форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
Сообщение от opennews (??) on 19-Июл-09, 21:51
В Firefox 3.5 обнаружен (http://www.securityfocus.com/bid/35707) способ инициирования переполнения буфера, что позволяет злоумышленнику организовать выполнение кода в контексте локального пользователя при открытии специально подготовленной страницы, содержащей JavaScript вставку, генерирующую излишне большую Unicode строку для вывода через метод document.write(). В сети уже опубликован простейший эксплоит (http://downloads.securityfocus.com/vulnerabilities/exploits/...) с демонстрацией принципа действия. Новая версия браузера с исправлением проблемы пока не выпущена, единственный метод защиты - отключение JavaScript. Уязвимости присвоена (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2479) критическая категория опасности. URL: http://www.h-online.com/open/Buffer-overflow-in-Firefox-3-5-... Новость: https://www.opennet.ru/opennews/art.shtml?num=22659
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

8. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
Сообщение от iZEN (ok) on 19-Июл-09, 22:40
>В Firefox 3.5 обнаружен (http://www.securityfocus.com/bid/35707) способ инициирования переполнения буфера, что позволяет злоумышленнику Опять детские проблемы C++. Всё никак не повзрослеет. Страуструпп хорошую мину подложил, внезапнодолгодействующую. Работает вот уже четверть века. :)) >организовать выполнение кода в контексте локального пользователя при открытии специально подготовленной >страницы, содержащей JavaScript вставку, генерирующую излишне большую Unicode строку для вывода >через метод document.write(). Угу. Длину строку проверяют полным сканированием памяти, пока не обнаружат её конец на символе "/u0000". Если не обнаружат — переполнние или сегфолт (в лучшем случае). Ж)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		–1 +/–
	Сообщение от Lindemidux (??) on 19-Июл-09, 22:52
	>[оверквотинг удален] >Опять детские проблемы C++. Всё никак не повзрослеет. Страуструпп хорошую мину подложил, >внезапнодолгодействующую. Работает вот уже четверть века. :)) > >>организовать выполнение кода в контексте локального пользователя при открытии специально подготовленной >>страницы, содержащей JavaScript вставку, генерирующую излишне большую Unicode строку для вывода >>через метод document.write(). > >Угу. Длину строку проверяют полным сканированием памяти, пока не обнаружат её конец >на символе "/u0000". Если не обнаружат — переполнние или сегфолт (в >лучшем случае). Ж) Не проще использовать C + Python?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+1 +/–
	Сообщение от vitek (??) on 19-Июл-09, 23:28
	не. это он на жабу намекал. типа в ней ни дырок, ни уязвимостей никогда не было. ну и быстрее она по-любому... а вообще, "хорошим" программистам, как и танцорам, всегда что-то мешает. в общем, жду реализацию фф на жабе.... или хотя бы ие на дотнете... :-D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	45. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+5 +/–
	Сообщение от Karbofos (??) on 20-Июл-09, 07:10
	тише, тише! сейчас ещё мегакрутые vb кодеры из могил повылазают...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	87. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Zenitur on 21-Июл-09, 04:31
	Скорее повстают яваненавистники и будут делиться своим эстетическим восприятием того, как ява тормозит... О практике, конечно же, не будет и намёка. Вы что, кроме Явы и си языков не знаете?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	90. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Karbofos (??) on 21-Июл-09, 11:33
	да как практика говорит о том, что ява тормозит. буквально на прошлой неделе получил задание переписать одну программку с явы на Qt4 из-за хронической тормознутости первой и некоторых несовместимостей jre 1.4.2 с последующими версиями. вот где танцы с бубном. и не надо кричать о том, что на сегодняшний день всё с явой радикально лучше. это я уже много раз слышал. от теоретиков и троллей. ну а знаю я немного больше, чем ты перечислил. в том числе порой приходится разбирать извраты на vb, java.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	99. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от iZEN (ok) on 21-Июл-09, 21:35
	>да как практика говорит о том, что ява тормозит. буквально на прошлой >неделе получил задание переписать одну программку с явы на Qt4 Всю жизнь думал, что Qt -- это библиотека виджетов (тулкит), написанная на C++. Сейчас мне дают понять, что Qt -- это язык и платформа программирования. :D >из-за хронической тормознутости первой и некоторых несовместимостей jre 1.4.2 с последующими версиями. В каком году в последний раз Java-приложения запускал? SweetHome3D тормозит на твоём Pеntium-133 с 32МБ ОЗУ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	101. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Karbofos (??) on 21-Июл-09, 23:15
	это с++. а ты не в курсях? бедняжка... представляй жедаемое за действиьельное. не в первый раз. нах иди.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	60. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Warhead Wardick on 20-Июл-09, 18:56
	>в общем, жду реализацию фф на жабе.... или хотя бы ие на дотнете... :-D Ну разве что на "чиста поржать" ... :) Ява - она для всякой бизнес-логики на сервере, там оно вполне себе ничего.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	65. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		–1 +/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:09
	>Ява - она для всякой бизнес-логики на сервере, там оно вполне себе >ничего. А там все просто, бизнесу надо чтоб было все еще вчера.А то что тормозно - не беда, они богатые и серверов докупить - явно в состоянии.Проблема только одна - для тех кто пишет браузеры такой подход мягко говоря не катит.А при текущей рубке за скорость работы - это гарантированный слив своей доли рынка конкурентам.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	81. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Karbofos (??) on 20-Июл-09, 21:34
	кстати, сильно быстрее писать программы все равно не будет выходить. видел извращения написанные для работы со строками, во избежание тормозов при обработке достаточно большой базы данных. это пипец. код получается таким "раздутым"... O_o
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	117. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 26-Июл-09, 12:31
	>кстати, сильно быстрее писать программы все равно не будет выходить. Более того - придется или сэкономить на отладке и процессах qa или отдать клиенту полное дерьмо. Те кто любит по быстрому капустки рубануть с бизнесменов любой ценой, предпочитают именно этот вариант. Благо бизнесмены нули в плане качества ПО и если оно как-то ползает - их устраивает, им главное чтоб было немедленно.А серверов можно и докупить накрайняк. Проблема у таких гавриков в итоге только одна - их софт оказывается нифига не востребован на десктопах.Наверное одна из причин того что на десктопах ява приложений почти не встречается, в отличие от бизнес-логики.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	100. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от iZEN (ok) on 21-Июл-09, 21:37
	>>в общем, жду реализацию фф на жабе.... или хотя бы ие на дотнете... :-D > >Ну разве что на "чиста поржать" ... :) Код Netscape Navigator пятнадцатилетней давности и правда, вызывает мало смеха. Всё больше слёзы. Вкусный сладкий кактус.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	104. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 21-Июл-09, 23:43
	>Код Netscape Navigator пятнадцатилетней давности и правда, вызывает мало смеха. Всё больше >слёзы. Вкусный сладкий кактус. Напишите ваш.С блекджеком и шлюхами.Можете на яве.Или на чем там вам удобно.А мы посмотрим как у него будет со скоростью и жрачем памяти, ага.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	105. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от iZEN (ok) on 22-Июл-09, 14:02
	>>Код Netscape Navigator пятнадцатилетней давности и правда, вызывает мало смеха. Всё больше >>слёзы. Вкусный сладкий кактус. > >Напишите ваш.С блекджеком и шлюхами.Можете на яве.Или на чем там вам удобно.А >мы посмотрим как у него будет со скоростью и жрачем памяти, >ага. УЖЕ написан: http://workshop.evolutionzone.com/2007/08/30/jdic-embedding-.../
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	109. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 23-Июл-09, 23:39
	>УЖЕ написан: >http://workshop.evolutionzone.com/2007/08/30/jdic-embedding-.../ И что ж им тогда никто не пользуется?Вы, кстати, можете уже начинать использовать это поделие.А я уж лучше какнить с файрфоксом обойдусь, ага? :).А то если в FF я могу открыть нна мощной машине 400 табов, представляю себе что будет с потреблением памяти когда это вытворит байдень на яве.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	110. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от iZEN (ok) on 24-Июл-09, 00:18
	>>УЖЕ написан: >>http://workshop.evolutionzone.com/2007/08/30/jdic-embedding-.../ > >И что ж им тогда никто не пользуется?Вы, кстати, можете уже начинать >использовать это поделие.А я уж лучше какнить с файрфоксом обойдусь, ага? >:).А то если в FF я могу открыть нна мощной машине >400 табов, представляю себе что будет с потреблением памяти когда это >вытворит байдень на яве. Не, я не такой одноклассник, чтобы разом больше 20 табов открывать. Я не могу так. У меня пока что нету синдрома рассеянного внимания. Запустил вот эту штучку: http://lobobrowser.org На одной открытой страничке с этого сайта занял 130МБ. После непродолжительного сёрфинга по ссылка дошёл до 250МБ. При этом ничего не тормозит и всё открывается быстро. В NetBeans встроен простенький Web-браузер на Java. Тоже не тормозит. В Eclipse есть биндинг в libxul (или xulrunner, или firefox2 — как соберёшь и что укажешь в настройках), но это уже нативный браузер на движке Gecko. В нём уже и дырявый JavaScript поддерживается. Это так, для общего развития браузестроения.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	118. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 26-Июл-09, 12:45
	>Не, я не такой одноклассник, чтобы разом больше 20 табов открывать. Не знаю как там насчет одноклассников но вот например открыть 20 описаний похожих по смыслу чипаков в разных табах и неспешно вкуривать и их параметры периодически сравнивая их по тем или иным критериям - а почему бы и нет?При этом можно оставить еще и пару табов опеннета, нескольких форумов и прочая - чтобы не релоадить их с нуля при случае.А если есть некий матерьялец который надо б почитать но неохота прямо сейчас, можно его открыть и когда охота появится - перейти в момент в вкладку.Не грея мозг поиском урлы, не ожидая загрузки и прочая.Очень удобно.Как букмарки но в отличие от - доступные мгновенно. >Я не могу так. У меня пока что нету синдрома рассеянного внимания. А напрасно - если припахать машину помогать мозгу, можно смочь больше.Машины всегда создавались людьми для упрощения себе жизни и увеличения своих возможностей.Лично я их для этого и использую.А для вас наверное главное чтобы ваш фетиш на который вы дро^W молитесь (ява) использовался.Ну, флаг вам в руки с вашим фетишизмом.И машина не должна навешивать искусственные лимиты по возможности - ну не для этого она.Чем меньше лимитов, тем лучше. >Запустил вот эту штучку: http://lobobrowser.org >На одной открытой страничке с этого сайта занял 130МБ. Это что, считается теперь достижением?Я в "микробе" использующем геку на моей n800 с отключенным свопом могу штук 5 полновесных страниц открыть до того как памяти перестанет хватать oO.А если своп врубить то и поболее.Это при том что 128 мегов рамы там делится на всех, включая иксы, десктопное окружение и прочая.Как раз мозильская гека в виде "простой браузер".С выброшенным тормозным гуем на XUL. >После непродолжительного сёрфинга по ссылка дошёл до 250МБ. >При этом ничего не тормозит и всё открывается быстро. Что же будет если я там 100 табов открою?... >на движке Gecko. В нем поддерживается что угодно, но вот только все это не заслуга жабы, более того, дыры там все точно такие же как и везде ;) >В нём уже и дырявый JavaScript поддерживается. Это теперь достижение?Хм.У меня n800 его выполняет нормально.На уровне FF3 примерно.Карманный девайс, заметьте. >Это так, для общего развития браузестроения. А браузеростроение то развивается если вы не заметили.Ну да, без участия поделок на жабе.Ну и что?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	64. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:06
	>не. это он на жабу намекал. Да.Файрфокс на яве.Минимальные системные требования: небольшой суперкомпьютер от Сray :) >типа в ней ни дырок, ни уязвимостей никогда не было. Ага.То-то постоянно обновляют.Наверное для красоты.А вагон багов с обходом песочницы и неограниченным выполнением - это что?Безопасность, ага.Ну, сменили шило на мыло.А дыры как были так и есть.А профит где?А воттормоза и пожирание оперативки - налицо. >быстрее она по-любому... Оперативку софт на жабе жрет быстрее, факт :) >в общем, жду реализацию фф на жабе.... или хотя бы ие на дотнете... :-D Заодно начинай уже копить на Крэй ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	106. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от iZEN (ok) on 22-Июл-09, 14:42
	>>не. это он на жабу намекал. > >Да.Файрфокс на яве.Минимальные системные требования: небольшой суперкомпьютер от Сray :) В каком году ты последний раз запускал Java-приложение, сложнее Блокнота, на своём Pentium-133 с 32МБ оперативки? JEdit хотя бы видел, чтобы такую ахинею про быстродействие Java на десктопе нести?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	108. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 23-Июл-09, 23:36
	>JEdit хотя бы видел, чтобы такую ахинею про быстродействие Java на десктопе >нести? Еще скажите что в файрфоксе нечему тормозить.А что ж тогда опера, файрфокс и гугл рубаются за скорость работы как черти? Ну собственно вы можете написать ваше и на яве.А мы так и быть посмотрим во сколько раз оно по скорости сдриснет остальным, ха-ха :D.Только не забудьте сравнимый функционал :).Хтмл 5 не хотите?Ну там декодирование теоры в реалтайме например? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	111. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от iZEN (ok) on 24-Июл-09, 00:23
	>Еще скажите что в файрфоксе нечему тормозить.А что ж тогда опера, файрфокс >и гугл рубаются за скорость работы как черти? В Firefox тормозит XUL. Не буду объяснять, что это такое -- ищи сам. >Ну собственно вы >можете написать ваше и на яве.А мы так и быть посмотрим >во сколько раз оно по скорости сдриснет остальным, ха-ха :D. Да JFC/Swing поддерживает HTML3 с самого рождения (1998 год). >Только не >забудьте сравнимый функционал :).Хтмл 5 не хотите?Ну там декодирование теоры в >реалтайме например? :) Человеческих ресурсов нету, чтобы обеспечить HTML5 в Java-браузере. Хотя, вот, JavaFX УЖЕ кое-что.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	113. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от ФФФФ on 25-Июл-09, 11:45
	>В Firefox тормозит XUL. Именно поэтому он никогда быстрее Оперы по запуску и нагрузке на процессор не будет. Но он выиграет со временем, когда минимальное количество ядер на процессоре будет хотя бы 4 и он будет по ним размазываться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	114. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 26-Июл-09, 12:20
	>В Firefox тормозит XUL. Не буду объяснять, что это такое -- ищи сам. Я без ваших умничаний в курсе что такое XUL.Вот только он тормозит там где он есть.А где с процессором душняк (нокиевские n8x0 например) - гека стартует под простеньким нативным UI, как раз для ускорения XULная байда откушена.И тогда оно довольно пристойно работает на ... ARM @ 400 MHz с 128 мег оперативы на все про все в результате! Без проблем рендеря полновесные сайты. Такая вот фигня. Удачи вам так же сделать на жаве, ага. Более того - обычно нагрузка на XUL не столь уж велика (он гуем занимается а нагрузка на него небольшая, кстати, его тормоза в UI - да, анноят порой) а движок который рендерит, выполняет js и прочая у FF довольно резвый.И оно таки на сях/сях++ писано.Т.е. бОльшую часть времени тормоза XUL к счастью не ощущаются юзером на своей шкуре.Когда ощущаются - они анноят, да.И кстати юзеры если вы не заметили плюются на это дело.Думаете, они перестанут плеваться только потому что XUL заменят на Java?Черта с два. >Да JFC/Swing поддерживает HTML3 с самого рождения (1998 год). А нынче уже HTML5, XHTML и все такое.И нешуточная рубка между браузерами.И за скорость, и за поддержку стандартов.И где эти ваши браузеры на яве среди тех кто рубается?Хоть застрелите - не вижу их.Хотя если верить вам - их должен бы уже быть легион. >Человеческих ресурсов нету, чтобы обеспечить HTML5 в Java-браузере. А тут все просто - если бы это было бы кому-то надо и можно было бы достичь конкурентоспособного результата на выходе, ресурсы бы были.А на страдание фигней - да, маловато адекватных программистов хочет время тратить чисто ради того чтобы сделать абы что с абы какими параметрами но зато - непременно на жаве.Благо, большинству юзеров похрен на чем написан браузер.А не похрен на тормоза, потребление памяти, поддержку технологий, удобство, расширяемость, общее качество и отлаженность и т.п.. > Хотя, вот, JavaFX УЖЕ кое-что. Знаете, когда мне надо в банке счетом порулить или денег отправить за тридевять земель - "кое что" - не катит.При этом обычно нужен полноценный браузер с поддержкой всех актуальных стандартов веба.И у меня он есть.Даже на n800, с которой я все это могу сделать в чистом поле.Без всякой жавы, увы и ах (и слава богу, еще не хватало мне на 128 мегах оперативы и 400мгц арме ффтыкать на тормоза жава-поделий).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	71. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:38
	> Не проще использовать C + Python? Хоть брэйнфак используйте.Только если оно будет тормозить и жрать память больше чем существующие браузеры или предоставлять меньше возможностей - это будет никому кроме вас нахрен не нужно.Тут вам не бизнесхрены которым можно слабать нечто как попало, главное чтоб вчера, а серваки при нужде они, дескать, докупят.А юзеры не оценят нужду использовать тормоз ради безопасности (тем более что для хакеров заявы про безопасность - что-то типа красной тряпки :D).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+4 +/–
	Сообщение от Mike Lee on 20-Июл-09, 01:03
	> Опять детские проблемы C++. Всё никак не повзрослеет. Страуструпп хорошую мину подложил, внезапнодолгодействующую. причем тут страуструпп? проблема идет из C. то что многие программисты на Ц++ не хотят пользовацо STL, считая что они самые умные и пользуютцо strcpy и прочим наследием C это их личные половые трудности.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	61. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Warhead Wardick on 20-Июл-09, 18:58
	Гыгыгы :) То есть как только заюзаещь stl - проблемы кончаются? Ню-ню :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Iv945n (ok) on 20-Июл-09, 03:07
	>>В Firefox 3.5 обнаружен (http://www.securityfocus.com/bid/35707) способ инициирования переполнения буфера, что позволяет злоумышленнику > >Опять детские проблемы C++. Всё никак не повзрослеет. Страуструпп хорошую мину подложил, >внезапнодолгодействующую. Работает вот уже четверть века. :)) Точно подмечено. >>организовать выполнение кода в контексте локального пользователя при открытии специально подготовленной >>страницы, содержащей JavaScript вставку, генерирующую излишне большую Unicode строку Жесть. Imho по-нормальному класс, хранящий строку, не должен пропускать нечто излишне большое в присвоении.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	37. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+3 +/–
	Сообщение от vitek (??) on 20-Июл-09, 03:39
	да куда уж точнее! :-D уж и stl в стандарте лет эдак 10 минимум, и стандартная строка std::string class defined in ISO/IEC 14882 (The std::string generally protects against buffer overflow. https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowl...) и сторонних библиотек классов с реализацией стрингов дофига (может даже больше, чем хелловордов), а народ всё С с С++ путает... Страуструпп по-любому виноват. :-DDDDDDDDDDDDDDDDDDDDDDDDDDDD ладно айзену религия мешает, но остальным... не понятно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Iv945n (ok) on 20-Июл-09, 03:53
	> уж и stl в стандарте лет эдак 10 минимум, и стандартная строка std::string class defined in ISO/IEC 14882 (The std::string generally protects against buffer overflow. https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowl...) и сторонних библиотек классов с реализацией стрингов дофига (может даже больше, чем хелловордов) Так чтож они ими не пользуются?... :-( Как-то не хочется верить что оин из флагманов OpenSource ПО пишут такие нелогичные люди...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	40. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+3 +/–
	Сообщение от vitek (??) on 20-Июл-09, 04:08
	хороший вопрос. но... по закону Мёрфи - дерьмо случается. наберите например в гугле vulnerability+<любое_ПО> (туже opera например, или java, или .net,....) - увидите картину дырок, подчас тривиальных. и открытое это ПО или нет - роли не играет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	66. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:18
	>наберите например в гугле vulnerability+<любое_ПО> (туже opera например, или java, или .net,....) - увидите картину дырок, подчас тривиальных. >и открытое это ПО или нет - роли не играет. Все так.Но почему-то фанаты жабы про это вспоминать не любят.Не в обиду фанам жавы, жаву ломали со всех сторон так что дай боже.От патчинга бутлоадеров в флешках телефона через дыру в JVM (так можно вообще девайс в хлам убить до состояния "холодный труп не восстанавливаемый простыми методами") до периодических обходов песочницы.Ну поменяли шило на мыло.И что, стало лучше?Что-то не заметно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	51. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+1 +/–
	Сообщение от anonim on 20-Июл-09, 09:42
	firefox написан больней частью на С... С++ тут не причем, У С и С++ очень разные подходы к разработке, это вообще разные языки... Зачем трындеть впустую?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	58. "Сударь, вы в его исходники смотрели?"		+2 +/–
	Сообщение от Spase on 20-Июл-09, 14:55
	>firefox написан больней частью на С... Сабж. Я вот смотрел, и много, и код в проект отправлял. COM-подобный XPCOM с SafePtr и рефкаутнингом на чистом Си - СИльно. На чистом Си там на самом деле очень и очень немного. Скажем, Кнутовская реализация хэш-таблиц. А основная часть, включая яваскрипт двидок - все же Си++.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	62. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Warhead Wardick on 20-Июл-09, 19:08
	>firefox написан больней частью на С... Аха - счазз! То есть ты - элементарно не знаешь, ну И >Зачем трындеть впустую? Вот тебе балбес линк на [тупой и поверхностный, но уж какой есть] анализ кода http://www.ohloh.net/p/firefox/analyses/latest JavaScript 57% C++ 17%
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	68. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 20-Июл-09, 20:22
	C - 71.1%
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	72. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+1 +/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:40
	>C - 71.1% А 57% JS как с этим согласуются?Вы там что анализируете? Alcohol 120%? Или откуда у вас такие разницы в показаниях? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	82. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 21-Июл-09, 00:53
	>>C - 71.1% > >А 57% JS как с этим согласуются?Вы там что анализируете? Alcohol 120%? >Или откуда у вас такие разницы в показаниях? :) А я то чего, я по ссылке посмотрел, там вообще крутая математика... shell script 64.7% Objective C  0.0% JavaScript   22.6% Python     17.9% XML     2.9% HTML     11.9% Make     67.9% Perl     17.4% CSS     13.7% C++     21.6% C     71.1% Итого: 311.7%  :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	103. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 21-Июл-09, 23:40
	>Итого: 311.7%  :) Итого: файрфокс на более чем 120% состоит из make файлов и шеллскриптов?!Круто! :D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	85. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от me (??) on 21-Июл-09, 02:55
	Firefox написан на C++, смотрите код.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	88. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Zenitur on 21-Июл-09, 04:33
	>firefox написан больней частью на С... >С++ тут не причем, У С и С++ очень разные подходы к >разработке, это вообще разные языки... >Зачем трындеть впустую? Снова эстетическим восприятием неизведанного делитесь? Скачай исходник, поищи файлы *.cpp и *.c. Сравни количество и вес. Cpp перевешивает значительно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	63. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 20-Июл-09, 19:52
	> Опять детские проблемы C++. Всё никак не повзрослеет. Это в плане "перепишем файрфокс на яве - даешь тормоза не по детски"? :D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
Сообщение от Роман (??) on 19-Июл-09, 23:23
Хм. А www-client/mozilla-firefox-3.5-r3 падает. Gentoo с последними обновлениями. Выполнение команд не тестировал, но вполне возможно, что сработает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Роман (??) on 20-Июл-09, 00:16
	Проверил оперу 10. Не падает, хотя и крепко задумывается.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+1 +/–
	Сообщение от аноним on 20-Июл-09, 00:29
	>Проверил оперу 10. Не падает скрипту не хватает памяти для исполнения. выделено 400 метров
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Роман (??) on 20-Июл-09, 00:35
	Однако проверяли то лису. И она падает. Что печально.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от abbadon on 20-Июл-09, 00:41
	>Однако проверяли то лису. И она падает. Что печально. Собирали с fstack-protector(-all)? Что падает - не печально. Печально, если переполнение сработает...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от SkyRanger (ok) on 20-Июл-09, 03:09
	Угу, если падает это даже хорошо, главное чтобы не позволилиа при падении выполнить какую-нить бяку.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	47. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Роман (??) on 20-Июл-09, 07:50
	С этим флагом не все собирается. Но лису пересобрал. В консоль при крахе падает GLib-ERROR **: gmem.c:175: failed to allocate 1342177280 bytes aborting... Аварийный останов
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+5 +/–
Сообщение от Azger on 20-Июл-09, 02:31
На х86_64 не работает.  Так что дружно переходим на 64-битные ОС. ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+4 +/–
	Сообщение от Iv945n (ok) on 20-Июл-09, 03:11
	Воистину, скорее бы мэйнстрим перевели на 64-bit. Хочется уже начать вспоминать 32-битные сстемы за водкой с ностальгией вместе с "нормальной чистой DOS" ...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	115. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 26-Июл-09, 12:23
	>сстемы за водкой с ностальгией вместе с "нормальной чистой DOS" ... А нормальный чистый дос был 16-битным :P
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	119. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Iv945n (ok) on 27-Июл-09, 02:18
	>>сстемы за водкой с ностальгией вместе с "нормальной чистой DOS" ... > >А нормальный чистый дос был 16-битным :P Таки да ;-) Вот и хочется уже к нему в компанию отправить и 32-битнй софтвер...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	69. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 20-Июл-09, 20:29
	>На х86_64 не работает.  Так что дружно переходим на 64-битные ОС. >;) Падает, падает... - http://pavlinux.ru/rk/ff-3.5.1-kill.html (NoScript не забываем отключить) И Опера 10 падает, правда дольше висит, патаму как там Жаба тормозная.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	78. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Онанийм on 20-Июл-09, 20:56
	>И Опера 10 падает, правда дольше висит, патаму как там Жаба тормозная. > Не падает Опера. Все полтора гига обрабатывает и открывает страницу. Может у тя памяти мало?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	83. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 21-Июл-09, 00:57
	>>И Опера 10 падает, правда дольше висит, патаму как там Жаба тормозная. >> > >Не падает Опера. Все полтора гига обрабатывает и открывает страницу. Может у >тя памяти мало? 4Гб Запущаю ессессенно не под рутом
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+3 +/–
Сообщение от crypt (??) on 20-Июл-09, 06:11
Я позволю себе без перевода процитировать здесь выдержку из Security ленты Mozilla: In the last few days, there have been several reports (including one via SANS) of a bug in Firefox related to handling of certain very long Unicode strings. While these strings can result in crashes of some versions of Firefox, the reports by press and various security agencies have incorrectly indicated that this is an exploitable bug. Our analysis indicates that it is not, and we have seen no example of exploitability. Details On Windows, Firefox 3.0.x and Firefox 3.5.x are terminated due to an uncaught exception during an attempt to allocate a very large string buffer; this termination is safe and immediate, and does not permit the execution of attacker code. On the Macintosh in Firefox 3.0.x and 3.5.x, a crash occurs inside the ATSUI system library (part of OS X), due to what appears to be a failure to check allocation results. This issue is likely to affect any application using the recommended text-handling libraries on OS X. We have reported this issue to Apple, but in the event that they do not provide a fix we will look to implement mitigations in Mozilla code. We recommend that other developers who use these libraries consider a similar practice, and we have added mitigations in the past for similar bugs in these libraries.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	67. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:21
	Ну понятно, Эппл как всегда подтвердил статус решета а остальные почему-то восприняли это по части файрфокса.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	73. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+1 +/–
	Сообщение от pavlinux (ok) on 20-Июл-09, 20:40
	>Я позволю себе без перевода процитировать здесь выдержку из Security ленты Mozilla: > А нахрен нам тут без перевода... ссылки хватило бы...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	91. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от MaxOnNet on 21-Июл-09, 12:38
	Эмм, FF 3.5.1, на MacOS X 10.5.7. FF выжрал 1,8 гигобайт оперативы, минуту жрал CPU под 99% и сказал что возможно скрипт завис, ничего не упало...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+1 +/–
Сообщение от Аноним (??) on 20-Июл-09, 07:58
Да у Мозилы уязвимости не опасные, посмотрите на дырявый виндузный конкуретн
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+2 +/–
Сообщение от poige (ok) on 20-Июл-09, 09:36
1) Неясно, почему вообще речь идёт о _stack_ overflow, если размещение строк происходит в heap. 2) Сейчас exploit с http://downloads.securityfocus.com/vulnerabilities/exploits/... скачивается в таком виде, что нужно вручную заменить все <, "e и т. п.. Тогда будет работать -- жрать память, пока система не скажет "баста". Но даже в этом случае, браузер не завершает работу -- на Linux x86_64. 3) Судя по всему, разработчики совершенно правы, когда говорят о том, что только для Mac OS X эта проблема более критична, в связи с ошибкой внутри системной библиотеки. P. S. Кол-во мосек, которым не хочется включить мозг и подумать, зато так нравится обтявкать всё вокруг, включая C++, умиляет. "Ай, моська..." (c)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	54. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Абабагаламага on 20-Июл-09, 11:25
	Сорри, туповат. Что надо заменить на что? Я хочу проверить у себя тоже.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	55. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		–1 +/–
	Сообщение от fix (??) on 20-Июл-09, 11:46
	>Сорри, туповат. Что надо заменить на что? пля, html сущности html_entity_decode() cgi.unescape()
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	57. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Шурек Табуреткин on 20-Июл-09, 14:08
	Все просто: wget http://downloads.securityfocus.com/vulnerabilities/exploits/... sed -i 's/</</g;s/>/>/g;s/"/"/g' 35707.html firefox file:///`pwd`/35707.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	59. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от patsev.antongmail.com on 20-Июл-09, 17:13
	Firefox 3.0.1. Сделал как написано. Открывает текст: <html> <head> <script language="JavaScript" type="Text/Javascript">  var str = unescape("%u4141%u4141"); var str2 = unescape("%u0000%u0000"); var finalstr2 = mul8(str2, 49000000); var finalstr = mul8(str, 21000000); document.write(finalstr2); document.write(finalstr); function mul8 (str, num) { var i = Math.ceil(Math.log(num) / Math.LN2), res = str; do { res += res; } while (0 < --i); return res.slice(0, str.length * num); } </script> </head> <body> </body> </html> <html><body></body></html>
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	74. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 20-Июл-09, 20:42
	>Firefox 3.0.1. Сделал как написано. https://www.opennet.ru/openforum/vsluhforumID3/57057.html#69
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	80. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от аноним on 20-Июл-09, 21:27
	firefox 3.5.1 x86_64 - результат тот же
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+2 +/–
Сообщение от Аноним (??) on 20-Июл-09, 09:55
Проверил на IE 8 - завис ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	84. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 21-Июл-09, 02:33
	IE7 (version 7.0.5730.11) - ПОФИГ :) http://s08.radikal.ru/i181/0907/db/27e2bd9d9eb1.jpg Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 Показала вот такую картинку - http://s60.radikal.ru/i170/0907/4d/b8c5add0b3f6.jpg Если нажать "Остановить сценарий", естественно всё нормально, если "Продолжить" - вылетает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	97. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Аноним (??) on 21-Июл-09, 16:35
	заметил что IE виснет только если открывать эту страницу с диска сохраненной.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
Сообщение от sp0_of (??) on 20-Июл-09, 11:20
На х86_64 iceweasel 3.0.6 повесил систему. Да, 3.0.6. Нет, я не некрофил.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	56. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Аноним (??) on 20-Июл-09, 13:45
	> На х86_64 iceweasel 3.0.6 повесил систему. > Да, 3.0.6. Нет, я не некрофил. Не нет, а да. Он самый.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	89. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Zenitur on 21-Июл-09, 04:46
	>На х86_64 iceweasel 3.0.6 повесил систему. >Да, 3.0.6. Нет, я не некрофил. Зато жертва рекламы. Вот и хорошо, что не работает! Кому какое дело, нравится тебе более новая программа, или более старая? Упомянутым Моськам? Включи мозг и не обращай внимания. Мой совет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	95. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от sp0_of (??) on 21-Июл-09, 14:44
	Жертва рекламы? Да, я пользую icewesel из debian'овских репозиториев, потому что напротив моего окна висит плакат с его рекламой.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
Сообщение от AnOn on 20-Июл-09, 20:31
А что все молчат, что Опера тоже на этом примере отжирает оперативу, занимает 100% одного ядра и всинет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	75. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 20-Июл-09, 20:42
	>А что все молчат, что Опера тоже на этом примере отжирает оперативу, >занимает 100% одного ядра и всинет. Лучше скажите - кто на этом не давится? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	76. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от pavlinux (ok) on 20-Июл-09, 20:42
	>А что все молчат, что Опера тоже на этом примере отжирает оперативу, >занимает 100% одного ядра и всинет. https://www.opennet.ru/openforum/vsluhforumID3/57057.html#69
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	77. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от аноним on 20-Июл-09, 20:44
	>А что все молчат, что Опера тоже на этом примере отжирает оперативу, >занимает 100% одного ядра и всинет. https://www.opennet.ru/openforum/vsluhforumID3/57057.html#18
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	79. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от Онанийм on 20-Июл-09, 20:58
	>А что все молчат, что Опера тоже на этом примере отжирает оперативу, >занимает 100% одного ядра и всинет. Не падает Опера. Памяти отжирает 1,5 гига, все выполняет и возвращается в нормальный режим, отобразив страницу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		–1 +/–
Сообщение от Zenitur on 21-Июл-09, 04:26
Опять Ява! Кстати, а третья версия какой была первой, которую можно было использовать? Помнится, там были даже такие сбои, как "Взлом через сохранённые пароли"? Или просто пароли терялись...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	107. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		–1 +/–
	Сообщение от Zenitur on 23-Июл-09, 06:15
	Полцарства за FireFox с Java от третьей версии.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	116. "Новая уязвимость Firefox, не исправленная в версии 3.5.1"		+/–
	Сообщение от User294 (ok) on 26-Июл-09, 12:28
	>Полцарства за FireFox с Java от третьей версии. А что мешает юзать FF3? Он пока еще поддерживаемый и пока его снимут с поддержки - как раз 3.5 обезглючат на всю катушку :).И кстати не Java а JavaScript.Это весьма разные вещи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема