Firefox 在 2015 年 8 月 7 日爆了一个重大漏洞，请大家尽快更新

如果 Firefox/Google Chrome/Safari 仍然坚持不进MAS，这种事情还会一再上演。或者机智的用户可以用AppArmor/SELinux自保先

@Radeon 必然会坚持不上 MAS 呀

@FrankFang128
@Radeon 求教浏览器有什么东西一定要在沙盒之外跑？

感觉硬件加速什么的可以调系统给的接口啊。

@caizixian 浏览器当然应该在沙盒里跑，不在沙盒里跑一定会悲剧的

@Radeon mas是什么？

@honeycomb Mac App Store

等TETE009版本的更新，刚去网站看了TETE还没更新

@Radeon AppArmor好，个人感觉配置比SELinux上手快

@Radeon 可是Chrome/Safari自带沙盒

@caizixian 显然是AppArmor好啊。SELinux一是NSA开发的，这也能信啊？二是SELinux的规则太复杂了，一个安全系统的规则如果过于复杂的话，一定会配置出错的

@honeycomb 多保险总没错，Chrome／Chromium在Linux也有AppArmor／SELinux保护的

@honeycomb Chrome/Safari的沙盒是自调沙盒API的做法，远没有MAS软件通过系统强制的、全程进沙盒的方式保险。实际上你打开Activity Monitor，Chrome/Safari的sandbox那一列都是"No"

@caizixian 据我所知Chromium在很多发行版上默认是没有SELinux/AppArmor保护的，Firefox也没有

@Radeon 至少Ubuntu是有的
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/AppArmorProfiles

这个漏洞目前主要是在各种广告网络上被利用，所以类似 uBlock 这样的插件，对防御类似问题可能会有一定帮助：

https://www.ublock.org/

@caizixian 默认没有启用AppArmor

@caizixian 看脚注2 “Will be disabled by default and be opt-in for advanced users”

@Livid 谢谢，不该这么不经大脑就问，其实稍微搜一下就明白了
@caizixian 基本看不懂Android里用的SELinux规则

@Radeon 好吧，我是系统一装完就开了

@Livid 如果像report里说的那样拿.bash_history 或者搜索带有credential的文件的话，问题就很严重了。

为了防止将来 PDF.js 又爆什么其他的漏洞，可以从 Firefox 的 about:config 里将其彻底禁用：

about:config

pdfjs.disabled => true