IнTересности

Сегодня было выпущено очередное обновление для Firefox 3.5, закрывающее недавно обнаруженную уязвимость при обработке тега <font>.

Напомню – из-за некорректной обработки тега <font> возникало переполнение буфера и можно было выполнить произвольный код JavaScript. В качесвтве примера Milworm (тот кто нашёл уязвимость) запускал стандартный калькулятор Windows.

Чтобы закрыть уязвимость Mozilla посоветовала пользователям выполнить следующие несложные действия:

1. в новой вкладке запускаем about:config
2. устанавливаем свойство javascript.options.jit.content в false

Это отключало JavaScript-оптимизатор в движке TraceMonkey – в котором собственно и содержалась ошибка.

Теперь с выходом данного патча (Firefox 3.5.1) необходимо установить значение свойства в true.
Также новая версия браузера содержит исправления медленного запуска (slow startup), при котором Firefox-у приходилось сканировать много директорий в Windows.

Установка новой версии крайне рекомендуется. Обновиться очень просто: главное меню – «Справка» – «Проверить наличие обновлений…». Будет выдано следующее окошко:

Останется только нажать кнопку «Обновить Firefox»

Подробные сведения о Firefox 3.5.1.

Вчера (15 июня 2009 года) обновились два продукта, которыми я пользуюсь при работе над своими немногочисленными интернет-проектами: phpMyAdmin 3.2.0 – для управления базой данных MySQL и отличный ftp-клиент – FileZilla Client 3.2.5.

FileZill-ой я стал пользоваться совсем недавно – после одной из заметок на Хабре, до этого пользовался встроенным ftp-браузером в Total Commander. Однако попробовав FileZill-у сразу остался на ней. Понравился интерфейс, простота работы и т.д. – я об это уже писал. Тем более она бесплатная – а я, как это ни странно, стараюсь всё-таки легализовать всё используемое мной программное обеспечение – либо покупать лицензии, либо находить достойные opensource аналоги.

Скачать последнюю актуальную версию можно здесь.
После скачивания запускайте инсталляцию и обновляйте текущую установку (если конечно предыдущая версия у вас уже была установлена до этого) – деинсталировать предыдущую версию не нужно. Естественно все настройки сохранятся.

Единственным недостатком (пока) является отсутствие FXP – т.е. прямой передачи файлов между ftp-серверами, без транзита через компьютер пользователя, но вроде как планируется эту возможность добавить – правда не говорят когда

Кроме ftp-клиента FileZilla выпускает также и ftp сервер, но им я не пользовался.

Пару слов о phpMyAdmin – она обновилась .
Скачать phpMyAdmin 3.2.0
Подробности – что же собственно изменили. Особо кардинально ничего не поменяли – просто исправили ошибки.

Стоит отметить что я постепенно перехожу от использования phpMyAdmin на локальной машине к HeidiSQL – приложению для управления MySQL. Узнал я об этой программе в одном из обсуждений на Хабре. Мне очень понравилась, прежде всего, скорость работы HeidiSQL – очень быстро… очень!
Ну и конечно там где нельзя воспользоваться удалённым подключением к MySQL – только phpMyAdmin – другой альтернативы нет

Опубликовано очередное обновление браузера Firefox – FireFox 3.0.11. Релиз исправляет некоторые ошибки в безопасности браузера и улучшает его стабильность.

Были исправлены некоторые критические ошибки.

• MFSA 2009-32 повышение привилегий в системе при работе JavaScript
• MFSA 2009-31 обход проверок на содержимое в XUL скриптах
• MFSA 2009-30 некорректная загрузка ресурсов через адресную строку
• MFSA 2009-29 выполнение произвольного кода при использовании обработчиков событий элемента, у которого документ-владелец установлен в null
• MFSA 2009-28 повышение требований при доступе к приватным данным объекта NPObject
• MFSA 2009-27 подделка SSL доступа через не-200 ответы на запросы CONNECT к прокси-серверу
• MFSA 2009-26 доступ к произвольным кукам из ресурсов, загруженных через file:
• MFSA 2009-25 URL-спуфинг с использованием некорректных unicode-символов
• MFSA 2009-24 Краш браузера из-за ошибок памяти (rv:1.9.0.11) – и опять всё те же проблемы с JavaScript. Похоже что данные ошибки будут наконец-то исправлены только с внедрением нового движка JavaScript

Стоит отметить что поддержка Firefox 2.x прекращена полностью, во всяком случае это обновление не продублировано для более старой ветки, как это делалось до сих пор.

Скачать новую версию можно через сайт getfirefox.com. Для постоянных пользователей обновление закачается само – просто придёт уведомление что браузер нужно перезапустить, т.к. обновление установилось. Это произойдёт в течении 24-48 часов. Мне сообщение пришло примерно через 24 часа после объявления на сайте.

Ну как говорится: «Дождались! Приехали наши дорогие… наши дорогие приехали…» (с) Свадьба в Малиновке.

За предыдущие два дня (с момента выхода WordPress 2.8 RC1) сообщество всё-таки не нашло серьёзных ошибок – значит встречаем финальный релиз – WordPress 2.8 Baker.

Скачать WordPress 2.8 Baker

Релиз назван в честь Chet Baker (джазового трубача и певца).

В официальном блоге можно посмотреть видео о новых возможностях WordPress 2.8.

Основные улучшения версии 2.8:

• Ускорение работы по сравнению с предыдущми версиями за счёт усовершенствования скриптовой части.
• Просмотр и установка тем за один клик.
• Редактор тем с подсветкой синтаксиса.
• Полностью переработанный интерфейс работы с виджетами.
• Усовершенствованный API
• Новые опции на каждом экране

Исправлено более 790 ошибок и внесено более 180 исправлений в Кодекс

Работа уже ведётся над версиями 2.9 и 3.0

Я как всегда буду ждать переведённую версию от Lecactus-а

Через неделю после первого релиз-кандидата вышла финальная версия phpMyAdmin 3.1.5.

Скачать последнюю версию можно здесь.

Основной упор при выходе этой версии делался на совместимость с PHP 5.3.0RC2, ну и попутно исправили некоторые ошибки.

Кроме этого релиза, за последнюю неделю произошли ещё два события, связанные с phpMyAdmin: вышло в свет 4-е издание книги Mastering phpMyAdmin и началась номинация на лучший проект 2009 сайта sourceforge.net

Лично я прономинировал

21 апреля 2009 года в 7:08 по тихоокеанскому времени вышло очередное обновление моего любимого интернет-браузера – Firefox 3.0.9.

Исправления ошибок в безопасности:

• MFSA 2009-22 Firefox выполнял редирект по javascript: URI, содержащийся в заголовке Refresh ответа от сервера
• MFSA 2009-21 при сохранении страницы, данные POST-запроса отправлялись на неправильный сайт со страниц, содержащих фрейм
• MFSA 2009-20 Опасные поисковые плагины могли внедрять код на произвольные сайты
• MFSA 2009-19 Уязвимость через XMLHttpRequest и XPCNativeWrapper.toString – возможность выполнения произвольного кода в контексте chrome
• MFSA 2009-18 XSS-уязвимость при использовании сторонних стилей и XBL привязок
• MFSA 2009-17 Уязвимость при загрузке Adobe Flash – Flash-файл мог создавать соединения со сторонними сайтами и читать и писать файлы через Local Shared Objects на пользовательском компьютере
• MFSA 2009-16 jar: игнорирование content-disposition: заголовок документа мог отображаться в URI
• MFSA 2009-15 URL спуфинг с использованием псевдографики
• MFSA 2009-14 Краш браузера из-за ошибок памяти (rv:1.9.0.9) – всё те же проблемы с JavaScript. Похоже что данные ошибки будут наконец-то исправлены только с внедрением нового движка JavaScript

Кроме того в этой версии исправлено 67 ошибок, 23 из которых помечены как критические (в багзиле во-всяком случае).
В число исправленных ошибок вошли:

• Исправлена ошибка с потерей сохранённых кук (или кукей – как это блин по-русски во множественном числе? – cookies) (bug 470578)
• Испралена ошибка, появившаяся в Firefox 3.0.7 – не отображались вложенные изображения на популярных почтовых сервисах типа AOL и AIM. (bug 482659)
• Большие формы отправлялись очень медленно. (bug 426991)
• В некоторых случаях новое окно неправильно получало фокус. (bug 446568)

Ну и как обычно отмечается о прекращении поддержки ветки Firefox 2.0.0.x и настоятельно рекомендуется переходить на Firefox 3.
Для тех, кто уже пользуется этим браузером, придёт уведомление о новой версии в течении 24-48 часов, нужно будет просто установить обновление.

Очередное обновление php-оболочки для управления базой данных MySQL – phpMyAdmin 3.1.3.2.

Информация об этом появилась на Sourceforge.net, однако на сайте самого проекта пока ничего не написано. Будем ждать

Скачать последнюю версию можно здесь.
Информация об изменениях очень скудная:

• [security] Недостаточная фильтрация данных при генерации конфигурационного файла

И судя по всему это единственное исправление.

Что интересно – так это то, что в файле изменений есть информация об изменениях в ещё невышедших версиях 3.1.4 и 3.2.0.

Вышел новый релиз ветки PHP 5.2.х специально для платформы Windows – PHP 5.2.9-2.

Релиз фокусируется на исправлениях утечек в безопасности библиотеки OpenSSL (CVE-2009-0590, CVE-2009-0591 и CVE-2009-0789). Все подробности здесь.

Библиотека OpenSSL обновлена до версии 0.9.8k, которая содержит исправления этих утечек.

Для скачивания доступны только исполняемые файлы, т.к. исходные коды самого PHP не менялись, соответственно они отдельно не выложены – смотрите предыдущий релиз.

Всем кто использует эту библиотека в своих разработках и Windows в качестве операционной системы хостинга – крайне рекомендую.

Ну эта новость заинтересует почти 60% посетителей моего блога, а именно тех, у кого любимымы браузером является ОгнеЛис – вышло следующее обновление – FireFox 3.0.8.

Скупое официальное сообщение можно описать несколькими пунктами:

• обновления исправляет ошибки в безопасности
• бесплатно скачать последнюю версию можно с getfirefox.com
• что исправили читать в релизе
• очень рекомендуем именно этот релиз таки установить
• пользователи, у которых Firefox уже стоит, получат предложение обновится в течении 24-48 часов
• Firefox 2.0.0.x, this version is no longer supported (даже переводить не буду)

Сама страничка с объявлением о релизе подверглась некоторым косметическим доработкам. Если раньше это была просто тестовая страничка, то теперь туда добавили элементы сладкой жизни UI – всё содержимое подразделов скрывается за названиями и показывается только если нажать на ссылку. Ну что ж – мне лично нравится.

Итак – FireFox 3.0.8 исправляет две критические уязвимости:

• MFSA 2009-13 Выполение произвольного кода через элемент XUL
  
• MFSA 2009-12 Уязвимость при преобразованиях через XSL

Собственно всё.

Одновременно вышли два обновления для разных веток разработки веб-интерфейса к базе данных MySQL – phpMyAdmin 2.11.9.5 и phpMyAdmin 3.1.3.1. Оба релиза исправляют ошибки в безопасности. Пока на официальном сайте подробной информации нет, но в разделе Security на www.phpMyAdmin.net можно найти три исправления ошибок в безопасности:

• PMASA-2009-3 – Недостаточная фильтрация вывода при создании файла конфигурации.
• PMASA-2009-2 – Возможность кросс-сайтового скриптинга на странице экспорта, используя куки.
• PMASA-2009-1 – Особенность потока данных BLOB давала возможность атакующему вставлять произвольные файлы и внедрять HTTP заголовки, используя URL параметры. Ошибка признана критической.

Последние версии phpMyAdmin можно скачать на официальном сайте.