A 3.0.8-as kiadást a felhasználók letölthetik a getfirefox.com weboldalról, illetve ellenőrizhetik, hogy a disztribúciójuk elkezdte-e a terjesztését. A Linux disztribútorok megkezdték a terjesztését - például az Ubuntu szállítja, e cikk már 3.0.8 alatt íródott.
A Mozilla erősen ajánlja, hogy minden felhasználó a lehető legrövidebb időn belül frissítsen erre a kiadásra. A Firefox 3-at futtatók 24-48 órán belül automatizált értesítést kapnak arról, hogy frissítés áll rendelkezésre. Az ellenőrzés természetesen végrehajtható manuálisan is a "Check for Updates…"-t választva a "Help" menüben.
A változásokról a release notes értekezik.
A részletek itt olvashatók.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Buta kerdes, ha 3.0.7 alatt fedeztek fel most, akkor 3.1beta3-ban vajh szinten bennevan? Gyanitom igen, akkor ahhoz mikor jon a frissites?
- A hozzászóláshoz be kell jelentkezni
mivel béta, nem hiszem, hogy fontos nap mint nap biztonsági frissítást kiadni hozzá. majd a véglegesben. aki biztonságot akar, az nme bétát használ:).. pont azért béta, hogy nr legyen biztonságos
- A hozzászóláshoz be kell jelentkezni
azért béta, mert nem stabil
- A hozzászóláshoz be kell jelentkezni
"Az ellenőrzés természetesen végrehajtható manuálisan is a "Check for Updates…"-t választva a "Help" menüben."
Nekem Ubuntuban az a gomb mindig inaktív. :D
- A hozzászóláshoz be kell jelentkezni
Nyilvánvalóan ahhoz a verzióhoz, amelyikhez az OS vendor szállítja a frissítést, ez az opció értelmetlen...
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
viszont a frissítéskezelőre kattintva már töltheted. :)
all those moments will be lost in time...
- A hozzászóláshoz be kell jelentkezni
érdekesnek találom, hogy a SecurityTracker oldalról lekövetve a linkeket
http://securitytracker.com/alerts/2009/Mar/1021939.html
http://www.mozilla.org/security/announce/2009/mfsa2009-12.html
https://bugzilla.mozilla.org/show_bug.cgi?id=460090
https://bugs.launchpad.net/ubuntu/+source/firefox-3.0/+bug/253641
gyakorlatilag az látszik, hogy a bugot már tavaly októbet 15-én jelezték a Mozilla felé (miután augusztusban a launchpad-en). de csak most, a CanSecWest böngésző"verseny" után javították igen gyorsan. hm...
all those moments will be lost in time...
- A hozzászóláshoz be kell jelentkezni
Egy kis kiegészítés illetve korrekció:
Ez a release (3.0.8) két biztonsági bugot javít. A PWN2OWN-on kihasznált hiba nem ez (XSL Transformation vulnerability) volt. Hanem ez (Arbitrary code execution via XUL tree element). És ez a bug - amit a TippingPoint megvásárolt - eddig NDA alatt volt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
OK, benéztem. :) Bár a tempó így sem villámgyors.
all those moments will be lost in time...
- A hozzászóláshoz be kell jelentkezni
Már melyik esetben? Ahol egyértelmű volt a biztonsági hiba kihasználhatósága, ott szinte azonnal megvolt a javítás. Néhány napja volt PWN2OWN, a hiba NDA alatt volt, megcsinálták a javítást és már a gépeden van. Szerintem ez gyors.
A második esetben a Mozilla szerint stabilitási problémaként lett bejelentve egy Andre nevű user által az Ubuntu-hoz. Az Ubuntu-tól egy másik tag bejelentette a Mozilla-hoz, ahol elkezdték vizsgálni a problémát. Közben Guido Landi is bejelentette és ezután megszületett a javítás egy _lehetségesen_ kihasználható problémára.
A kettő közt a lényeges eltérés az, hogy az első esetben egyértelműen kihasználható biztonsági problémáról van szó, amelyet a hiba kihasználója (Nils) ledokumentálva átadott a TippingPoint-nak, a Tippingpoint átadta a Mozilla-nak - nem kizárható, hogy a lehetséges javításra tett javaslattal együtt - a Mozilla-nak pedig csak ki kellett javítania.
A második esetben pedig adott volt egy crash, amelyet egy laikus jelentett be minden részlet ismertetése nélkül. Ezt egy másik közösségi tag bejelentette a Mozilla-nak, amelyik elkezdte vizsgálni, a vizsgálat során kiderült, hogy akár biztonsági vonzata is lehet. Ezután erre kellett javítást csinálni.
Az első esetben nyilvánvalóan sokkal könnyebb dolga volt a Mozilla-nak. Az első esetben a probléma egyértelműen kihasználható (hiszen Nils nyert vele), így a Mozilla-nak azonnal kellett reagálni. A második esetben a probléma még most is "potentially use this crash to run arbitrary code on a victim's computer" leírással van, a "potentially" pedig azt jelenti, hogy "lehetségesen".
Persze a szerencsés lenne, ha a "lehetségesen" kihasználható sebezhetőségeket is 10 perc alatt kijavítanák, azért az látszik, hogy a két eset több ponton is eltérő.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ok. sosem vizsgálta vagy javítottam bugot. csak fura volt az október-március időtáv Mozilla-n belül.
all those moments will be lost in time...
- A hozzászóláshoz be kell jelentkezni
Csak annyit szeretnék kérdezni, hogy a Debian (Lenny) féle Iceweasel érintett?
Rendszeresen frissítek, de még mindig 3.0.6
- A hozzászóláshoz be kell jelentkezni
A Debainban ugy tunik, hogy nem frissitett iceweasel csomaggal, hanem frissitett xulrunner1.9 csomaggal oldjak meg.
(Sidben mar javitott csomag van)
- A hozzászóláshoz be kell jelentkezni
Kösz!
- A hozzászóláshoz be kell jelentkezni
http://href.hu/x/8lvn
---
http://c4nn1b4l.crudens.hu
Nem az a szanalmas, ha az alairasodba linkeled a blogod, hanem az, ha igyse nezi senki.
- A hozzászóláshoz be kell jelentkezni
Igen...
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
Ez a kép szerintem hamis. Leglábbis nekem nem ad ilyen javaslatokat. Egyébként mind igaz a firefoxra és is éppen váltoson gondolkozom. De nincs jobb.
- A hozzászóláshoz be kell jelentkezni
nem hamis, nézd meg angol nyelvű googleval.
---
/* No comment */
Ketchup elementál megidézése a sajt síkra
- A hozzászóláshoz be kell jelentkezni
jujj, megneztem firefox keresosavjaban is, es ott ugyan ezeket irja :)))
--
When in doubt, use brute force.
- A hozzászóláshoz be kell jelentkezni
"nincs jobb" vs. Opera
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
Amíg nincs Opera 64bitre ami nem használ qt3-at addig nekem túl sok macera. Egyébként meg nyílt kódú szoftvereket részesítem előnyben.
- A hozzászóláshoz be kell jelentkezni
Itt az összef..áson is sok hangsúly van...
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
ahhahahahaha
"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q
- A hozzászóláshoz be kell jelentkezni
Ezt ki tudnád fejteni?
Majd amikor HUPákolás közben nem crashel el random módon az FF (>3.0), akkor elhiszem, hogy űberfasza.
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
HUP nem szokott crashelni, sőt úgy általában sehogy, nagy ritka ha el viszi egy oldal az FF-et nálam, de biztos az én rendszerem rossz.
--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.
- A hozzászóláshoz be kell jelentkezni
Nem mondom, hogy nem nálam van a probléma, az viszont biztos, hogy a vodafone által gyártott js förmedvénnyel nem bír el.Ez biztosítja képek esetén a "übergyors letöltést", s amiatt épül be az oldalakba, hogy pl. Shift-R kombóval normál minőségü képeket is le tudjak rámolni.
Viszont ezzel az opera -nak semmi problémája nem akad...
Upd:
Másként meg nem jutok normális képekhez (ha ezt a JS-t letiltom).
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
Érdekes nekem nem okoz gondot az a js... Vista FF 3.0.8 és Intrepid FF 3.0.8 alatt használom.
--
Én TUDOM, hogy igazam van. És ha nincs is, akkor is NEKEM van igazam, mert én vagyok az Admin. Ennyi!
- A hozzászóláshoz be kell jelentkezni
vodás hájpagyorsneted van js tuninggal?
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
igen
egyébként ha másik APN-t állítasz be, akkor nem tömöríti a képeket, nincs js förmedvény. stb...
--
Én TUDOM, hogy igazam van. És ha nincs is, akkor is NEKEM van igazam, mert én vagyok az Admin. Ennyi!
- A hozzászóláshoz be kell jelentkezni
a hiba az ön készülékében van
- A hozzászóláshoz be kell jelentkezni
flashplugin egy csomószor elrántja, sok oldal szétesik, ha valami javascriptes dinamikus dolog van rajta, akkor az nem megy stb
Nálam sokkal instabilabb, mint a Firefox.
"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q
- A hozzászóláshoz be kell jelentkezni
Igen, a Flashplugin Linuxon kritikus Opera esetében, de a többi probléma nekem nem jött elő.
kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó
- A hozzászóláshoz be kell jelentkezni
Nem mintha más szoftvert a "why does" után írva nem ez jönne ki...
- A hozzászóláshoz be kell jelentkezni
http://crudens.hu/miert.png
---
http://c4nn1b4l.crudens.hu
Nem az a szanalmas, ha az alairasodba linkeled a blogod, hanem az, ha igyse nezi senki.
- A hozzászóláshoz be kell jelentkezni
Ez valami újfajta minőségellenőrzési eszköz? Betoljuk a Gugliba, aztán amelyikre kevesebb találatot ad, az a jobb szoftver?
- A hozzászóláshoz be kell jelentkezni
[flamebait]
nem, szerintem sokkal reprezentativabb, hogy egy bongeszo elhasal-e egy hack contest elso napjan, vagy nem. vo. g chrome.
[/flamebait]
---
http://c4nn1b4l.crudens.hu
Nem az a szanalmas, ha az alairasodba linkeled a blogod, hanem az, ha igyse nezi senki.
- A hozzászóláshoz be kell jelentkezni
Most arra keress rá a Google-ben, hogy a PWN2OWN-on feltört böngészők (IE8, Safari, Firefox) közül eddig melyikben javították ki a kritikus biztonsági hibát. Ennek legalább lenne valami értelme :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni