IнTересности

Вышел очередной релиз браузера Firefox 3.6.9. В этом релизе исправлено 67 ошибок, включая 14 уязвимостей, 10 из которых помечены как критические.

Самостоятельно обновиться можно через главное меню: [Справка] — [Проверить наличие обновлений…]

Особо отмечается поддержка браузером метатега X-Frame-Options. Доступна она в движке Gecko начиная с версии 1.9.2.9 (Firefox 3.6.9). Эта директива предписывает браузеру не загружать страницу если она встроена в другую (через теги <frame> или <iframe>). Это может помочь предотвратить некоторые атаки по перехвату информации.

Таблица совместимости директивы X-Frame-Options:

Не прошло и трёх дней, как компания Mozilla выпустила очередное обновление браузера Firefox – версия 3.6.8.

В данной версии исправлена лишь одна критическая ошибка, которая неожиданно появилась в версии 3.6.7, хотя была найдена ещё в 3.5.11 и исправлена в последующих версиях. Ошибка связана с обработкой повисших указателей в массиве параметров плагина. Это приводило к потенциальной возможности атаки, путём внесения вредоносного кода в блоки памяти, но которые ссылались такие указатели.

Странно что по этому поводу нет никакой информации на официальных ресурсах, то ли проверяют до сих пор, то ли хотят включить в релиз ещё что-то. Хотя непонятно – мой браузер уже обновился сам, т.е. все остальные изменения должны пойти следующей версией. А возможно у них там просто выходной

Самостоятельно, не дожидаясь автоматического обновления, можно в ручном режиме через главное меню: [Справка] — [Проверить наличие обновлений…]

Компания Mozilla выпустила обновление браузера Firefox 3.6.3, которое закрывает уязвимость, найденную на этой неделе в ходе соревнования Pwn2Own. Эта акция проводилась среди хакеров и имела своей целью найти уязвимости в безопасности в последних версиях наиболее популярных браузеров.

В ходе проведения акции были найдены уязвимости для Internet Explorer, Safari и Firefox.

Найденной для Firefox уязвимости подвержена только ветка 3.6, но Mozilla планирует выпустить заплатку и для Firefox 3.5 в плановом обновлении.

Уже можно и скачать новую версию Firefox 3.6.3

Пользователи браузера могут обновиться через внутреннюю систему ([Справка] – [Проверить наличие обновлений...]; для английской версии [Help] – [Check for Updates…]) или подождать максимум 48 часов и браузер самостоятельно предложит обновить версию до 3.6.3.

Вышло очередное обновление браузера Firefox – Firefox 3.6.2, закрывающее дыру в безопасности. Именно из-за этих ошибок правительство Германии не рекомендовало своим гражданам пользоваться данным браузером. Обновление ожидалось 30 марта, но компания Mozilla оперативно исправила ошибку и выпустила релиз 22 марта.

Основные исправления в Firefox 3.6.2:

• Исправлена критическая ошибка, связанная с переполнением буфера при обработке WOFF (формат шрифта) и позволяющая выполнять удалённый (remote, а не delete) код на компьютере пользователя (см. ошибку 552216).
• Исправлены некоторые ошибки в безопасности
• Улучшена стабильность работы

Можно посмотреть полный список изменений и скачать новую версию Firefox 3.6.2

Пользователи браузера могут обновиться через внутреннюю систему ([Справка] – [Проверить наличие обновлений...]) или подождать максимум 48 часов и браузер самостоятельно предложит обновить версию до 3.6.2.

Компания Mozilla выпустила очередное обновление браузера Firefox.
В сообщении сказано об исправлении 11 ошибок: из них – 6 критических. Были исправлены: очередные ошибки в движке JavaScript, переполнение буфера при многократном конвертировании строк, некорректная обработка цветовых карт в GIF, необоснованное повышение Chrome привилегий и др.

Скачать новую версии можно на сайтеhttp://firefox.com/.

Пользователи браузера получат сообщение об обновлении в течении 24-48 часов. Мой браузер уже обновился.

Кстати по поводу 200-х закладок, о которых я писал в сообщении о предыдущей версии.
Уважаемые посетители – у вас тоже есть такая проблема. И если да – то как вы боретесь с эти явлением? Я конечно имею ввиду не просто закрытие вкладок – а проблему фильтрации информации и просмотр уже отложенных «про запас» вкладок.
Спасибо за ответы…

P.S.
Кстати близится пятилетие браузера – 9 ноября. Ждём от Mozilla каких-нибудь сюрпризов.

Из официального блога:

Вчера была обнаружена уязвимость, позволяющая, при помощи специально составленного URL, атакующему обойти проверку пользователя и запросить сброс пароля. В результате для первой учётной записи без ключа в базе данных (обычно это учётная запись администратора) сбрасывался пароль. Новый пароль отправлялся по е-мейлу, указанному в учётной записи. Это не давало удалённого доступа, но является очень досадной ошибкой.

Мы исправили эту проблему прошлой ночью и протестировали исправления и нашли некоторые другие проблемы. Версия WordPress 2.8.4, которая исправляет все известные проблемы, уже доступна для скачивания и крайне рекомендуется для всех пользователей WordPress.

Оперативненько, чего собственно и следовало ожидать.

Подвержены этому багу все версии, включая и WordPress 2.8.3.

Заключается он в следующем – на любом сайте можно сбросить административный пароль. Так во всяком случае написано в источнике, откуда собственно я об этом узнал.
Достаточно всего лишь пойти на сайте на котором установлен WordPress по следующему url:
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
при этом на почтовый адрес, указанный в учётной записи администратора (ID=1 – это важно – запомните)

А теперь что удалось выяснить мне:

• эксплойт работает… пароль сбрасывается и высылается на почту сгенерированный самим WordPress-ом;
• особенно не повезёт тем, у кого не работает отсылка писем (бывает такое) – сможете получить доступ к своему аккаунту только путём правки базы MySQL своего блога;
• а теперь самое важное – пароль сбрасывается для пользователя с наименьшим ID – если вы воспользовались ранее мудрыми советами по защите своего блога, где кроме всего прочего рекомендуется удалять административную учётную запись по-умолчанию. Хотя опять же, если вы сразу же после этого создали нового пользователя с ID=2 – то у вас проблемы!!!
• на данном блоге у меня админ-пользователь не с наименьшим ID – так что можете даже не пытаться – не повезёт Жилинскому (его пользователь имеет наименьший ID)
• даже если вы залогинились в блог как админ и в браузере зашли на http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]= – всё равно сбросится пароль пользователя с наименьшим ID

Мои рекомендации:

• срочно создаёте нового пользователя с административными правами
• меняете привилегии пользователя с наименьшим ID (по-умолчанию это admin) на «Подписчик» или удаляете его. Только если будете удалять – не забудьте переназначить все его записи и комментарии на нового админа. Да и если у вас всего два пользователя в блоге – не удаляйте с наименьшим ID – иначе вы ничего не исправите.
• не забывайте делать регулярные бекапы.

Ну и конечно будем ждать обновления от команды WordPress.

Update:
Оказывается решение проблемы уже давно есть.
Находим в файле wp-login.php 190-ю строку if ( empty( $key ) ) и меняем её на if ( empty( $key ) || is_array( $key ) )