Firefox 在 2015 年 8 月 7 日爆了一个重大漏洞,请大家尽快更新

2015-08-07 21:17:44 +08:00
 Livid
Mozilla 的官方说明:

https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/

如果你是 Firefox 的重度用户,请尽快更新。
6377 次点击
所在节点    Firefox
58 条回复
Radeon
2015-08-07 21:21:17 +08:00
如果 Firefox/Google Chrome/Safari 仍然坚持不进MAS,这种事情还会一再上演。或者机智的用户可以用AppArmor/SELinux自保先
FrankFang128
2015-08-07 21:25:06 +08:00
@Radeon 必然会坚持不上 MAS 呀
caizixian
2015-08-07 21:29:28 +08:00
@FrankFang128
@Radeon 求教浏览器有什么东西一定要在沙盒之外跑?

感觉硬件加速什么的可以调系统给的接口啊。
Radeon
2015-08-07 21:31:11 +08:00
@caizixian 浏览器当然应该在沙盒里跑,不在沙盒里跑一定会悲剧的
honeycomb
2015-08-07 21:31:41 +08:00
@Radeon mas是什么?
Livid
2015-08-07 21:31:56 +08:00
@honeycomb Mac App Store
xzchina
2015-08-07 21:33:25 +08:00
等TETE009版本的更新,刚去网站看了TETE还没更新
caizixian
2015-08-07 21:33:28 +08:00
@Radeon AppArmor好,个人感觉配置比SELinux上手快
honeycomb
2015-08-07 21:34:17 +08:00
@Radeon 可是Chrome/Safari自带沙盒
Radeon
2015-08-07 21:34:48 +08:00
@caizixian 显然是AppArmor好啊。SELinux一是NSA开发的,这也能信啊?二是SELinux的规则太复杂了,一个安全系统的规则如果过于复杂的话,一定会配置出错的
caizixian
2015-08-07 21:36:59 +08:00
@honeycomb 多保险总没错,Chrome/Chromium在Linux也有AppArmor/SELinux保护的
Radeon
2015-08-07 21:37:09 +08:00
@honeycomb Chrome/Safari的沙盒是自调沙盒API的做法,远没有MAS软件通过系统强制的、全程进沙盒的方式保险。实际上你打开Activity Monitor,Chrome/Safari的sandbox那一列都是"No"
Radeon
2015-08-07 21:38:48 +08:00
@caizixian 据我所知Chromium在很多发行版上默认是没有SELinux/AppArmor保护的,Firefox也没有
caizixian
2015-08-07 21:43:22 +08:00
Livid
2015-08-07 21:44:44 +08:00
这个漏洞目前主要是在各种广告网络上被利用,所以类似 uBlock 这样的插件,对防御类似问题可能会有一定帮助:

https://www.ublock.org/
Radeon
2015-08-07 21:46:38 +08:00
@caizixian 默认没有启用AppArmor
Radeon
2015-08-07 21:48:39 +08:00
@caizixian 看脚注2 “Will be disabled by default and be opt-in for advanced users”
honeycomb
2015-08-07 21:51:03 +08:00
@Livid 谢谢,不该这么不经大脑就问,其实稍微搜一下就明白了
@caizixian 基本看不懂Android里用的SELinux规则
caizixian
2015-08-07 21:52:08 +08:00
@Radeon 好吧,我是系统一装完就开了

@Livid 如果像report里说的那样拿.bash_history 或者搜索带有credential的文件的话,问题就很严重了。
Livid
2015-08-07 21:54:54 +08:00
为了防止将来 PDF.js 又爆什么其他的漏洞,可以从 Firefox 的 about:config 里将其彻底禁用:

about:config

pdfjs.disabled => true

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/211613

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX