LINUX.ORG.RU

В браузере Google Chrome обнаружена первая уязвимость

 , ,


0

0

В браузере Google Chrome обнаружена первая уязвимость, сообщает TG Daily. Она позволяет удаленно запускать практически любой файл на компьютере пользователя. Данную уязвимость обнаружил эксперт по компьютерной безопасности Авив Рафф (Aviv Raff).

Для того, чтобы злоумышленники смогли воспользоваться уязвимостью, пользователь должен зайти на специальный сайт и самостоятельно кликнуть на иконку загрузки исполняемого файла. Лишь после этого безопасность его компьютера, при работе с Chrome, окажется под угрозой.

>>> Подробности



Проверено: Shaman007 ()

Все идет по плану. Скоро ОН наступит.

anonymous
()

Повторяется история с Safari 3 и FireFox 3. Чем больше понтов (самый быстрый, самый секурный, с поиском от Яndexа), тем хуже результат.

ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

m16a1
()

>Для того, чтобы злоумышленники смогли воспользоваться уязвимостью, пользователь должен зайти на специальный сайт...

google.com?

KblCb ★★★★★
()

Через Java Script происходит? Хотелось бы видеть более подробную информацию, а то везде только слова, что тут, что на Ленте.

slonotop
()
Ответ на: комментарий от m16a1

> Повторяется история с Safari 3 и FireFox 3. Чем больше понтов (самый быстрый, самый секурный, с поиском от Яndexа), тем хуже результат.

Главное не это, главное то, что уязвимость _уже_ нашли благодаря тому, что это опенсорц

> ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

наверное потому, что он опенсорц?

angel_eyes
()

Интересно, а под Линух когда выйдет, тоже удаленно можно будет запустить любой файл? :)

ЗЫ Ну я думаю исправят эту уязвимость в течение пары часов. А висящий в памяти ГуглАпдейтер обновит браузер даже незаметно для юзера :) (чето это меня пугает)

anonymous
()

идиооооооты! содрали с ленты-ру. хоть бы головой подумали. этой уязвимости подвержены все браузеры способные загружать исполняемые файлы. откуда браузеру знать какую гадость юзер скачает и запустит.

anonymous
()

Амбициозному проекту - большую дыру в безопасности.

Barlog_M
()
Ответ на: комментарий от anonymous

> Компилятор тебе в руки.

Note: There is no working Chromium-based browser on Linux. Сами гугловцы никак не допилят, а вы предлагаете в чужом г**нокоде ковыряться.

m16a1
()

Фигня какая, дурная голова юзера - не уязвимость, а лучшая реклама для браузера. Ибо если тот выживет в руках среднестатистического кретина с инет-зависимостью, то круче уже быть не может и можно прекращать разработку и возлежать на лаврах в вечности.

Gharik
()

> пользователь __должен зайти__ на специальный сайт и __самостоятельно кликнуть__ на иконку загрузки исполняемого файла.

ССЗБ. Напоминает вирусы для Linux.

GFORGX ★★★
()
Ответ на: комментарий от m16a1

> Повторяется история с Safari 3 и FireFox 3. Чем больше понтов (самый быстрый, самый секурный, с поиском от Яndexа), тем хуже результат.

Есть некоторые люди, которым все плохо. Вы один из них. Ошибок не совершает только тот, кто ничего не делает.

> ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

Как научитесь читать и думать, то вопрос отпадет сам собой.

andreyu ★★★★★
()

Бетя есть бета, хотя жаль, что уязвимость настолько, судя из описания, критическая.

shdr
()
Ответ на: комментарий от slonotop

>Хотелось бы видеть более подробную информацию, а то везде только слова, что тут, что на Ленте.

http://milw0rm.com/exploits/6353

Правда, там эксплойт на другую уязвимость (ту, что описывают здесь - была в Safari и ее поправили [если я правильно понимаю]), а потому можно утверждать, что на данный момент... Google Chrome - решето! ;)

X-Pilot ★★★★★
()
Ответ на: комментарий от m16a1

> Note: There is no working Chromium-based browser on Linux. Сами гугловцы никак не допилят, а вы предлагаете в чужом г**нокоде ковыряться.

Зачем, ковыряйтесь в своем. Вас никто не обязывает.

andreyu ★★★★★
()
Ответ на: комментарий от sv75

>Так и будет со всемми, не использующими кошерный конкрерор.

Это тот, который падает по поводу и без и тормозит на JS?

anonymous
()

у Г-компании - все продукты, могут быть по определению, только "Г". "как вы лодку назовете, так она и поплывет" (c).

p.s. они перед Dmoz.org извинились, хотя БЫ ? для начала.

anonymous
()
Ответ на: комментарий от angel_eyes

> Главное не это, главное то, что уязвимость _уже_ нашли благодаря тому, что это опенсорц

Да это просто зависть оперофилов.. К этому тотему толком даже уязвимости не анонсятся, ибо не прославишься ;) Даже к бете, которую выкладывали, и которая как бы проходила 100% АCID3 да почему то где-то так и сгинула.. А тут бета от самого гугла позволяет самому себе закачать вирус.. Та ты шо..

Bod ★★★★
()
Ответ на: комментарий от anonymous

нет, это тот конкреор, которых, может юзать еще менее кошерный XUL, в качестве back-end-а, который не падает и не тормозит, только когда ветер попутный.

anonymous
()
Ответ на: комментарий от andreyu

> Как научитесь читать и думать, то вопрос отпадет сам собой.

Читающий и думащий. Вот тебе задача. Google Chrome под Linux НЕ работает, офтопиком НЕ является. Теперь давай возьмём любую другую программу ТОЛЬКО для Windows с открытым исходником. Будет она тут офтопиком ? Почитай и подумай.

haywire
()
Ответ на: комментарий от andreyu

> Есть некоторые люди, которым все плохо. Вы один из них.

Есть такие проекты, о которых не кричат по всему миру: "Мы сегодня вам покажем супер-мега браузер", а скромно релизят. А здесь идет тупая проверка, на то сколько скачавших обновится.

> Как научитесь читать и думать, то вопрос отпадет сам собой

Тут уже мне намекали, что проект опенсорсный. Может, тогда обсудим новые релизы Nodepad++?

m16a1
()




вроде всё сделал верно:

$ svn co http://src.chromium.org/svn/trunk/depot_tools/linux depot_tools
$ export LANG=C # temp workaround for gclient behavior

$ ./depot_tools/gclient config http://src.chromium.org/svn/trunk/src
$ ./depot_tools/gclient sync
$ cd ./src/chrome
$ ../third_party/scons/scons.py Hammer


но. кто знает, в чём проблема ...

[anders@fedora chrome]$ ../third_party/scons/scons.py Hammer
scons: Reading SConscript files ...
scons: done reading SConscript files.
scons: Building targets ...
scons: *** Source `Hammer/webkit/port/bindings/js/PausedTimeouts.cpp' not found, needed by target `Hammer/webkit/V8Bindings/SharedSources/PausedTimeouts.cpp'. Stop.
scons: building terminated because of errors.


даже повторял svn-интся ....

kbps ★★★
()

>Для того, чтобы злоумышленники смогли воспользоваться уязвимостью, пользователь должен зайти на специальный сайт и самостоятельно кликнуть на иконку загрузки исполняемого файла.

Дождавшись загрузки, запустить файл и согласившись с лицензией, нажать на кнопку "Заразится".*

_____________
* - Пользователям GNU/Linux придется, запускать от root с предварительно отключенным SELinux, так что для заражения компьютера может потребоваться помощь Вашего системного администратора.

wfrr ★★☆
()
Ответ на: комментарий от Bod

А в целом, засилье явы, скриптов и флешей в инете одинаково бьет по всем браузерам. Хоть по нулевым бетам, хоть по подбирающимся к десятым версиям релизам.. И ничего не поделаешь. Это web *.0
Гламур и рюшки наступают..

Bod ★★★★
()
Ответ на: комментарий от sabonez

>Google, Gnome - все что на G, оно и есть Г.

длинными зимними ночами тайком под одеялом мечтаешь вернуться в венду, где минимум GNU и GPL? :)

geek ★★★
()
Ответ на: комментарий от anonymous

>нет, это тот конкреор, которых, может юзать еще менее кошерный XUL, в качестве back-end-а, который не падает и не тормозит, только когда ветер попутный.

Эта какая-то фантастика. Где скачать?

anonymous
()
Ответ на: комментарий от haywire

> > Как научитесь читать и думать, то вопрос отпадет сам собой.
> Читающий и думащий. Вот тебе задача. Google Chrome под Linux НЕ работает, офтопиком НЕ является. Теперь давай возьмём любую другую программу ТОЛЬКО для Windows с открытым исходником. Будет она тут офтопиком ? Почитай и подумай.

Даю еще одну попытку, а пока "двойка".

andreyu ★★★★★
()
Ответ на: комментарий от GFORGX

>> пользователь __должен зайти__ на специальный сайт и __самостоятельно кликнуть__ на иконку загрузки исполняемого файла.

> ССЗБ. Напоминает вирусы для Linux.


Я сейчас выложу тут линк на сайт, где можно увидеть сиськи Sun-ch^W Aviva. Там нужно будет самостоятельно кликнуть на линк-картинку (линк на бинарник).
Угодай сколько будет кликов?

sdio ★★★★★
()
Ответ на: комментарий от m16a1

> > Есть некоторые люди, которым все плохо. Вы один из них.
> Есть такие проекты, о которых не кричат по всему миру: "Мы сегодня вам покажем супер-мега браузер", а скромно релизят. А здесь идет тупая проверка, на то сколько скачавших обновится.

Вы про Nodepad++? Так что про него кричать? Да и кому?

> > Как научитесь читать и думать, то вопрос отпадет сам собой
> Тут уже мне намекали, что проект опенсорсный. Может, тогда обсудим новые релизы Nodepad++?

А Nodepad++ линуксовый? Или он имеет хоть какое то влияние/значение для людей?
Нет я понимаю, вы и ваш друг им пользуетесь. Жить без него не можете, но для остальных он ничто.

andreyu ★★★★★
()
Ответ на: комментарий от sdio

> Я сейчас выложу тут линк на сайт, где можно увидеть сиськи Sun-ch^W Aviva. Там нужно будет самостоятельно кликнуть на линк-картинку (линк на бинарник).

Жду линк. Мне интересно, много ли тут умников, которые кликают не глядя что это за линк.

> Угодай сколько будет кликов?

Хез.

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

> Даю еще одну попытку, а пока "двойка".

Теряюсь в догадках, о великий учитель. *Планируется* версия для Линукс ? Ну так обещанного три года ждут. Когда будет, тогда и поговорим. А пока...

haywire
()
Ответ на: комментарий от haywire

> Теряюсь в догадках, о великий учитель. *Планируется* версия для Линукс ? Ну так обещанного три года ждут. Когда будет, тогда и поговорим. А пока...

Слишком пафосно. Понимаю, вам интереснее и полезнее обсуждать шрифты на скриншоте Васи Пупкина. Ведь скриншоты имеют непосредственное отношение к Linux и Open Source.

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

>Теперь давай возьмём любую другую программу ТОЛЬКО для Windows с открытым исходником. Будет она тут офтопиком ?

Ты задал вопрос, я тебя отправил на сайт www.opensource.ru обсуждать виндовые опенсорные программы. Ты по линку сходил?

sdio ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.