Firefox 在 2015 年 8 月 7 日爆了一个重大漏洞，请大家尽快更新

最新版本 39.0.3

https://www.mozilla.org/en-US/firefox/all/

平时不浏览什么羞羞的网站就好了 XD

@Radeon 然而即使用了沙盒也无法避免这个 exploit。即使有沙盒，通过这个 exploit 也可以实现读取 Firefox 所有可以读取的内容，例如你保存下来的 Cookie 在磁盘上存储的文件。沙盒只能避免它读取到用户文件。

从31ESR升级到38ESR了，然后莫名地不停崩溃，真是逼死老用户……

@breeswish 这个是利用FF读 ~/.ssh/ ，正好是沙盒可以阻止的

漏洞还是稍微严重的，不过文章下面的评论很欢乐- -

本来还想着等39.01出了才更下38.01，哪知道今天一开机就跳39.03的了，更完才知道是这回事

@hantsuki ESR 31.8 不会升级了么 ?

@Radeon OpenGL 里面有相当多的函数是私有 API，如果想硬件加速，除了使用系统自带的那些库 metal 什么的 创建动画，否则是不可能的。 还有 审核规范里面，并不允许非 Safari 内核的浏览器通过审核。

要喷就喷苹果去吧

@Livid

ublock这种起到缓解的作用
因为比较严格的屏蔽策略是白名单，导致广告代码压根就没有被下载

pdf.js没有丢到沙盘里觉得不安全呢

@breeswish
不知道AppContainer是否能缓解此类攻击

@typcn

全程沙盘肯定会导致很多函数用不了
所以不管是Chrome还是IE(安全模式/AppContainer)/Edge(AppContainer)都至少有一个中等完整性进程来执行高权限代码

@avrillavigne
因为33/34时界面有了部分变化，一些扩展、脚本不兼容，直接从31到38会有问题

@honeycomb Sleipnier这种全程沙盘的还不是好好的

@avrillavigne 得自己手动换大版本的，关于ESR的介绍里有个版本图

好像非webkit的浏览器不能进MAS，再者说，sandbox和MAS是俩不同的概念，进MAS必须sandboxed，但是不进MAS也可以sandboxed。

@ryrubyy @Radeon
Firefox 修补漏洞还是迅速

palemoon64飘过，貌似没有更新

@canautumn Opera进过MAS的

@Radeon 那个时候估计还没有强制sandbox。不过话说回来，如果有一天Mac像iOS一样强制sandbox（虽然不可能），这些浏览器也会搞出来一个可以sandbox的版本来上架的，比如WebKit套个壳。

问个弱的问题，

既然pdf.js是完全用js实现的，他是怎么读取本地文件的呢？

是利用html5的API吗？是不是还有什么其他方式？

http://www.html5rocks.com/en/tutorials/file/dndfiles/