Атакуют через Мозиллу

Для Ъ:

This vulnerability affects Firefox < 131.0.2, Firefox ESR < 128.3.1, Firefox ESR < 115.16.1, Thunderbird < 131.0.1, Thunderbird < 128.3.1, and Thunderbird < 115.16.0.

позволяет запускать в браузере произвольный код, без всякого взаимодействия с пользователем - достаточно всего лишь проследовать по ссылке со зловредом

Браузерный zero-click exploit, то с чего так трясся Столяров. 🤪

запускать в браузере произвольный код, без всякого взаимодействия с пользователем - достаточно всего лишь проследовать по ссылке со зловредом

Тоже мне невидаль.

вкупе с другой дырой в оффтопике

С этого надо было начинать. Желательно в тегах ;)

...тор-браузер тоже подвержен уязвимости.

Я в курсе, мать писала.

...достаточно всего лишь проследовать по ссылке со зловредом.

Я не понял, ты чо, в деле, что-ли?

Браузерный zero-click exploit, то с чего так трясся Столяров. 🤪

Не помню чтобы он возражал против animation-timeline в CSS. CSS ведь не тьюринг-полный, чего его бояться ;-)

С этого надо было начинать. Желательно в тегах ;)

В CVE ссылки на баг-трекеры Debian и FreeBSD, видимо угроза не только на Windows.

CSS ведь не тьюринг-полный

С 2016го уже полный: https://sliva0.mk/articles/turing_complete_css

Веб-макак на мыло!

зиро-клык - это другое, когда тебе сообщение или что-то еще приходит куда-то в запущенную программульку, никаких дополнительных клыков или еще чего-то не нужно делать, оно всё само, без твоего участия. зирокликом был бы клоунстрайк например, если бы то было целенаправленной атакой.

а тут нужно сделать минимум 1 клик чтобы проследовать по ссылке.

ШЕТЕРО

зиро-клык - это другое, когда тебе сообщение или что-то еще приходит куда-то в запущенную программульку

Поскольку Thunderbird тоже попадает под эти цвехи, то не все так однозначно, как кажется на первый взгляд. Проблема может быть в обработчике превью, особенно если глобально включено содержимое или отправитель в trusted-листе на загрузку содержимого.

Пока некоторые обсуждают выход новой версии Мозиллы

This vulnerability affects Firefox < 131.0.2

Там вроде 133 обсуждают нынче. Уже несколько раз обновиться должно.

affects Firefox < 131.0.2

но сейчас вышел 133, а 132 вышел 6 недель назад

https://www.mozilla.org/en-US/firefox/131.0.2/releasenotes/

Version 131.0.2, first offered to Release channel users on October 9, 2024

• 7 недель назад

но сейчас вышел 133

во-первых не брала, а во-вторых уже положила! (с)

CSS ведь не тьюринг-полный, чего его бояться

Насколько я помню его тейки были вообще про абстрактную концпецию что тебе в браузер однажды может приехать зиродей на ровном месте в виде произвольного исполняемого кода, в первую очередь JS, но не только.

На самом деле, как бы это не было странно, но последнее время, лично мне не кажется такой уж фриковой концепция запуска браузера в chroot в linux или в jail на BSDе.