LINUX.ORG.RU

Удалённое выполнение кода в Firefox

 , ,


1

4

В браузере Firefox обнаружена уязвимость CVE-2019-11707, по некоторым данным позволяющая атакующему с помощью JavaScript удалённо выполнить произвольный код. Mozilla заявляет, что уязвимость уже эксплуатируется злоумышленниками.

Проблема кроется в реализации метода Array.pop. Подробности пока не раскрыты.

Уязвимость исправлена в Firefox 67.0.3 и Firefox ESR 60.7.1. Исходя из этого, можно с уверенностью утверждать, что уязвимы все версии Firefox 60.x (вполне вероятно, что и более ранние тоже; если речь идёт об Array.prototype.pop(), то он реализован, начиная с самой первой версии Firefox).

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 4)

Интерпретатор произвольного js кода позволяет выполнить произвольный код? Ну надо же!

anonymous
()

Хром не нужен

anonymous
()

Но ведь песочница! Тьюринг полный код из помойки выполнять намного лучше, чем устанавливать программы! Как же так? Видимо, проблема только в конкретном коде, завтра всё забудем и запустим очередное web-приложение.

anonymous
()

Удалённое выполнение кода в удалённом выполнении и кода! И другие рекурсии, про которые вы узнаете на нашем лоре...

anonymous
()
Ответ на: комментарий от anonymous_incognito

В Debian уже прилетело обновление

удалённо запустился apt install *бадум-тсс*

anonymous
()

Я говорю эти yблюдки намеренно портят программы. Какого хрена они делают мне не понятно. Глупость - не оправдание, инфа 146%.

anonymous
()
Ответ на: комментарий от anonymous

Никогда не думали что...

На самом деле это не «ошибки» реализации или дизайна, а банальные «закладки», которые кто-то нашёл и спалил?

/* Даже если у Вас паранойя как диагноз, то вовсе не факт что Вы никому не интересны. Даже если Вы лично не интересны, то не факт что столь же неинтересны все остальные. ;) */

Moisha_Liberman ★★
()
Ответ на: комментарий от anonymous

Интерпретатор произвольного js кода позволяет выполнить произвольный код? Ну надо же!

Очевидно, что имеется ввиду код вне браузера. И вовсе не js.

AS ★★★★★
()

Нужна инициатива по продвижению сайтов без js. Прям что бы на сайтах стоял значок-логотип NO-JS ! Раньше как то без этого обходились а теперь даже нужен не нужен а JS все равно пихают :(

Вон даже на ЛОР есть :(

P.S. сам я юзаю плагин no-js но приходится часто его кликать :(

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Скажем, создать новый открытый веб-стандарт на sxhtml5 (html5 с упором на безопасность) и WebLua — новом диалекте Lua специально под безопасность.

Vsevolod-linuxoid ★★★★★
()
Ответ на: Никогда не думали что... от Moisha_Liberman

Они что, первый год на рынке? Второй? Какие бл"дь ошибки? Ошибки могут быть у Григория, например. Это диверсия, вот суть: пришёл мушкетёр и сказал что будет так, и тогда можно списать на ошибку. Но, но(!) Зубры не слушают мушкетёров, и даже под гнётом манагера. В крайнем случае (ЧП) они перестраховываются на семь раз и выкатывают код, и никаких незапланированных ошибок в нём нет. Никогда нет. Настолько никогда, что я требую пример из истории когда было иначе, или лесом идите со своим предположением насчёт паранойи.

anonymous
()
Ответ на: комментарий от anonymous

И да, в очередной раз убеждаюсь насколько мудро было изречение в какой-то книжке, которую я прочитал очень давно, общая суть: «1 пользователь = 1 программа».

anonymous
()
Ответ на: комментарий от anonymous

Вы уверены в том,

Что прочли внимательно и, самое главное, поняли что написано в моём комментарии?

Судя по Вашему комменту, я бы так не сказал.

Moisha_Liberman ★★
()
Ответ на: комментарий от Gary

Так что же на самом деле?

Точно об этом можно будет сказать только, когда откроют подробности. Но вряд ли там просто падение браузера.

MozillaFirefox ★★★★★
() автор топика
Последнее исправление: MozillaFirefox (всего исправлений: 1)

В ubuntu все еще не прилетело обновление

anonymous
()

> если речь идёт об Array.prototype.pop(), то он реализован, начиная с самой первой версии Firefox)

А то и с Netscape

ZenitharChampion ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Какой еще веб-луа ? :(

Нафиг. Вон от технологии х-server отказались так как каналы теперь без проблем прокидывают целиком буфер. У меня на андроиде стим-линк через инет юзает стим а это 3д гама вообще то.

Зачем что то нужно стороне клиента ? Чтобы комп сожрал всю цпу и рама и браузер тормозил что ли ...

mx__ ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

WebLua — новом диалекте Lua специально под безопасность.

Нет. Вообще нет. Вебу не нужна возможность исполнения кода.

Разметки достаточно.

a1batross ★★★★★
()
Ответ на: комментарий от crutch_master

Не стоит объяснять злым умыслом то,

Что может быть объяснено банальной глупостью?

Ну да. Но слабо верится. Просто потому, что всё «многообразие технологий» так или иначе, но ведёт к контролю. Начиная прямо с рекламного дерьма. Что ешь, что пьёшь, что покупаешь, что искал, с кем общаешься... и далее по списку.

Moisha_Liberman ★★
()
Ответ на: комментарий от anonymous

Но кого интересует это некро... [2]

anonymous
()
Ответ на: комментарий от anonymous

Это последний нормальный esr.

Я это постоянно про Firefox слышу. Из самого последнего чётко помню про то, что 3.x нормальный был последним, дальше уже тяжело - память не та уже...

anonymous
()
Ответ на: комментарий от anonymous

Зачем тебе тода браузер с js вообще?

Чтобы каждый васян мог удалённо выполнять код на моей тачке, это же очевидно.

Grzegorz
()
Ответ на: комментарий от anonymous_incognito

В Debian уже прилетело обновление

куча мобильных устройств никогда не обновятся потому что мозилла (как и гугл) считают их устаревшими и никогда не пришлют обновление. тот неудобный момент когда надо пользоваться айфонами, эпл присылает обновления хоть на айфон 5с.

anonymous
()
Ответ на: комментарий от Grzegorz

Чтобы каждый васян мог удалённо выполнять код на моей тачке, это же очевидно.

спасибо бро

vasyan
()
Ответ на: комментарий от anonymous

Из самого последнего чётко помню про то, что 3.x

3.x

память не та уже

Да и мозги уже не те. В отличии от предыдущих esr 52 отлично работает прямо сейчас и имеет рабочий XUL.

anonymous
()
Ответ на: комментарий от Gary

Любой прыжок на ненулевой адрес или разыменование ненулевого указателя считаются потенциальным выполнением вредоносного кода. Не обязательно ждать работающего эксплойта.

Кстати, контент-процессы работают в песочнице, так что запуск произвольных внешних программ значительно затруднён. Нужна ещё уязвимость песочницы.

i-rinat ★★★★★
()
Ответ на: комментарий от a1batross

Вебу не нужна возможность исполнения кода

Нужна. Разработчики веба облажались и проебали момент контролируемого перехода от просмотра документов к приложениям. Надо было насторожиться как только появились CGI, и бить тревогу, готовиться к сайтам как к приложениями как только появились скрипты для веба. Многое можно было бы сделать по уму, но вышло как вышло. Тупость и лень, наплевательское отношение теоретиков из W3C, которых потом начали естественно смещать разработчики обозревателей. W3C давно стало тупо кормушкой.

Разметки достаточно.

Недостаточно. Пока не будет примитивов управления данными и их трансформации, нормального dynamic viewport, динамического инклуда по требованию, управления пользовательским хранилищем и прочего по мелочам для интерактивности, разметки недостаточно.
Что уж говорить если даже элемент table не умеет упорядочивать данные по столбцам, не говоря уж про фильтрацию и отключения лишних столбцов.

Делать всё это на сервере это тормоза, лишний трафик и в целом костыльный подход который естественно ушёл на второй план как только JS стал достаточно быстрым и приемлемым как язык.
А уязвимости могут быть и через другие механизмы.

EvilFox ★★
()

Ну ладно, пусть это буду я.

3, 2, 1, поехали!

Это все потому что Array.pop пока что не был переписан на Rust.

P.S. Вносите царя

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от anonymous

Так у файрфокса на линуксе нет нормальной песочницы. Или уже сделали? И нет видеоускорения. Хлам, короче. Нужно пользоваться браузерами которые с прицелом на свободные системы разрабатываются. Может Falkon тот же допилят наконец.

linuxnewbie
()
Ответ на: комментарий от a1batross

Вебу достаточно будет аналога activex, и он уже есть в лице поваренной соли. Раз уж флеш решили закопать. А скрипты это тупик.

linuxnewbie
()
Ответ на: комментарий от linuxnewbie

Ну вон на WebAssembly Canvas/WebGL дергают и ничего. Я не знаю есть ли там оверхед на выход в мир JavaScript

https://compile.fi/canvas-filled-three-ways-js-webassembly-and-webgl/

Даже вот так

https://rustwasm.github.io/wasm-bindgen/examples/webgl.html

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 2)
Ответ на: комментарий от anonymous

В отличии от предыдущих esr 52 отлично работает прямо сейчас и имеет рабочий XUL.

Ну это временно, ибо ему два года (хотя вру — меньше, к нему же сервис паки выходили). И я бы про отлично бы не сказал.

А так

последний нормальный Firefox — это 3.x, а дальше пошли что-то клепать версии не суразные

ну всё, вот это они в Firefox 28 австралис какой ужасный ввели. Навечно остаюсь на 27-ом

И так далее. Постоянно эти стоны, но версии всё растут...

fornlr ★★★★★
()
Ответ на: комментарий от Grzegorz

Так доля FireFox падает ни потому что он хуже становится относительно самого себя. Он просто хром догнать не может.

fornlr ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.