anonymous@RULINUX.NET~# Last login: 2024-11-23 04:30:19
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Пиздец решето ваш firefox

https://www.rapid7.com/db/vulnerabilities/freebsd-cve-2017-7804

Description

Details for this vulnerability have not been published by NIST at this point. Descriptions from software vendor advisories for this issue are provided below.

From VID-555B244E-6B20-4546-851F-D8EB7D6C1FFA:

Mozilla Foundation reports:

CVE-2017-7798: XUL injection in the style editor in devtools

CVE-2017-7800: Use-after-free in WebSockets during disconnection

CVE-2017-7801: Use-after-free with marquee during window resizing

CVE-2017-7784: Use-after-free with image observers

CVE-2017-7802: Use-after-free resizing image elements

CVE-2017-7785: Buffer overflow manipulating ARIA attributes in DOM

CVE-2017-7786: Buffer overflow while painting non-displayable SVG

CVE-2017-7806: Use-after-free in layer manager with SVG

CVE-2017-7753: Out-of-bounds read with cached style data and pseudo-elements

CVE-2017-7787: Same-origin policy bypass with iframes through page reloads

CVE-2017-7807: Domain hijacking through AppCache fallback

CVE-2017-7792: Buffer overflow viewing certificates with an extremely long OID

CVE-2017-7804: Memory protection bypass through WindowsDllDetourPatcher

CVE-2017-7791: Spoofing following page navigation with data: protocol and modal alerts

CVE-2017-7808: CSP information leak with frame-ancestors containing paths

CVE-2017-7782: WindowsDllDetourPatcher allocates memory without DEP protections

CVE-2017-7781: Elliptic curve point addition error when using mixed Jacobian-affine coordinates

CVE-2017-7794: Linux file truncation via sandbox broker

CVE-2017-7803: CSP containing 'sandbox' improperly applied

CVE-2017-7799: Self-XSS XUL injection in about:webrtc

CVE-2017-7783: DOS attack through long username in URL

CVE-2017-7788: Sandboxed about:srcdoc iframes do not inherit CSP directives

CVE-2017-7789: Failure to enable HSTS when two STS headers are sent for a connection

CVE-2017-7790: Windows crash reporter reads extra memory for some non-null-terminated registry values

CVE-2017-7796: Windows updater can delete any file named update.log

CVE-2017-7797: Response header name interning leaks across origins

CVE-2017-7780: Memory safety bugs fixed in Firefox 55

CVE-2017-7779: Memory safety bugs fixed in Firefox 55 and Firefox ESR 52.3


Надо на qupzilla переходить, лол

anonymous(*) (2017-08-12 09:11:04)

Mozilla/5.0 (X11; FreeBSD amd64; rv:54.0) Gecko/20100101 Firefox/54.0

[Ответить на это сообщение]
[#] [Добавить метку] [Редактировать] Ответ на: Пиздец решето ваш firefox от anonymous 2017-08-12 09:11:04
avatar
Скрыть

Re:Пиздец решето ваш firefox

Как-то не очень драматично выглядит - что из этого могут использовать злодеи в нехороших целях?

Купзила - это вообще мрак.. У меня она при запуске многократно дублирует табы с предыдущей сессии, поэтому на запуск может уйти до часу если согласиться восстанавливать сессию.

anonymous(*)(2017-08-12 10:32:31)
Отредактировано anonymous по причине "не указана"
Mozilla/5.0 (X11; Fedora; Linux i686; rv:54.0) Gecko/20100101 Firefox/54.0
[#] [Добавить метку] [Редактировать] Ответ на: Пиздец решето ваш firefox от anonymous 2017-08-12 09:11:04
avatar
Скрыть

Re:Пиздец решето ваш firefox

сраная купзила переходит в kde, так что скоро её нашпигуют кедозависимостями по самые немогу.

Silvy(*)(2017-08-12 13:26:49)

Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:Пиздец решето ваш firefox от anonymous 2017-08-12 10:32:31
avatar
Скрыть

Re:Пиздец решето ваш firefox

> что из этого могут использовать злодеи в нехороших целях?
Заставить тебя через силу качать какую-нибудь левую картинку и засветить тебя майору. Это ужасно.

А если ты пользуешься каким-то style editor'ом, так вообще выполнять произвольный код

anonymous(*)(2017-08-12 14:39:10)
Отредактировано anonymous по причине "не указана"
Mozilla/5.0 (X11; FreeBSD amd64; rv:55.0) Gecko/20100101 Firefox/55.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:Пиздец решето ваш firefox от anonymous 2017-08-12 14:39:10
avatar
Скрыть

Re:Пиздец решето ваш firefox

> А если ты пользуешься каким-то style editor'ом, так вообще выполнять произвольный код

Дык я так понимаю, что для этого злодей должен мне как-то объяснить какой код и как я должен запускать в этом редакторе, чтобы он меня хакнул..

anonymous(*)(2017-08-13 01:39:36)

Mozilla/5.0 (X11; Fedora; Linux i686; rv:54.0) Gecko/20100101 Firefox/54.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:Пиздец решето ваш firefox от anonymous 2017-08-13 01:39:36
avatar
Скрыть

Re:Пиздец решето ваш firefox

Нет, надо просто чтобы ты зашел на специально сделанную страничку

anonymous(*)(2017-08-19 13:48:00)

Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36 OPR/47.0.2631.55
[#] [Добавить метку] [Редактировать] Ответ на: Re:Пиздец решето ваш firefox от anonymous 2017-08-19 13:48:00
avatar
Скрыть

Re:Пиздец решето ваш firefox

И что, та страничка сама откроет мне Style Editor?

Кстати, поставил тут себе FF 55.0.2 - бля, они запретили плугинам обращаться к локальным страницам в файловой системе. А у меня был настроен плугин 'new tab overlay' чтобы показывать мою собственную страничку со ссылками в новом табе. Сам файрфокс-то уже давно разучил себя делать это, помогал вот плугин. Теперь и плугинов нету. Мне что, веб-сервер теперь курутить ради одной страницы? %(

anonymous(*)(2017-08-20 12:47:41)

Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:55.0) Gecko/20100101 Firefox/55.0
Этот тред читают 2 пользователя:
Анонимных: 2
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!