен взял да и запостил на LOR... Так что
спасибо, что передал нам эту информацию, которую
ты, как и все остальные ламеры, разумеется просто
взял с LOR.
---

Такой вот вольный перевод. Думаю, я сумел точно
передать смысловой контекст их сообщения:)
Одним словом, приза не будет. ИМХО из этого
ответа это очевидно. Теперь никто не докажет,
что именно он нашёл этот глюк, а не просто взял
его с LOR. А жаль...

Это было первое сообщение на багзилле, да и запостивший, сослался на свой сайт на котором и сообщил об этом первым. Кроме того, там сказано что "мы ожидаем заявления", а не то что они уже завалены ими.

Хотя лучше было бы действительно сначала сообщить в bugzill'у и только после фикса на свой сайт и на ЛОР. Надеюсь, всё-таки что ($500 - налоги) Mons получит.

это шутка или баг есть? если есть - где взять патч или новый релиз?

>это шутка или баг есть? если есть - где взять патч или новый релиз?

На колу мочало, начинай сначала. Можно б было хотя б последних несколько постингов перечитать.

Я отключил java/javascript, и все стало ОК. 8)

А где русский обновленный релиз взять???

Все, я уже нашел. просто тема с ночи быстро разрослась, а у меня похмелье.

все мы люди

> это шутка или баг есть? если есть - где взять патч или новый релиз?

Эх, придётся тебе читать весь тред... Ну, или хотя бы вторую его половину.

> Я отключил java/javascript, и все стало ОК. 8)

А есть ещё более кардинальное решение - telnet вместо мозиллы :)

GET /firefox-bug/index.html HTTP/1.1 ... :)

Статистика с http://cubic.xfo.org.ru/index.cgi?read=53004

grep "wanna something say" q | grep -c "Firefox/1\.0 "
276

grep "wanna something say" q | grep -c "Firefox/1\.0\.1"
291

grep "wanna something say" q | grep -c "Firefox/1\.0\.2"
674

кстати, среди жертв замечен "So... I think Firefox/1.0.2 wanna something say to us... [6] -- User of Firefox/1.0.2 «muzzle.kaspersky-labs.com» -- «19:09:38 01.04.2005»"

Вот нет чтобы сказать что это была шутка, и первое апреля уже кончилось...

> Конечно. Я уже обновился. Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.7) Gecko/20050401 Firefox/1.0.3

Night builds == release-quality builds?

Это что-то новенькое :)

Если под Offtopic - ждите, если под Linux - сделайте сами. Если не знаете как сделать - ждите или спросите.

> Вот нет чтобы сказать что это была шутка,

Для тех кто не вылез из танка, почитай хотя бы bugzilla. Номера здесь приводили и новый bug-fix для firefox и Mozzila к этой "шутке". Ссылки ищи в этом треде.

Ваабщето пивом должны LOR-овцы Mons-a угощаять. Ибо бескорыстно баг опубликован, и LOR-овцы благодаря энтому первые фишку секут :)

Не, Slack, это и правда не шутка.. я тока что на братов комп поставил 1.0.3, но это для офтопы. В треде и нашел ссылку на фтпю мозиловскую)

Плохо, что пиво нельзя послать uucode. Время от времени я испытываю от этого определенный дискомфорт ...

Почему тогда исходник скрипта лежит в jokes/?

>Почему тогда исходник скрипта лежит в jokes/?

Потому что редкий фидошн^H^H^H^H^H^H лоровец дочитает топик до середины, прежде, чем начнёт отвечать...

Приятно было обновиться и убедится , что глюк убран И вообще быстро всё и путёво - НО почему-то файрвол засёк что ко мне с сайта ..cubic.. хто-то стал ломиться. Пора задуматься.

> Night builds == release-quality builds? Это что-то новенькое :)

Да, это стабильная сборка из latest-aviary1.0.1, говоря простым языком -- 1.0.2 с пофиксенным багом.

Нестабильные -- это trunk (1.0+)

> Это было первое сообщение на багзилле,
И тем не менее оно могло быть создано LORовцем.

> да и запостивший, сослался на свой сайт на котором
> и сообщил об этом первым.
Доказательств тому не существует. Где появился
раньше - на лоре или на сайте, и на свой ли он
сайт ссылался, и тд - всё это они уже не будут
выяснять. Мне кажется, именно это они и пытались
сказать между строк. И ещё пытались сказать, что
делать так не следовало, и что в принципе такой
расклад им не очень нравится. Возможно я ошибаюсь,
посмотрим.

> Кроме того, там сказано что "мы ожидаем заявления",
> а не то что они уже завалены ими.
А вот это не правда. Перечитайте ещё раз.
we happened to get multiple reports, сказано там.

> Надеюсь, всё-таки что ($500 - налоги) Mons получит.
Ставлю $500 что не получит нифига:) Не, ну серьёзно.
В такой обстановке ведь уже ничего не доказать
и концов не сыскать. Отдал в публичный доступ -
всё, молодец, упустил своё счастье.

Нужно Mons хотя бы на коньяк скинуться :) А то люди в следующий раз, информацию будут утаивать от ЛОРа, а это не соответствует "Открытой" идеалогии.

> А то люди в следующий раз, информацию будут утаивать
> от ЛОРа, а это не соответствует "Открытой" идеалогии.
В принципе, как я понимаю, по крайней мере в LKML
решили, что давать вендорам пару дней на выпуск
апдейтов, и не публиковать в течении этого времени
инфу об уязвимости, всё же не противоречит идеологии.

> Доказательств тому не существует. Где появился раньше - на лоре или на сайте, и на свой ли он сайт ссылался, и тд - всё это они уже не будут выяснять. Мне кажется, именно это они и пытались сказать между строк. И ещё пытались сказать, что делать так не следовало, и что в принципе такой расклад им не очень нравится. Возможно я ошибаюсь, посмотрим.

Не народ, я с вашей тупости фигею...

Просто прикидываем время:
Пост на cubic'e:
14:14:25 01.04.2005 - Azafran - это мой AltName
01.04.05 14:29 Mons - пост на багтрек. причем багтрек ссылается на кубик
Пост на bugzilla - 14:35:59. ссылка на кубик.

А вот на лор запощено 16:40:42

> Не народ, я с вашей тупости фигею...
Ну мля, а ведь я на тебя не наезжал...

> Просто прикидываем время:
> Пост на cubic'e:
Я же сказал, *они* не будут в этом всём разбираться,
и это практически в явном виде там написано (ну почти).
Они не будут смотреть кто куда когда что написал,
у кого какой AltName, и всю остальную хрень. Ну тупи.
Не видать тебе премиальных, сорри.

> А вот на лор запощено 16:40:42
И вообще, можно было догадаться, что про ЛОР я
говорил в переносном смысле. Он не упоминается
в их письме, они понятия о ЛОРе не имеют. Они
только знают, что сведения были где-то опубликованы.
Ты им сам будешь рассказывать про ЛОР и про то, что
это не было опубликовано где-то раньше, чем на
лоре и на cubic, умник?

блин мозилла 1.7.5 работает, куски есть других страниц =(

На Мозилла-1.7.6 работает тоже.

А где же ирся и электрик ???

Да уж.. Быстро они! Молодцы! Я, честно говоря, удивлен! Не ожидал такой скорости...

>Думаю, что большенство пользователей НЕ OffTopic сделали тоже самое.

Я нет... Не так много сайтов я посещаю, да и пока еще мало кто знает даже об этой уязвимости, не говоря уже о том, чтобы использовать ее и использовать во вред мне.

>А Вот своим юзерам, которые сидят под OffTopic, я в понедельник интернет, по всей видимости, обрежу.

Жестоко

>Такой вот вольный перевод.

Очень уж вольный :))) LOL

Скачните последний билд с http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-trunk/ и будет not vulnerable ;)

немного не так, лучше билд 1.03 из папки http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1

А почему используется слово "aviary"? Есть логическое объяснение?

> А почему используется слово "aviary"? Есть логическое объяснение?

Конечно - aviary - птичник, а в этом птичнике обитают огненная лиса и громоптица :) (правда есть подозрения, что название возникло когда огненная лиса называлась огненной птицей). Этим названием называют ветку FireFox+Thunderbird в отличии от "морской обезьяны".

> Конечно - aviary - птичник, а в этом птичнике обитают огненная лиса и громоптица :) (правда есть подозрения, что название возникло когда огненная лиса называлась огненной птицей). Этим названием называют ветку FireFox+Thunderbird в отличии от "морской обезьяны".

Скорее лучше как "вольер". Ибо и лиса и грозовая птица могут жить в вольере :)

Уточняю ссылку ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1-l10n/

но это ветка для тестирования

Прочел на forum.mozilla.ru, что для win-версии Mozilla 1.7.3 имеется решение: в каталог Mozilla 1.7.3 "подкидывается" js3250.dll и вуаля - баг пофиксен. Может, и в Linux можно какую-нибудь там *.so-шку использовать от FF ?

> Прочел на forum.mozilla.ru, что для win-версии Mozilla 1.7.3 имеется решение: в каталог Mozilla 1.7.3 "подкидывается" js3250.dll и вуаля - баг пофиксен. Может, и в Linux можно какую-нибудь там *.so-шку использовать от FF ?

Ну что тебе сказать... Лично я просто наложил упомянутый патч и пересобрал (я мозиллу сам для себя собираю, как мне нравится). Изменения в конечном счёте происходят в файле libmozjs.so. Я не держу ff для linux, поэтому не могу тебе сказать, есть ли там такой файл и что куда копировать.

А где взять патч, на сорцы Mozilla 1.7.6?

Теперь точно денег не дадут :( http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/

> А где взять патч, на сорцы Mozilla 1.7.6?

Блин, господа, ну уже пальцем лень пошевелить? Там пара строк-то всего меняется, выше было упоминание про патч для ff.... Для мозиллы только номера строк другие, остальное остаётся.

Ну, или говори мыло, закину. А то здесь не влезает полностью в сообщение.

> Теперь точно денег не дадут :( http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/

Как же не дадут: "Credits. The test is based on PoC by Azafran." (а на кубике сообщение монса подписанно как "Posted By: Azafran").

Хорошо бы, чтоб дали ему награду.

Кстати, на secunia по-поводу этой версии можно прочесть и об уязвимости Netscape 6-ой и 7-ой версии.

Хорошую уязвимость Mons раскопал :) Ей подвержены все версии Mozilla, все версии FireFox, а также Netscape, начиная с шестой.

> Блин, господа, ну уже пальцем лень пошевелить? Там пара строк-то всего меняется, выше было упоминание про патч для ff.... Для мозиллы только номера строк другие, остальное остаётся. Ну, или говори мыло, закину. А то здесь не влезает полностью в сообщение.

saturas at mail dot ru

Пришли пожалуйста