Firefox 3.5 obsahuje kritickou chybu

16. 7. 2009

10 nových názorů

Mozilla Corporation upozornila, že nový Firefox 3.5 obsahuje kritickou chybu, která může být zneužita pouhým navštívením záškodnického webu. Problém tkví v Just-in-time (JIT) JavaScript compileru. Dočasným řešením je přejít na konfigurační obrazovku about:config a tam přepnout javascript.options.jit.content na hodnotu false. Zmíněnou kritickou chybu každopádně opraví nový Firefox 3.5.1, který by mohl vyjít ještě do konce tohoto týdne. Podle dřívějších informací by měl vyřešit i problém s pomalými starty prohlížeče při příliš velkém obsahu vyrovnávací paměti. (Mozilla Security Blog)

(Zdroj Lupa.cz)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

16. 7. 2009 22:51

JP (neregistrovaný)

s/chybou/chybu/ v titulku
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 9:20

Kamil Pošvic

Opraveno, díky.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 7. 2009 22:59

xurpha (neregistrovaný)

že kompilování JS přinese s sebou bezpečnostní díry :-(((
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
16. 7. 2009 23:07

povinná (neregistrovaný)

Neni o nic větší důvod, proč by kompilovaný JS měl být děravý, než v případě třeba Javy nebo C#. Ale budou si to muset fixnout. ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 8:34

Ondra Nekola

Zlatý podporovatel
Jsou dva duvody, ktere mne napadaji

kompilace JS je novinka, bude dost detskych nemoci

striktne a staticky typovane jazyky jsou omezenejsi (v dobrem i zlem)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 11:27

povinná (neregistrovaný)

Přijde mi, že kromě absence děr v knihovně s interpretem/JITem/VM/whatever je nejdůležitější mít možnost omezit spotřebu strojového času (Firefox už de facto umí) a paměti (to jsem zatím snad nikde neviděl), a zajistit, aby javascriptí heap nebylo možné spouštět (protože to se dá potenciálně zneužít i jinak než chybou v implementaci JavaScriptu). Ale jaké výhody nabídne statické typování pro bezpečnost klienta, to mě nenapadá. V nejhorším případě by skript na stránce měl selhat a zmařit tak autorovy kreativní plány, ať už zamýšlel cokoli (validace polí? animace? raytracer? :o)), ale zajistit tím bezpečnost? (Samozřejmě předpokládám, že exponovaná API nedovolují exploitaci.)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 9:17

xurpcha (neregistrovaný)

To vskutu neni… kdyz se to udela dobre, o cemz jsem prave pochyboval…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 0:31

limit_false (neregistrovaný)

Velmi casto bezpecnostni chyby prohlizecu vyzaduji aktivni javascript (typicky kvuli heap spraying). NoScript nebo ekvivalent je proto temer podminkou (vcetne NX bitu pro stack a heap a/nebo neco jako grsecurity).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 6:56

funtomi (neregistrovaný)

uz vysiel 16.7.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
17. 7. 2009 6:57

funtomi (neregistrovaný)

ftp://ftp.mozilla.org/…eases/3.5.1/
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Kamil Pošvic

Témata:

Firefox