LINUX.ORG.RU

Удалённое выполнение кода в Firefox

 , ,


1

4

В браузере Firefox обнаружена уязвимость CVE-2019-11707, по некоторым данным позволяющая атакующему с помощью JavaScript удалённо выполнить произвольный код. Mozilla заявляет, что уязвимость уже эксплуатируется злоумышленниками.

Проблема кроется в реализации метода Array.pop. Подробности пока не раскрыты.

Уязвимость исправлена в Firefox 67.0.3 и Firefox ESR 60.7.1. Исходя из этого, можно с уверенностью утверждать, что уязвимы все версии Firefox 60.x (вполне вероятно, что и более ранние тоже; если речь идёт об Array.prototype.pop(), то он реализован, начиная с самой первой версии Firefox).

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 4)
Ответ на: комментарий от anonymous

Что же они своим подопечным ublock/adblock не ставят?

Потому что для использования блокировщиков необходимо иметь хотя бы минимальный скилл. Никому не нужно чтобы хомячок потом звонил и ныл что у него какое-то_говно.ком не работает.

Grzegorz
()
Ответ на: комментарий от anonymous

Сайты собирают, да. И браузер, если разрешишь.

Или тебе не повезло и ты попал в N% неудачников, на которых тормозилла тестирует свои экскперименты.

Grzegorz
()
Ответ на: комментарий от Grzegorz

Ну я рискнул и поставил одной знакомой - не жалуется. Может быть хватило ума отключать, когда сайты просят, там вроде инструкцию даже показывают.

anonymous
()
Ответ на: комментарий от Grzegorz

Это все отключается элементарно в лисе (у меня даже аддоны не отвалились, когда все стонали). В хромобраузерах отключается на порядок сложнее.

anonymous
()
Ответ на: комментарий от Grzegorz

При обновлении в пределах ESR? И да, обновления не нужны. У меня полно старых браузеров, все норм. В том числе некоторые вместо тора.

anonymous
()
Ответ на: комментарий от Grzegorz

И прекрасно само включается обратно при обновлении.

Нетрудно записать нужные значения в user.js, чтобы они восстанавливались при каждом запуске. Правда это не поможет в случае, когда настройку переименовывают, но на этот случай можно заранее перед обновлением посмотреть, что удалили и что добавили.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 1)
Ответ на: комментарий от MozillaFirefox

Вы так поощряете поведение «сброс настроек, после очередного обновления», вы в курсе?

anonymous
()
Ответ на: комментарий от anonymous

Я поощряю пользователя решить проблему, которая его беспокоит. Несмотря на то, что я даже сходу не помню, когда в последний раз настройки сбрасывались (а я отслеживаю изменения настроек в каждом релизе). Это весьма надуманная проблема.

Вот сценарий, когда настройку удаляют в пользу другой - иногда бывает (например, так поступили с настройкой, которая позволяла из адресной строки копировать нормальный урлы, а не закодированные). Но от этого user.js не поможет.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 4)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.