PDA

Просмотр полной версии : Вышел Firefox 3.6.4 с поддержкой изолированного режима работы плагинов



Kuzz
23.06.2010, 15:59
Доступен релиз web-браузера Firefox 3.6.4, в котором кроме исправления 226 ошибок и устранения 10 уязвимостей, представлено одно существенное новшество - поддержка выполнения в отдельном изолированном процессе плагинов (не путать с дополнениями), подобных Flash, Java, Quicktime или Silverlight/Moonlight, не влияя на стабильность основного браузера.

Кроме увеличения стабильности, вынос работы плагинов в отдельный процесс позволил увеличить производительность работы браузера на современных многоядерных процессорах и увеличил отзывчивость интерфейса. Ценой представленного улучшения является увеличение потребления памяти: предварительные тесты показали увеличение потребления ОЗУ на 10%. В будущем планируется вынести обработку каждой вкладки в отдельный процесс, что исключит взаимное влияние табов (крах при обработке одного таба, не повлияет на другие) и позволит организовать их обработку в параллельном режиме.

Появление новшеств в промежуточных версиях Firefox 3.6.x связано с решением перейти к новой модели разработки, подразумевающей переход к постепенному наращиванию функциональности в рамках выпуска корректирующих версий Firefox. Следующим выйдет релиз Firefox 3.6.6, версия 3.6.5 будет пропущена с целью синхронизиации номеров версий с редакцией Firefox для мобильных устройств. В будущих обновлениях к Firefox 3.6 можно ожидать появление возможности установки дополнений без прерывания работы пользователя, поддержку Jetpack расширений, интеграцию технологии синхронизации Firefox Sync (Weave), добавление в комплект инструментов для разработчиков web-приложений.

Из 10 исправленных уязвимостей, 7 носят критический характер:

"MFSA 2010-26" - четыре типовые уязвимости, связанные с возможностью выхода за допустимые границы памяти и теоретически позволяющие организовать выполнение кода злоумышленника. Две проблемы связаны с браузерным движком и оставшиеся две с JavaScript-движком.
"MFSA 2010-29" - целочисленное переполнение в функции nsGenericDOMDataNode::SetTextInternal, используемой для установки текстового значения для определенных типов DOM-узлов, может привести при передаче большой строки к выделению буфера размером меньше переданной строки, хвост которой будет сохранен вне буфера, что можно использовать для инициирования краха и для организации выполнения кода злоумышленника.
"MFSA 2010-30" - целочисленное переполнение в коде сортировки XSLT-узлов может привести к записи данных вне выделенного буфера при сортировке данных, среди которых присутствует узел со слишком большой текстовой строкой. При удачном проведении атаки, возможна организация выполнения кода злоумышленника.
"MFSA 2010-28" - уязвимость, связанная с возможностью сохранения одним плагином ссылки на объект второго плагина, даже при выгрузке второго плагина и освобождении памяти, занимаемой объектом, который продолжает использоваться первыми плагином. Злоумышленник может организовать выполнение кода, подставив свои данные на место освобожденного объекта.

Дополнительно, можно отметить выход релиза SeaMonkey 2.0.5 и обновления прошлой ветки Firefox 3.5.10, в которых проведена работа над ошибками и устранено 12 уязвимостей, из которых 10 идентичны с Firefox 3.6.4, одна была исправлена в Firefox 3.6.3 ранее и одна специфична для кодовой базы ветки Firefox 3.5.



opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=27062)

Kuzz
27.06.2010, 22:12
Обновление Firefox 3.6.6 с корректировкой работы системы изоляции плагинов

В обновлении Firefox 3.6.6 произведено увеличение таймаута принудительного завершения Flash-роликов. Изначально, в прошлой версии 3.6.4 время определения зависания плагина было определено в 10 секунд, но пользователи маломощных систем столкнулись с тем, что некоторые работающие Flash-ролики не укладываются в этот лимит и автоматически закрываются браузером. В связи с этим таймаут определения зависания Flash-ролика в версии 3.6.6 поднят до 45 секунд. Релиз 3.6.5 пропущен с целью синхронизации версий с мобильной редакцией Firefox.



opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=27110)