LINUX.ORG.RU

В Tor Browser (и Firefox) обнаружена 0-day уязвимость

 , , ,


1

2

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

Deleted

Проверено: Shaman007 ()
Последнее исправление: sudopacman (всего исправлений: 6)
Ответ на: комментарий от ZenitharChampion

Хз как там в других клиентах, но в кубитторренте есть возможность включать «анонимный режим», т.е. проксировать и соединения с пирами. Вроде даже работает, правда иногда приходится долго ждать пока кто-то на раздаче появится.

Про анонимный режим в кубитторренте есть здесь.

Vier_E ★★★
()
Ответ на: комментарий от svr4

Ну почему сразу «фу»? На винде вон весьма удобно гамать. В принципе, только для этого и держу её в дуалбуте. Для макоси пока не могу придумать специфичных задач.

Vier_E ★★★
()
Ответ на: комментарий от svr4

А смысл юзать гуглодоксы через тор-браузер? Там ведь теперь привязка гуглоаккаунта к мобиле. Хотя может речь идёт о документах, которые можно редактировать анонам - вроде раньше такая возможность была.

Vier_E ★★★
()
Ответ на: комментарий от slapin

А как его выключишь, если все кругом жужжат «толстый клиент», нода-нода, вебсокеты...

Ноду в браузере не заблокируешь, да.

но местами где оплату берут

Если ты делаешь финансовые операции на недоверенных сайтах то NoScript тебя никак не спасёт.

приходится включать и всё по новой

Чего там по новой включать, один раз по иконке тыцнуть для внесения в исключения.

h578b1bde ★☆
()
Ответ на: комментарий от mr_Heisenberg

SeaMonkey таки от лисы идёт...

И не обновлялась почти год.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

А в этот гадюшник ты как постишь через тор?

Я тебе страшный секрет открою: не все ноды зашкварены ирегистрироваться даже не обязательно. Ну и как уже сказали, под логином вообще пофиг.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от i-rinat

А в Debian как раз через недельку завезут, наверное.

Я уже обновился.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Ну так она прошивка для игровой приставки из писюка.

Оно-то да, но от прошивки для роутеров и микроволновок на десктопе лучше не станет.

h578b1bde ★☆
()
Ответ на: комментарий от piacedeath

Fixed

HTML5 тормозное ненужно когда оно уже сгниет, когда есть божественный Flash 23 или скоро выпустят 24 серию

h578b1bde ★☆
()
Ответ на: комментарий от mandala

4.2

надёжнее

Ага, если переживёт один апдейт — поломается на втором. Плавали, знаем.

функциональнее

Как минимум игорь тонет, да и аналогов кучи софта нет, а из того что таки есть в основном кривые поделки. И это я ещё про запуск произвольных версий без красноглазия не написал, а не того кактуса что положили мейнтейнеры в репозитарий для мышек.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: 4.2 от h578b1bde

игорь тонет

Так мы разобрались, что для игоря спец прошивка от M$ есть.

в основном кривые поделки

Мы про какое ПО? Про проф ПО для монтажа видео, например? Так там пофиг, все на маках сидят, т.к. лицензии на ПО на порядки дороже железок и прошивок. А вот почему писатель такого ПО выбрал в качестве платформы не шинду и ляликс, вопрос другой.

mandala ★★★★★
()
Ответ на: комментарий от h578b1bde

lmgtfy.com

Это почему ты ему интульгенцию выдал? Потому что сам им пользуешься?

Тогда проще сказать так: все сайты с жабаскриптом, кроме тех которые юзаю я, не нужны!

mandala ★★★★★
()
Ответ на: комментарий от mandala

Мы про какое ПО? Про проф ПО для монтажа видео, например?

Та хоть архиваторы взять, в которых до сих пор всплывают проблемы с кодировками, и это в 2016 году. Я уже не говорю об остальном.

h578b1bde ★☆
()
Ответ на: комментарий от mandala

Это почему ты ему интульгенцию выдал? Потому что сам им пользуешься?

Мне он не особо полезен, но на него не умеющим гуглить нубам очень наглядно кидать ссылки, хотя конечно можно кинуть прямую ссылку на стартовую гугла, так что и этот сайт не особо нужно.

все сайты с жабаскриптом, кроме тех которые юзаю я, не нужны!

Не совсем так, все сайты с жабоскриптом которые без него не могут нормально работать.

кроме тех которые юзаю я

У меня в белом списке NoScript не так уж и много добавленных мной сайтов, да и те без жабоскрипта вполне могут нормально работать, оказались же они там лишь ради удобства. Так что сайтами, не работающими без жабоскрипта, я и не пользуюсь.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 2)
Ответ на: комментарий от anonymous

компухтеры вообще не нужны. да и прочие технологии. вот хорошо в пещере было!

define технологии. Например, сляпанное школьником-говнокодером за миску быстрорастворимой лапши неработающее тормозное говно сложно назвать технологией.

h578b1bde ★☆
()
Ответ на: комментарий от mandala

А вообще сайтописатели сами виноваты в том что более-менее продвинутые пользователи пользуются блокировщиками скриптов. Если бы не было убогих недосайтов с парой маркетоидных предложений и тонной жабоскрипта на жуйкверях и ангулярах разных версий всего лишь для унылой свистопердящей анимации, способных ставить раком неплохие многоядерные процессоры и выжирать память сотнями мегабайт (такое говно сейчас модно называть словом лэндинг) и страничек с рекламным шокотрешем, где на тебя срут со всех сторон экрана, то не было бы и потребности в таких блокировщиках. В итоге же мы имеем тормозящие жыробраузеры, выжирающие память гигабайтами для того чтобы воротить всё это свистопердящее говно, и вот такие вот новости, т.е. ресурсы современной пекарни, которых с головой хватило бы на песочницы с изоляцей всего этого говна и ещё на пару тысяч вкладок впридачу, вместо этого просто уходят на обогрев помещения. Потому и получается что вместо борьбы со всем этим трешем тормозными адблоками проще его совсем отключить.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 3)
Ответ на: комментарий от h578b1bde

Та хоть архиваторы взять, в которых до сих пор всплывают проблемы с кодировками, и это в 2016 году

Ну нас юникод во все поля. Какие проблемы? То что там древние маргинальные кодировки ломаются это не проблема.

mandala ★★★★★
()
Ответ на: комментарий от h578b1bde

Тут согласен, но с этим ничегонельзяподелать. Средний пользователь жрет всё это с удовольствием и еще добавки просит.

mandala ★★★★★
()
Ответ на: 4.2 от h578b1bde

Он firefox based. Мы же - вели речь о чём-то кроме firefox/chromium based.

mr_Heisenberg
()
Ответ на: комментарий от quantum-troll

Давайте, я напишу всего лишь одно слово, а вы тут устроите дискуссию сами? Вот слово: Rust.

А чего Rust-то? Эта конкретная часть — на C++. И вполне возможно, что подсистема, занимающаяся SVG, переместилась выше в очереди на переписывание, если такая очередь есть.

i-rinat ★★★★★
()
Ответ на: комментарий от mandala

Ну нас юникод во все поля. Какие проблемы? То что там древние маргинальные кодировки ломаются это не проблема.

Под виндой не ломаются.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Ну дык обычно ломаются её протухшие велосипедные кодировки. Если сама винда сама с собой не обеспечивала обратной совместимости... Да я даже не знаю как это назвать.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Ну дык обычно ломаются её протухшие велосипедные кодировки

Да, недавно в техразделах всплывал тред, там мейнтейнеры дебиана выбросили патч для кириллицы в архиваторе, из-за чего всё сломалось.

Если сама винда сама с собой не обеспечивала обратной совместимости

Как будто линукс обеспечивает, ага.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

В линуксе эта проблема остро не стоит, так как почти весь софт в репозиториях и отвечают за него сопровождающие. Ну и завиуртализировать на порядок проще и на выбор много вариантов. А мысы приходится городить несколько режимов совместимости, где уже тоже виртуалки задействованы (да-да, полноценные виртуалки, только для простого пользователя это не видно).

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

так как почти весь софт в репозиториях и отвечают за него сопровождающие

Ага, жри что дают наслаждайся dependency hell. Я тут недавно апач с пыхом на стабильный джесси ставил через apt-get install, выдающий ошибку при выполнении какого-то пост-инсталл скрипта. В багтрекере дебиана тикет открыли ещё в прошлом году, но исправление в штейбл до сих пор так и не завезли, при том что в новых апачах это давно пофикшено, вот такая поддержка и стабильность.

винда сама с собой не обеспечивала обратной совместимости
полноценные виртуалки, только для простого пользователя это не видно

Сам же на ноль делишь.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Сам же на ноль делишь.

Я про то что это ни как не контролируется пользователем.

Я тут недавно апач с пыхом на стабильный джесси ставил через

Бывает. Нужно смотреть почему именно наркоманская политика фиксов не позволяет. Может там при фиксе много что сломается, а так в стейбле нельзя. Так и живём.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Бывает. Нужно смотреть почему именно наркоманская политика фиксов не позволяет. Может там при фиксе много что сломается, а так в стейбле нельзя. Так и живём.

Даже если и так — могли бы тупо закомментировать проблемную строчку раз уж она всё равно не работает дабы не смущать пользователей и не заставлять их гуглить протухшие баги прошлогодней давности. Юзабилити? Нет, не слышали. А ведь это не какой-то там никому не нужный n7t328IIpnwd, а одни из самых популярных пакетов.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от mandala

Я тебе страшный секрет открою: не все ноды зашкварены

Не, это раньше было, был какой-то статический список, который не обновлялся и пролезть было не проблема. Вроде там какой-то сторонний сервис использовался вообще и он в конце концов отвалился. Потом то ли Beastie, то ли Leave (всегда их путаю) там что-то запилил своё и попытки сменить выходную ноду не помогали, 99% не проходили. Ну это не сложно, у меня на форуме я тоже тор баню и там раз в сутки список выходных нод обновляется, пролезть действительно нереально. Скорей всего тут запилили аналогичное. Выходных нод кстати совсем немного, около тысячи.

Ну и как уже сказали, под логином вообще пофиг.

ХЗ, может починили, но народ неоднократно тут жаловался что залогиненного тоже (иногда?) не пропускало (подтверждаю).

anonymous
()
Ответ на: комментарий от Venediktov

Зарегайся, анон )))

Надоело тут регаться. И так норм, вот только не очень удобно что приходится с помощью proxychains выстраивать цепочку тор→ещё_обычный_прокси.

anonymous
()
Ответ на: комментарий от te111011010

А ты зарегистрируйся.

Надоело каждый месяц (а то и чаще) регистрироваться.

anonymous
()
Ответ на: комментарий от anonymous

ХЗ

Вот хз, хз, я тут писал из под анонима через тор. Буквально на той неделе. Логиниться не стал, т.к. лично я не доверяю выходным нодам. Может просто повезло и попал на свежую не зашкваренную ноду.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Вот хз, хз, я тут писал из под анонима через тор. Буквально на той неделе

Хм, пишу этот пост через тор, с первого раза пропустило. Может отвалилась блокировка тора? :D

Логиниться не стал, т.к. лично я не доверяю выходным нодам.

А чего бояться, если сайт использует SSL (ну разве что опять дыру в SSL найдут, которую никто не знает)?

anonymous
()
Ответ на: комментарий от anonymous

ну разве что опять дыру в SSL найдут, которую никто не знает

Да. Хоть учётка от лора не абы какая ценность, но это правило у меня: через выходную ноду напрямую не логиниться, не платить и т.п. Всё таки именно ТОР привлекает не только белых и пушистых людей.

mandala ★★★★★
()
Ответ на: комментарий от svr4

Я сейчас сижу на ноуте с 2.5 гигами памяти и шиндовс 10. Почему-то хромог с 50 вкладками не тормозит и не свопится

Жирновато...

anc ★★★★★
()
Ответ на: комментарий от anc

Лень туда грузиться (сейчас пока что экспериментирую с установкой Yosemite), но там такая же ситуация как в маке.

svr4
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.