Názory k článku
Zranitelnost Firefoxu umožňuje na Windows spustit škodlivý kód

Dobre si pamatam, ze prehliadač TORu ma defaultne vypnuty JS? Ergo TOR nema problém?

Praveze jej vypnuty nema jiz mnoho mesicu, protoze chodilo hodne stiznosti a nic nefungovalo, napr. hodne stiznosti bylo na nemoznost sledovani videi na Youtube (nehlede na to, ze vypnuty snizuje anonimitu (i selektivne pres doplnek NoScript)). Jen skalni pranoici jej po nainstalovani vypinali...

Samozrejme chyba je to kastastroficka a pro zapnuti Javascriptu neni zadny duvod, ani jej v dnesni dobe pouzivat (vyvoj nesmyslne tlaci firmy G, F apod., ktere trvaji na svys nesmyslnych desktopovych aplikacich).

V současnosti je defaultně v Tor Browseru zapnuto docela dost. Je tam velmi snadné Privacy and Security nastavení se 4 stupni:

Low (default) - All browser features are enabled. This provides most usable experience.

Medium-Low - HTML5 medias click-to.play, some JavaScript performance optimizations are disabled (asi protože jsou zabugovaný?), remove JAR files are blocked. Tohle bych řekl že je dost přijatelný a bral bych to jako default.

Medium-High - (to co ML a) All JavaScript performance optimizations are disabled, some font rendering features are disabled, JavaScript disabled on all non-HTTPS sites. (asi by někomu mohlo vadit ale pořád ještě použitelné)

High - JavaScript is disabled on all sites, some types of images are disabled (slyšel jsem o nějakém bugu v SVG to leakne lokální IP, asi toho bude víc) a další z předchozích stupňů.

Nemylim sa ak si spominam ze snad este dva roky dozadu sa dalo v ramci nastaveni nastavit omnoho viac veci? teraz je tam fakt akurat tak stvorstavovy prepinac a to je vsetko

Jsou to jen zjednodušený nastavení které snad dokonce vyskočí při prvním spuštění a pochopí je úplně každý. Nic nebrání nastavit si to sám v nastavení Firefoxu, NoScriptu a.d.

Firefox 50.0.2 je na světe. Během 24 hodin by měla ke všem dojít automatická aktualizace. Pro nedočkavé bude brzy ke stažení z mozilla.org i mozilla.cz. Pro ještě nedočkavější už teď na https://archive.mozilla.org/pub/firefox/releases/50.0.2/.

A je v té 50.2 oprava té chyby? Podle:
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/#firefox50.0.2
přibyl pouze jeden buxfix, takže by to muselo být "Firefox SVG Animation Remote Code Execution". Zvláštní že to nemají označené critical.

Šlo o chybu při kombinaci SVG a JS, respektive při vytváření SVG pomocí JS.

vytváření SVG pomocí JS

Aaaano, zkušenost s PDF "prohlížečem" nestačila, že... :-X

Tvorba SVG je standardní součást JavaScriptu jako jazyka, nemá to nic společného s přidaným prohlížečem PDF.