Firefox Addon bypass dialog and spoof vulnerability (CVE-2015-4498) [RESOLVIDO]

1. Firefox Addon bypass dialog and spoof vulnerability (CVE-2015-4498) [RESOLVIDO]

phoemur
(usa Debian)

Enviado em 29/08/2015 - 21:15h

Bom, gostaria de saber se sou só eu ou tem mais alguém que está de saco cheio de ter que ficar recompilando o firefox devido a vulnerabilidades sérias encontradas. Praticamente uma vez por semana acham alguma coisa:

27/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-95/
12/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-93/
11/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-79/
06/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/

Não dá nem tempo de esfriar a CPU já estou eu recompilando o firefox no FreeBSD denovo...
Mesmo no Slackware que é só baixar a atualização já estou cansando disso...

EDIT: Eu uso firefox-esr

0 0

Quote

2. MELHOR RESPOSTA

removido
(usa Nenhuma)

Enviado em 29/08/2015 - 23:51h

phoemur escreveu:

Mas eu quis dizer que estou começando a ficar com o pé atrás depois de tanta atualização.
Será que isso é sintoma de boas práticas de segurança ou é sintoma de coisa bugada e é melhor cair fora?
Já não uso flash, nem java nem nada... Acho que estou ficando paranoico ou tenho um fundo de razão ?
Chromium está fora de cogitação na minha opinião.

Se existe uma correção, houve uma falha e isto nunca é bom.
Mas a questão é saber de onde veio a detecção e quanto tempo levou para corrigirem.
Em geral isso parece ser muito rápido, a ultima falha que citou CVE-2015-4498 foi anunciada dia 27/08, mas a versão com a correção ja existia dia 26/08. Ou seja, eles corrigiram e depois anunciaram o problema para que os usuários e "distribuidores" ficassem cientes e atualizassem seus sistemas.

https://www.mozilla.org/en-US/security/advisories/mfsa2015-95/
http://ftp.mozilla.org/pub/firefox/releases/40.0.3/linux-x86_64/pt-BR/ <- Atenção a data do pacote
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4498

Quanto as distribuições, o importante é a politica de atualização dos pacotes e o acompanhamento das falhas, para que não demorem muito a fazer os updates. Principalmente após o anuncio da falha e disponibilização da correção.

Veja o exemplo da Red Hat, que documentou e lançou correção no mesmo dia do anuncio da mozilla.
https://rhn.redhat.com/errata/RHSA-2015-1693.html

Resumindo:
Eu confio no time da mozilla e não cogito deixar de usar o firefox tão cedo, ao menos enquanto ele funcionar bem para o que preciso e as falhas forem corrigidas rapidamente.

*No Chrome existem também muitas atualizações, mas como uso apenas para o netflix, confesso que não acompanho muito o motivo delas.

---------------------------------
Keep it Simple, Stupid

0 0

Quote

3. Re: Firefox Addon bypass dialog and spoof vulnerability (CVE-2015-4498)

removido
(usa Nenhuma)

Enviado em 29/08/2015 - 21:55h

phoemur escreveu:

Bom, gostaria de saber se sou só eu ou tem mais alguém que está de saco cheio de ter que ficar recompilando o firefox devido a vulnerabilidades sérias encontradas. Praticamente uma vez por semana acham alguma coisa:

27/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-95/
12/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-93/
11/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-79/
06/08 -> https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/

Não dá nem tempo de esfriar a CPU já estou eu recompilando o firefox no FreeBSD denovo...
Mesmo no Slackware que é só baixar a atualização já estou cansando disso...

EDIT: Eu uso firefox-esr

No meu desktop não me incomodo muito, pois no arch as atualizações são rápidas e mau vejo os alertas ja tenho uma correção.
Mas que preocupa, preocupa.

No CentOS as atualizações também são rápidas e no Windows, habilitando o serviço de atualização (É padrão), também é feito rapidamente e melhor que esperar uma semana como no IE.

*Mesmo no FreeBSD uso o pacote binário, consegue alguma vantagem recompilando ele no seu ambiente?
Como recompilar o firefox é osso, demora bastante mesmo em maquinas recentes(Medias claro, tem gente com hardware muito bom). É um dos poucos softwares que utilizo muito e não recompilo.

---------------------------------
Keep it Simple, Stupid

0 0

Quote

4. Re: Firefox Addon bypass dialog and spoof vulnerability (CVE-2015-4498) [RESOLVIDO]

phoemur
(usa Debian)

Enviado em 29/08/2015 - 22:53h

Na verdade não vejo vantagem nenhuma em compilar, pelo menos na minha máquinaque é bastante parruda. A não ser que necessite de alguma opção que o pacote padrão não tenha habilitado na compilação.

Contudo, no FreeBSD as atualizações de pacotes binários demora demais pra sair. Às vezes mais de 1 semana, e no sistema de ports as atualizações são insanas. Se eu der um update agora e outro daqui meia hora já vai ter coisa nova.
As coisas são feitas primeiro no ports e depois são empacotadas. Daí tem que contar com a pressa e a boa vontade do empacotador.

Mas acho que no fundo isso é mania de Slacker, pois os ports são parecidos com os Slackbuilds daí acabo me sentindo em casa :-)

0 0

Quote

5. Re: Firefox Addon bypass dialog and spoof vulnerability (CVE-2015-4498) [RESOLVIDO]

phoemur
(usa Debian)

Enviado em 29/08/2015 - 22:56h

Mas eu quis dizer que estou começando a ficar com o pé atrás depois de tanta atualização.
Será que isso é sintoma de boas práticas de segurança ou é sintoma de coisa bugada e é melhor cair fora?
Já não uso flash, nem java nem nada... Acho que estou ficando paranóico ou tenho um fundo de razão ?
Chromium está fora de cogitação na minha opinião.

0 0

Quote