LINUX.ORG.RU

В Tor Browser (и Firefox) обнаружена 0-day уязвимость

 , , ,


1

2

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

Deleted

Проверено: Shaman007 ()
Последнее исправление: sudopacman (всего исправлений: 6)
Ответ на: комментарий от svr4

Если гуглодоксом нельзя пользоваться без жопаскрипта, то гуглодокс — ненужно.

awesomebuntu
()

на сайтах, не заслуживающих доверия

Пойду поотрубаю жабоскрипт на всех новостных сайтах.

Jack-Laphroaig
()
Ответ на: комментарий от svr4

Для сайтов, которым ты доверяешь, можно и включить (так же, как можно запускать софт, скачанный с сайтов, которым ты доверяешь).

Хотя гуглдокс та ещё какашка. Есть же нормальные редакторы — ed, vi.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от mandala

Г*внопиар Whonix.

Этому господину неделю чая за счёт заведения.

Deleted
()

Хочу, чтобы нашлась тысяча уязвимостей, работающих через жабоскрипт. Может тогда веб-макакам запретят наконец пихать его туда, где он не нужен.

Спасибо за внимание.

anonymous
()

рекомендуется блокировать JavaScript

aboout:config => javascript.enabled: false — мой личный ускоритель интернета. Всегда так делаю.

kawaii_neko ★★★★
()

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

Напомните кто тут из местных хипсторов спрашивал зачем нужно выключать жабоскрипт.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия.

А почему „до того”? У меня NoScript постоянно включён.

h578b1bde ★☆
()
Ответ на: комментарий от anonymous

Хочу, чтобы нашлась тысяча уязвимостей, работающих через жабоскрипт. Может тогда веб-макакам запретят наконец пихать его туда, где он не нужен.

Кто запретит? Роскомнадзор?

Legioner ★★★★★
()

Ну пипец. В Ubuntu версию Firefox 50.0.1, дай бог в декабре завезут. А уж Firefox 50.0.2, которая по идее будет с патчем - дак вообще можно не ждать. Такие обычно не прилетали, а выходила просто новая версия с задержкой в неделю. Пора самому собирать.

th3m3 ★★★★★
()
Ответ на: комментарий от th3m3

Ну пипец. В Ubuntu версию Firefox 50.0.1, дай бог в декабре завезут. А уж Firefox 50.0.2, которая по идее будет с патчем - дак вообще можно не ждать.

Линуксопроблемы и убогие репозитории.

h578b1bde ★☆
()
Ответ на: комментарий от Legioner

Заказчики, конечно. Когда узнают, что на их их сайты никто не ходит из-за уязвимостей js.

anonymous
()
Ответ на: комментарий от th3m3

У вас же там на Убунте ППА на каждый чих. Что нет со свежатиной? Даже для дебиана есть сторонний репозиторий.

mandala ★★★★★
()
Ответ на: комментарий от RiseOfDeath

Лучший совет - засунуть браузер в песочницу, где запрещено запускать исполняемые файлы, не относящиеся к браузеру и его плагинам.

anonymous
()
Ответ на: комментарий от mandala

Я в Ubuntu всего второй год. Как я понял, раньше тут был особый PPA, потом его грохнули, т.к. свежие сборки стали в основном репозитарии выходить. Но выходят они с задержкой в несколько дней после релиза, а некоторые патчи, так и не доходят, лол)

То ли дело, когда в openSUSE сидел, там обновления прилетают раньше новостей о релизе.

th3m3 ★★★★★
()
Ответ на: комментарий от anonymous

Заказчики, конечно. Когда узнают, что на их их сайты никто не ходит из-за уязвимостей js.

Приходит веб-макака к заказчику, а заказчик — веб-макака. FreeBSD станет популярнее Линукса раньше, чем JS из веба исчезнет. Можете скринить.

anonymous
()
Ответ на: комментарий от ZenitharChampion

Не хватало чтоб еще контролировали, как уже с кино и музыкой. Всё сами.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Сомневаюсь, что ты понимаешь, что такое Роскомнадзор. Подсказка: это не полиция нравов и не СЭС.

Как бы не не полиция нравов и не СЭС, но по факту все более да. В связке со всякими лигами и прочими которые «за детей» или за свои кошельки.

praseodim ★★★★★
()

Зачем вообще кто-то пользуется этим барахлом?

Tigger ★★★★★
()

хорошо что у меня Edge

anonymous
()
Ответ на: комментарий от Venediktov

А я как раз на тор-браузере сижу... ЛОР, что делать?

А в этот гадюшник ты как постишь через тор? При попытке он выдаёт ошибку типа «tor coward чего-то там».

anonymous
()

Эх, сколько человек мне уже говорило - нафига тебе этот носкрипт... все джаваскриптовые эксплойты уже давно выведены.

segfault ★★★★★
()

Меня одного бесит гуглокапча в cloudflare? А также все мудаки, что юзают cloudflare?

anonymous
()
Ответ на: комментарий от Legioner

Если какой-то сайт будет требовать запустить у тебя на компьютере бинарник, чтобы его прочитать, тоже будешь запускать?

Раньше так и было. man activex.

te111011010
()
Ответ на: комментарий от te111011010

То будь готов к тому, что тебя отымеют в зад. В том числе и через ванильную лису, хе-хе.

mandala ★★★★★
()
Ответ на: комментарий от Deleted

Контейнеры недостаточно безопасны (настолько, что некоторые хостинговые компании, предлагающие Docker, дополнительно заворачивают контейнеры в виртуалки таким образом, что в одной виртуалке не могут оказаться контейнеры разных пользователей).

Deleted
()
Ответ на: комментарий от th3m3

репы в Ubuntu

Это ещё не скоро.

Но патч 50.0 → 50.0.2 без проблем ложится на пакет в Debian, поэтому, скорее всего, и в Ubuntu ляжет. Пересборка пакета — всего несколько команд, да версии с 50.0.2 на 50.0 заменить, чтобы сборочный скрипт не ругался.

i-rinat ★★★★★
()

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия.

Как же на меня рычали на лоре за неиспользование жабоскрипта по умолчанию. Получайте вирусню.

Napilnik ★★★★★
()
Ответ на: комментарий от h578b1bde

А как его выключишь, если все кругом жужжат «толстый клиент», нода-нода, вебсокеты... что бы это ни значило... NoScript пока спасает, но местами где оплату берут или файл залить надо, проблемы из-за него, приходится включать и всё по новой, иногда не помогает и приходится в суппорт писать... :(

slapin ★★★★★
()
Ответ на: комментарий от anonymous

А в этот гадюшник ты как постишь через тор? При попытке он выдаёт ошибку типа «tor coward чего-то там».

Зарегайся, анон )))

Venediktov
()
Ответ на: комментарий от upcFrost

Бгг дамсамолично видел индивидума кторый логинился в однокласниках через тор. Вы недооцениваете долбоебизм юзверей.

anonymous
()

Ну кто так новости пишет. Про Whonix написали, а, например, какие версии браузеров уязвимы - нет.

Slack ★★★★★
()
Ответ на: комментарий от anonymous

Вот только CF не показывает гугл-капчу, а так все хорошо.

ergil ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.