Firefox 爆出了一個新漏洞，但所幸已經被補上了

昨天，有人在一家俄羅斯新聞網站的廣告內發現了一個嚴重的Firefox漏洞，據稱它會繞過瀏覽器的「源頭政策（origin policy，第一道安全防線）」，植入惡意 javascript 腳本，竊取裝置上的敏感數據並將其上載至位於烏克蘭的伺服器。不過按照 Mozilla 的說法，這個漏洞所帶來的風險主要是「針對開發者」，它瞄準的都是瀏覽器和 FTP 配置檔案，而且攻擊的時候「不會在裝置上留下痕跡」。

據稱目前該漏洞只會影響到 Windows 和 Linux 電腦，Mac 暫時還比較安全。當然囉，官方的建議，還是儘快將各平台的 Firefox 升級到已將漏洞補上的 39.0.3 版本，這樣一來攻擊者就無機可乘了。值得一提的是，所幸第一個發現此事的，是一位名叫 Cody Crews 的安全研究員。他第一時間將問題報告給了 Mozilla，所以各位在趕緊去更新的同時，也在心裡感謝一下他吧。

atmouse：我是说，给升到 ESR 38， 不在同个更新通道。难道还要我卸载重装回到原帖

ESR 31.8现在本来就是缓冲期里的最新版自动是升不了的，等介个晚上或明个或过些时候官方网在线推送后就可以正常升ESR 38了（ESR 31.8缓冲期终结），等就可以了，ESR更新通道并没有改变。国际官方网现在还没上线虽然ftp上了40正式版和ESR 38.2.0正式版。

aaaa007cn：糕糕贴 log 出来啊
看这个 https://www.firefox.net.cn/read-51154回到原帖

图片：tumblr_static_log.jpg

atmouse：我是说，给升到 ESR 38， 不在同个更新通道。难道还要我卸载重装回到原帖

糕糕贴 log 出来啊
看这个 https://www.firefox.net.cn/read-51154

leave：我就是问问，39.0.3现在可以看pdf吗？到底还有问题没？回到原帖

当然可以看pdf了，没有问题！！！！！！！！！！！！！！！！！！！！

pcxfirefox：停止维护了吧回到原帖

我是说，给升到 ESR 38， 不在同个更新通道。难道还要我卸载重装

atmouse：ESR 31.8还不升啊回到原帖

停止维护了吧

ESR 31.8还不升啊

我就是问问，39.0.3现在可以看pdf吗？到底还有问题没？

meat：pdf真不是关系不大。有各种plugin还费心机用js去实现一个足显pdf的影响力。也许是chrome以前没想到还能直接去当阅读器。

其实Gecoko引擎一开始就也是被不少软件做渲染引擎的，但除了Thundermail算是有人用以外，其它...回到原帖

markdown 那主要还是 nodejs 或者说 V8 的功劳
然后正好配合 webkit 来做界面
虽然跑起来要占用大量资源效率捉急
但是架不住开发门槛低、npm 搭积木效率高啊

pdfjs按照现mozilla瘦身策略，迟早剥离为附加组件

qweszxc：PDF真的可以踢现在就可以踢而Flash暂时还踢不了的，即便跟PDF关系不大以后PDF的大漏洞是一波接一波的。所以火狐还是要有个能让人选择是否使用PDF的开关就好了。回到原帖

pdf真不是关系不大。有各种plugin还费心机用js去实现一个足显pdf的影响力。也许是chrome以前没想到还能直接去当阅读器。

其实Gecoko引擎一开始就也是被不少软件做渲染引擎的，但除了Thundermail算是有人用以外，其它都无声息了。

倒是webkit。。。从Android界面到markdown软件，非常流行

另外对于网上安全阅读PDF是要有防范安全意识的不是逮到就读的。这个不是三言两语能说的清的，看人品了。

yfdyh000：我怎么觉得跟PDF关系不大，又不是Flash那样的封闭格式，开发过程中的问题而已。
如果有漏洞就踢出去，Flash、JS、DOM、Cookies、SSL等早就踢光了。

https://www.mozilla.org/en-US/secur...回到原帖

PDF真的可以踢现在就可以踢而Flash暂时还踢不了的，即便跟PDF关系不大以后PDF的大漏洞是一波接一波的。所以火狐还是要有个能让人选择是否使用PDF的开关就好了。