Список файлов Linux пользователей не полный, не хватает .bash_history, .mysql_history, .pgsql_history, .ssh.

Пользователи рекламорезок, скорее, не были подвержены атаке. Пользователи noscript - точно.

http://i.imgur.com/S4MaHE7.png

Хотел после твоего сообщения поправить, но уже подтвердили.
Модераторы, добавьте:

Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd, а также файлами .bash_history, .mysql_history, .pgsql_history, .ssh ключами и файлами конфигурации, файлами конфигурации remina, Filezilla и Psi+.

PDF.js предельно безопасен, говорили они, в отличие от нативных просмотрщиков, говорили они.

каждому куску говнокода работающему с сетью и внешними данными по контейнеру

Просто отключил этот просмотрщик, как только он появился. Меня эвинс вполне устраивает. Мне что-то грозит?

Блокируют флеш, а свой дурацкий PDF-просмотрщик ни-ни.

могли бы еще и сайт указать

Yesterday morning, August 5, a Firefox user informed us that an advertisement on a news site in Russia was serving a Firefox exploit that searched for sensitive files and uploaded them to a server that appears to be in Ukraine

Решето

Пользуюсь ublock, noscript и disconnect, а также редко хожу по новостным сайтам. Надеюсь, я не заражён.
ЗЫ. Утром лиса до 39.0.3 обновилась. Это был фикс этой уязвимости ?

заражение и скомпрометированные данные - это совершенно разные вещи

о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Танцпол же!

наверное meduza какая-нибудь

Информация об уязвимости

Сначала, подумал, что новость - фейк. Оказалось, нет.

Вот нашел подтверждение на сайте Мозиллы:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/

Почему бы им не запретить свой Js-просмотрщик PDF? Всё равно он полное неконкурентноспособное говно, в сравнении с нативными клиентами.

«Всё в веб» — это так же, как коммунизм. На словах звучит просто супер, а на деле жалкое и вообще ни на что не способное говно.

и просмотрщика PDF, встроенного в браузер.

Ждем уязвимость в DRM-модуле лиса, которую не будут фиксить.

Меня эвинс вполне устраивает. Мне что-то грозит?

Тебе грозит повышенная адекватность. Находясь в обществе макак с «вебом головного мозга», ты можешь чувствовать себя излишне адекватным человеком. А отсюда неизбежные стрессы и раздражения, из-за которых ты можешь сорваться и кого-нибудь побить, например.

То, что скрипт выполнился и мои файлы куда-то отправили, можно считать заражением.

А как отключить ?

Ждем уязвимость в DRM-модуле лиса, которую не будут фиксить.

Так на линуксы его не завезли

на неназванном российском новостном сайте

Неужели это ЛОР?

Это факты. Если бы данные передавались на израильский сервер, что-то бы поменялось? Давайте теперь делать вид, что вон той страны вообще не существует и упоминать её нельзя?

как отключить ?

«pdfjs.disabled», true

вообще, рекомендую полуркать настройки тут

Атака была нацелена на пользователей Windows и Linux

А нет ли тут притеснения OS X меньшинств?

А на OS X ты ничего и толком не сделаешь с помощью сабжа, секурность же

точно такое же решето просто на макогеев всем насрать

А на OS X ты ничего и толком не сделаешь с помощью сабжа, что можно сделать толкового взломав локалхост гей-хипстера

Так apple keychain же. А на линуксе много софта любят хранить пароли в конфигах хомяка в плеинтексте...

то есть у них pdf.js работал в повышенными привилегиями и туда можно было насовать код. который что-то там срабатывал. дыра то еще ширше чем все думают.

Много софта - это кто?

то есть у них pdf.js работал в повышенными привилегиями

нет

и просмотрщика PDF

Давно пора это позорище выпилить из браузера.

чо нет. как они из js файл загрузили с диска?

Было оперативно выпущены обновления Firefox 39.0.3 и Firefox ESR 38.1.1, исправляющие данную уязвимость.

Уже поставил. Сплю спокойно.

js внезапно тоже с диска. same origin policy гугли.

Все-таки атака (хоть и успешная) и заражение это не одно и тоже. Тут разница примерно как между тем, что ваши фотки в душе сопрут и изнасилуют в подъезде.

Mac users are not targeted by this particular exploit but would not be immune should someone create a different payload.

Мне кажется, новость на ЛОРе преподаёт этот факт иначе. И не должна ли сработать песочница?

и просмотрщика PDF, встроенного в браузер. Уязвимость не касается версий Firefox, где просмотрщика PDF нет

Пользователи перегруженных комбайнов должны страдать.

а то ты сам не знаешь.

С помощью RequestPolicy-like аддонов такого можно избежать. Ну и да, pdf.js не нужен.

Жесть, эпичное решето

Вот и меня это интересует. Это только у PDF.js такая привилегия, доступ к ФС, или что? И если дырка в PDF.js то при-чём тут Some origin?

Как вообще жабаскрипт со странички может получить доступ к локальным файлам? Я правильно понимаю что у них код жабаскриптов самого файрфокса оказался доступен жабаскрипту страницы, а жабокод файрфокса мог прочитать локальные файлы? Если так то это жестокая жесть, однако, фактически полный доступ кому угодно ко всем файлам на компе, нормальный такой бекдор... :(

Видимо как-то так. Вон в доках написано, что браузерный жабокод имеет доступ к файлосистеме.

ко всем файлам на компе

С фига ли? Права файлосистемы никто не отменял.

Где эксплойт для Ъ?

Задал тот же вопрос у них в блоге.

Same Origin политика - не допускает получение данных из источника не относящегося к домену откуда поступает запрос, исключение - заголовок Access-Control-Allow-Origin где можно указать откуда разрешен доступ.

Если эти ушлепки настолько тупы что перезаписывают этот заголовок для pdf.js то я нах валю с FF.

Решето! Не успел дождаться пока починят плагин для текущей версии жынолиса, как - «обновитесь и поломайте его снова». Эта мозилла когда-нибудь нормально заработает без глюков или это фантастика?

Ну читать файлы - ок. Но ни каким хером он не должен иметь возможности делать ajax с ними, это ж наскольно они упороты что разрешили такое.

да, я вот тоже думаю, каковы были причины разрешать такое. это странно.

Ну читать файлы - ок. Но ни каким хером он не должен иметь возможности делать ajax с ними, это ж наскольно они упороты что разрешили такое.

Почему нет? Там привелегированый жабоскрипт, который мозиловцы и мб аддонопейсатели используют для своих дел, может им таки реквесты понадобится отсылать.

Вопрос в том, с фига ли обычная страница может вызывать этот привелегированый жабокод.

Хочется больше подробностей технических.