Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP"	+/–
Сообщение от opennews (??), 12-Сен-23, 22:28
Компания Google опубликовала обновление браузера Chrome 116.0.5845.187, в котором устранена критическая уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP. Уязвимость позволяет выполнить свой код при обработке специально оформленных  WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59746
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от дАнон (?), 12-Сен-23, 22:42	+3 +/–
PSP-3000 уже много лет, а взлом через картинки не устарел :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от Аноним (5), 12-Сен-23, 22:50	–11 +/–
Скажи спасибо убогому Си который никогда не устареет с его уязвимостями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

7. Сообщение от Анрним (?), 12-Сен-23, 23:13	+/–
> критическая уязвимость вызвана переполнением буфера Ну, кто бы сомневался... Старая добрая игра "узнай язык по заголовку новости об очередной дырени".
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Ivan_83 (ok), 12-Сен-23, 23:17	+/–
Пользователи венды в опасносносте как всегда, под зоопарк остальных ОС никто и не пошевелится ничего писать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #25

9. Сообщение от Ivan_83 (ok), 12-Сен-23, 23:17	+3 +/–
А где в стандарте С уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #12

10. Сообщение от Анониммм (?), 12-Сен-23, 23:30	+2 +/–
яблоко выпустило срочно-фикс, что там естественно не написали, но как-то совпало... браузеры тоже получили хотфикс если кто-то сидит на копро дистрибутивах или пакетах, это их трудности, пусть страдают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #14

11. Сообщение от Анониммм (?), 12-Сен-23, 23:33	–3 +/–
они там называются undefined behaviour) хотя может уязвимость в головах С программеров? они уже старенькие, там деменция и дегенеративные изменения мозга можно еще вспомнить строки "читай пока не закончится"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16

12. Сообщение от Анонимусс (?), 12-Сен-23, 23:34	+/–
Так вот же - ISO/IEC 9899 Секции:   J.1 Unspecified behavior   J.2 Undefined behavior
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Аноним (14), 13-Сен-23, 00:10	–1 +/–
Это имеет значение только по причине агрессивной монетизации веба. Вините во всём Гулаг и проклинайте рекламщиков. Или используйте блокировщик рекламы режущий её до загрузки и добавления на страницу и вас это не особо беспокоит в таком случае.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

14. Сообщение от Аноним (14), 13-Сен-23, 00:11	+/–
Любители статической линковки и бандленных либ в очередной раз прокатились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от Аноним (15), 13-Сен-23, 01:08	–2 +/–
image.webp.enabled ну и image.avif.enabled и image.jxl.enabled . Ффтопку эти новомодные графические форматы. Как гуглаг на раст своё говно перепишет - вот тогда пусть и приходит.
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 13-Сен-23, 01:15	+/–
UB тут причём? Чтение непонятно чего непонятно какого размера в непонятный буфер - это банальный говнокод. Если вы так переживаете за всё это - программируйте на Ада, либо напишите когда Rust перестанет быть очередным пакетным адом, который можно оправдать только тем, что "пользователям сложно понять линковщик"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от FF (?), 13-Сен-23, 02:07	+/–
Это как Unsafe, используй где хочешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 13-Сен-23, 03:52	+/–
хром на 7-й винде обновят?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #28, #32

19. Сообщение от Алексей (??), 13-Сен-23, 07:11	+1 +/–
При чем здесь монетизация? Большое количество сайтов используют WebP не только для рекламы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #21

21. Сообщение от Аноним (14), 13-Сен-23, 08:41	+1 +/–
Малварь наиболее успешно распространяется через рекламные сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #29

22. Сообщение от Дмитро (?), 13-Сен-23, 10:12	+1 +/–
На 7 опера норм работает, в отличие от
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (23), 13-Сен-23, 12:42	+1 +/–
"и выполнить код в системе за пределами sandbox-окружения"... Я что-то не понимаю. А зачем тогда sandbox вообще нужен, если он НЕ РАБОТАЕТ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

24. Сообщение от Аноним (24), 13-Сен-23, 13:06	+/–
те, кто на линуксе, могут не беспокоиться: хакиры в основном целятся в подоконников
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

25. Сообщение от пох. (?), 13-Сен-23, 13:18	+1 +/–
у них хоть антивирус встроенный есть (и уж такое-то справится отловить) А у тебя только вера в зоопарк и что все поленятся лишний раз авогенерилку эксплойтов запустить (а ты думал, руками, что-ли?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

26. Сообщение от пох. (?), 13-Сен-23, 13:19	+2 +/–
хорошие ребята получили зарплаты. Чего неясно-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30

27. Сообщение от Аноним (28), 13-Сен-23, 19:34	+/–
Они по площадям работают нив кого они не целятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

28. Сообщение от Аноним (28), 13-Сен-23, 19:35	+/–
Нет, конечно же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

29. Сообщение от Аноним (29), 14-Сен-23, 07:24	+/–
Я дважды схватывал винлокер из-за рекламы на Adobe Flash, пока не установил нормальный адблок и не перешёл на Убунту. Похоже с тех пор ничего не поменялось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (30), 14-Сен-23, 07:59	+/–
Такие как мы с вами, так что нечего грустить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от RM (ok), 14-Сен-23, 12:52	+/–
Да, уже. Version 109.0.5414.165 (Official Build) (64-bit)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема