Опубликован корректирующий выпуск Firefox 100.0.2 с исправлением двух уязвимостей, которым присвоен критический уровень опасности. На проходящем в эти дни соревновании Pwn2Own 2022 продемонстрирован рабочий эксплоит, позволивший при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе. Автору эксплоита присуждена премия в 100 тысяч долларов.


Первая уязвимость (CVE-2022-1802) присутствует в реализации оператора await и позволяет добиться повреждения методов в объекте Array через изменение свойства prototype ("prototype pollution"). Вторая уязвимость (CVE-2022-1529) даёт возможность изменить свойство prototype при обработке непроверенных данных во время индексации объектов JavaScript. Уязвимости позволяют выполнить JavaScript-код в привилегированном родительском процессе.


Загрузить:

Русская версия:

ico-win.png Windows (64 бит)
ico-win.png Windows MSI (64 бит)
ico-win.png Windows (ARM 64 бит)
ico-win.png Windows (32 бит)
ico-win.png Windows MSI (32 бит)
ico-osx-uni.png Mac OS X
ico-tux.png Linux (64 бит)
ico-tux.png Linux (32 бит)


Английская версия:
ico-win.png Windows (64 бит)
ico-win.png Windows MSI (64 бит)
ico-win.png Windows (ARM 64 бит)
ico-win.png Windows (32 бит)
ico-win.png Windows MSI (32 бит)
ico-osx-uni.png Mac OS X
ico-tux.png Linux (64 бит)
ico-tux.png Linux (32 бит)

Другие языки


Что нового в Firefox 100 для разработчиков
Примечания к выпуску для Windows, Mac and Linux

Новость взята с сайта opennet.ru

banbot пишет

На проходящем в эти дни соревновании Pwn2Own 2022 продемонстрирован рабочий эксплоит, позволивший при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе.

Продемонстрирован первый рабочий эксплоит… А сколько их ещё будет, за которые уже не будут давать премию.

а скажите может кто знает где найти такое-было 2 файлика маленьких для включения и отключения обновлений через реестр?

крас
Для Windows через реестр:

скрытый текст
Файлы сохранить с расширениями .reg, названия файлов не важны.
Для выключения обновлений Firefox (DisableFirefoxUpdate.reg):

Выделить код

Код:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox]
"DisableAppUpdate"=dword:00000001

Для включения обновлений Firefox обратно (EnableFirefoxUpdate.reg):

Выделить код

Код:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox]
"DisableAppUpdate"=-

Можно сделать то же самое и через групповую политику Windows, без REG-файлов.


Для MacOS через групповую политику:

скрытый текст
В терминале по очереди нужно выполнить команды и потом, запустив Firefox, вы увидите надпись «Обновления отключены вашим системным администратором».

Для отключения обновления Firefox

Выделить код

Код:

sudo defaults write /Library/Preferences/org.mozilla.firefox DisableAppUpdate -bool TRUE
sudo defaults write /Library/Preferences/org.mozilla.firefox EnterprisePoliciesEnabled -bool TRUE

Для включения обновлений Firefox обратно:

Выделить код

Код:

sudo defaults delete /Library/Preferences/org.mozilla.firefox DisableAppUpdate
sudo defaults write /Library/Preferences/org.mozilla.firefox EnterprisePoliciesEnabled -bool TRUE
sudo defaults write /Library/Preferences/org.mozilla.firefox EnterprisePoliciesEnabled -bool FALSE


Для всех систем (Windows, MacOS, Linux) через файл policies.json
(Этот способ не работает, если в системе включена групповая политика в отношении Firefox, то есть то, о чём написано выше.)

скрытый текст
В текстовом редакторе создаём файл policies.json и вписываем в него содержимое ниже.

Выделить код

Код:

{
      "policies": {
        "DisableAppUpdate": true
      }
    }

Этот файл нужно положить в каталог под названием distribution в каталоге установки Firefox. Этот каталог обычно отсутствует по умолчанию, поэтому вам может потребоваться создать его вручную.

Каталог для MacOS X:
Firefox.app/Contents/Resources/distribution

Каталог для Window:
Program Files/Mozilla Firefox/distribution


После отключения обновления любым из этих способов его невозможно будет включить через about:config или через обычные настройки Firefox.

крас
2. Кардинально, правкой реестра. Два рег-файла - откл/вкл

oleg.sgh пишет

крас2. Кардинально, правкой реестра. Два рег-файла - откл/вкл

вот это я и и мел ввиду,спасибо.
еще такой вопрос-как отключить вот эту фигню,бывает заходишь на сайт и так вот,а потом нажимаю пока отключить защиту и все норм.
_5198d1e934b8cef4d40854f77903fe67.jpeg

крас

крас пишет

вот это я и и мел ввиду,спасибо.

Ну так я написал то же самое, только чтобы рег-файлы вы создали сами в текстовом редакторе.

крас пишет

бывает заходишь на сайт и так вот

Возможно, что-то из этого:
https://forum.mozilla-russia.org/viewto … 93#p778593

Пандёнок пишет

Отключение и включение некоторых предупреждений и ограничений при незащищённом соединении

подскажите, можно ли полностью выпилить cleartype из firefox?

varezhkin пишет

подскажите, можно ли полностью выпилить cleartype из firefox?

Конкретно в браузере - никак.
В Центе или в Хроме по моему можно, а тут хз.
Нашел способ в гуглнете, на одном из форумов:

скрытый текст
1. Пуск → поиск → cttune.exe
Настроить сглаживание. Именно не просто поставить галочку включить или отключить ClearType, а пройти всю настройку с выбором вариантов.
Попробовать как с включённым ClearType, так и с отключенным.
Скорее всего где-нибудь и найдётся твой вариант, при котором шрифты будут выглядеть нормально.

После любых изменений бразуер нужно перезапускать! А ещё лучше перезагрузить ОС.

Если ты всё же хочешь отключить ClearType в windows, то в firefox у тебя два выхода.

2. Установить шрифты, которые работают корректно без сглаживания принудительно на всех страницах.
Три полоски → настройки → поиск → шрифты → дополнительно → снять галочку Разрешить веб-сайтам использовать свои шрифты. И указать свои шрифты для всех стилей. У этого способа есть минус — теперь все сайты будут выглядеть одинаково.

3. При отключенном ClearType, firefox можно заставить использовать сглаживание принудительно
Заходишь в about:config

gfx.font_rendering.cleartype_params.cleartype_level = 100
gfx.font_rendering.cleartype_params.enhanced_contrast = 1000
gfx.font_rendering.cleartype_params.gamma = 2200
gfx.font_rendering.cleartype_params.rendering_mode = 5

Значения подобрать на свой вкус. Теперь firefox, как и cent будет использовать сглаживание шрифтов, несмотря на настройки windows.