阅读:3205回复:16
Firefox 49 正式版将推迟一周发布
Firefox 49.0 正式版按计划原定于 9 月 13 日发布,不过 Mozilla 刚宣布因为有一些问题要解决,所以推迟一周到 9 月 20 日发布,而 Firefox 50.0 的计划仍不变,原来 50.0 是在 49.0 以后八周发布,现在改为 7 周。
bug 主要有两个: Bug 1301138 点击内嵌在 Twitter 里面的 Giphly 会载入空白页。 Bug 1284511 恢复 app 时候经常会显示脚本无响应的提示框。 Mozilla 表示对于这两个 bug 正在修复,并需要时间测试问题是否彻底解决,所以推迟一周发布。 http://www.ghacks.net/2016/09/09/mozilla-postpones-firefox-49-release/ |
|
|
1楼#
发布于:2016-09-18 20:35
@pcxfirefox
这是直接针对 49 的 workaround 参考之前提到的 https://bugzilla.mozilla.org/show_bug.cgi?id=1303127 目前相关 bug 包括 * 修改生成 preload static pinning 列表的自动化脚本延长过期时间(1303414) * 把生成的延长了过期时间的 preload static pinning 列表编译进二进制(对应 49 的这个 1303370 和对应 45esr 的 1285849) * 扩展更新需要验证 id 是否匹配(1303418) * 服务器端配置 HPKP 头(1303371) * 对更新信息签名(1303183) 1、2、3、5 都涉及客户端的修改 |
|
|
2楼#
发布于:2016-09-18 14:11
嗯 下周二释放出更新解决,就是49可以搞定,48可能也有更新
Mozilla 计划于9月20日(下周二)释出更新修复 Firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定(Certificate pinning)保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书,防止伪造证书,即使那些证书是浏览器信任的CA签发的。但研究人员发现Mozilla的实现有漏洞,允许中间人攻击者使用浏览器信任的CA签发伪造的Mozilla扩展addons.mozilla.org服务器证书,向目标用户传送恶意扩展更新。有能力入侵CA签发伪造证书的攻击者通常被认为有国家在背后支持。Tor项目在周五对这一漏洞发出了警告,Tor浏览器是基于Firefox。 http://www.solidot.org/story?sid=49711 |
|
|
3楼#
发布于:2016-09-18 13:38
aaaa007cn:反正最危险的扩展更新服务器已经引入了 HPKP 头https://hg.mozilla.org/releases/mozilla-release/rev/416dc3163a1f 就是这个修复吧 |
|
|
4楼#
发布于:2016-09-18 12:37
关注下问题。
|
|
5楼#
发布于:2016-09-18 11:32
我的已经更新了49.0了。
图片上传不了。 |
|
|
6楼#
发布于:2016-09-17 15:12
反正最危险的扩展更新服务器已经引入了 HPKP 头
> curl https://versioncheck.addons.mozilla.org/update/VersionCheck.php -I HTTP/1.1 200 OK Cache-Control: max-age=3600 Content-Length: 154 Content-Type: text/xml; charset=utf-8 Date: Sat, 17 Sep 2016 07:08:21 GMT Expires: Sat, 17 Sep 2016 08:08:21 GMT Last-Modified: Sat, 17 Sep 2016 07:08:21 GMT Public-Key-Pins: max-age=90000; pin-sha256="WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18="; pin-sha256="r/mIkG3eEpVdm+u/ko/cwxzOMo1bk4TyHIlByibiA5E="; report-uri="/__hpkpreport__" Server: nginx Connection: keep-alive 只要这个漏洞还没有被人利用上 用户打开 firefox 最多 24 小时内就可以刷新受影响的 pinning 过期时间了 |
|
|
7楼#
发布于:2016-09-17 14:30
|
|
|
8楼#
发布于:2016-09-17 13:48
fang5566:不清楚 恐怕赶不上吧回到原帖https://blog.mozilla.org/security/2016/09/16/update-on-add-on-pinning-vulnerability/ Mozilla is releasing a fix for Firefox on Tuesday, September 20. 这可是严重隐患 不发 49 也得 48.1 或者 48.5 |
|
|
9楼#
发布于:2016-09-16 17:50
|
|
|
10楼#
发布于:2016-09-16 15:54
|
|
|
11楼#
发布于:2016-09-09 23:51
yoyocheung:建议把楼上封了,怎么看都是无脑黑回到原帖那货每隔几天发个帖子,帖子内容看上去又超级蠢,我还以为是官方请来加人气的 |
|
12楼#
发布于:2016-09-09 22:00
yoyocheung:建议把楼上封了,怎么看都是无脑黑回到原帖你这招太狠啦。。。连IP段一起封吧 否则换个马甲又回来了 |
|
13楼#
发布于:2016-09-09 19:02
总比出.0.1好。
|
|
14楼#
发布于:2016-09-09 17:57
只要没倒闭就好
|
|
上一页
下一页