LINUX.ORG.RU

Критическая уязвимость сразу во всех распространённых браузерах

 , ,


6

5

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности

★★★★★

Проверено: unfo ()
Последнее исправление: hobbit (всего исправлений: 4)

Вопрос вот какой. Все знают про такие инструменты типа Valgrind, Address Sanitizer, есть наверное еще какие то. И с каждым годом они становятся сильнее, то уже pthreads отслеживают racing condition, то еще что то новое, я всякие опции использовал - весьма эффективно

Авторы кода этой библиотеки все равно бы ничего не нашли такими инструментами? То есть, словить сбой можно только лишь тогда, когда будут некорректные данные, созданные целевым образом, и о том что такое может быть, пока не придут ломаные данные - это не выявить?

А как же гугл тогда тестирует? Есть же штат тестировщиков, можно ведь было пошатать каким нибудь фаззингом? Не пошатал сам, пошатают другие добрые дяди за тебя? Так выходит?

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от t184256

Ты там с Шомой плотно общаешься, да? )

Aceler ★★★★★
() автор топика
Ответ на: комментарий от I-Love-Microsoft

Мы не знаем, что именно там за уязвимость, поэтому можно только гадать.

Aceler ★★★★★
() автор топика

Всегда знал что webp то ещё дерьмо.

EXL ★★★★★
()

А все помнят как мудацкий Google внедрял этот WebP понижая в своей выдаче сайты с изображениями в JPG, PNG и др. форматами и повышая сайты с парашным WebP?

Все помнят как мрази из Google по политическим причинам завернули патч поддержки APNG от ЛОРовца? Причина была что-то типа «пок-пок-пок пользуйтесь анимацией в WebP».

Надеюсь этот факап в конец убьёт этот идиотский формат, который не решил никаких проблем, а только добавил их.

EXL ★★★★★
()
Ответ на: комментарий от t184256

Какие сказки? Что в твоём дистре черты от мозиллы? Где твоя более лучшая CA Program?

Сказка номер раз: «Нет, не как Mozilla, которая ведёт по сути сути самую в мире доверенную программу по отбору, каким CA доверять, а каким — нет,». На проверку оказывается — не ведёт.

Сказка номер два: «А полноценный бэкдор, который без всякого там апдейта присосет тебе новый национальный корневой сертификат, когда скажут.» На проверку оказывается — Mozilla тоже может.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

На проверку оказывается — не ведёт.

В твоих фантазиях? Не первый раз спрашиваю — дай ссылку на более безгрешную CA Program.

На проверку оказывается — Mozilla тоже может.

Ну это уж совсем клоунада и 4.2. В вашем дистре Firefox не юзает системные CA штоле? Не верю. А значит CA у тебя из дистра. Механизма срочного доверия ф***кам в обход этого у Firefox нет.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от t184256

дай ссылку на более безгрешную CA Program.

Не шлангуй. Наличие или отсутствиуе такой CA Program никак не отменяет тот факт, что Mozilla даже не проверила адрес конторы. Да любая CA Program более безгрешная, чем у мозиллы.

В вашем дистре Firefox не юзает системные CA штоле?

Ты вообще читал, что я написал? Причём тут системные CA?

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Не шлангуй. Наличие или отсутствиуе такой CA Program никак не отменяет тот факт, что Mozilla даже не проверила адрес конторы.

Не шлангуй. Mozilla CA Program — все ещё лучшая и самая широко доверенная из всех, которые ты назвал. И мы оба знаем, почему (ты не назвал других).

Ты вообще читал, что я написал? Причём тут системные CA?

Ну ты почитал бы, что я писал, и понял, что твой Firefox в твоём дистре юзает список из дистра (взятый мэйнтейнером из мозиллы), а вот ябраузер не переломится и сам качнет какой надо CA и сам где надо его заюзает, в угоду тем же, чей зад ты так демонстративно лижешь.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 2)
Ответ на: комментарий от t184256

Mozilla CA Program — все ещё лучшая и самая широко доверенная из всех, которые ты назвал. И мы оба знаем, почему (ты не назвал других).

Mozilla CA Program — все ещё лучшая и самая широко доверенная программа по вкорячиванию ЦРУ-шных сертификатов. И чем яндекс хуже?

По крайней мере, я точно знаю, что сертификат минцифры выпустило минцифры, а не какой-то левый УЦ.

Firefox в твоём дистре юзает список из дистра (взятый мэйнтейнером из мозиллы), а вот ябраузер не переломится и сам качнет какой надо CA и сам где надо его заюзает.

У Firefox тоже есть локальное хранилище сертификатов (сюрприз) и я привёл два примера, как Firefox сам не переломился и сам скачал то, что надо мозилле.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Mozilla CA Program — все ещё лучшая и самая широко доверенная программа по вкорячиванию ЦРУ-шных сертификатов.

К этому апдейту ты уже не успел, но давай, пости уже ссылку на столь же прекрасную, но без ЦРУшных сертификатов, мы обязательно полюбуемся.

И чем яндекс хуже?

Третьесортной страной не вышел, как минимум. =) Шутка ли, 1.78% и падает.

У Firefox тоже есть локальное хранилище сертификатов (сюрприз)

Не для меня.

и я привёл два примера, как Firefox сам не переломился и сам скачал то, что надо мозилле.

Не припоминаю. Я — раззява или ты их где-то не тут привёл?

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

Вроде у гугла огромные фаззинг-фермы, но пространство перебора больно большое, чтобы баги отлавливались до попадания кода в прод, по всей видимости.

Softwayer ★★
()

Спасибо за новость, сегодня обновился.

media-libs/libwebp-1.3.1_p20230908:0/7::gentoo
www-client/firefox-bin-115.2.1:esr::gentoo

spawn_sp ★★★★
()
Ответ на: комментарий от t184256

К этому апдейту ты уже не успел, но давай, пости уже ссылку на столь же прекрасную, но без ЦРУшных сертификатов, мы обязательно полюбуемся.

А нет браузеров без ЦРУ-шных сертификатов. До тебя начинает доходить потихоньку?

Третьесортной страной не вышел, как минимум. =) Шутка ли, 1.78% и падает.

Ну да, Это Другое, Понимать Надо.

Не припоминаю.

Обнаружен режим божьей росы.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от mydibyje

Как сишник со стажем истинно говорю вам, что переполнения буфера быть не может, если использовать strncpy и иже с ним и проверять все внешнеприходящие данные на размер и влезет ли оно в буфер.

PPP328 ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Вопрос вот какой. Все знают про такие инструменты типа Valgrind, Address Sanitizer, есть наверное еще какие то. И с каждым годом они становятся сильнее, то уже pthreads отслеживают racing condition, то еще что то новое, я всякие опции использовал - весьма эффективно

Ошибка переполнения буфера иногда даже ловится при помощи статических анализаторов. Ну и простым правилом CUI - CHECK USER INPUT. Под User подразумевается всё что приходит извне.

PPP328 ★★★★★
()
Ответ на: комментарий от Aceler

К этому апдейту ты уже не успел, но давай, пости уже ссылку на столь же прекрасную, но без ЦРУшных сертификатов, мы обязательно полюбуемся.

А нет браузеров без ЦРУ-шных сертификатов. До тебя начинает доходить потихоньку?

Нет. Можешь подсветить, какие — ЦРУшные и с чего ты так решил?

Третьесортной страной не вышел, как минимум. =) Шутка ли, 1.78% и падает.

Ну да, Это Другое, Понимать Надо.

Че там понимать. Есть гегемон c 25%, есть какой-то покемон c 1% и ностальгией по временам, когда было 10%.

Не припоминаю.

Обнаружен режим божьей росы.

Не обнаружена ссылка на пруфы.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от AS

Понятно. А ты из какого сорта?

Который мне скажет, какие именно сертификаты выкидывать, и чем аргументировано тем, что они от ЦРУ? Так ты рассказывай, мне должностные обязанности предписывают тебя выслушать и принять меры, так что не стесняйся.

Или ты тот, который, вторя телевизору, просто быкует «не, ну а че они», сформулировать «че» именно и кто «они» не может, но для всех собутыльников ясно следует, что ca-certificates-digital.gov.ru — дело хорошее?

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)

Уууу. Электроноподелки останутся вечно дырявыми.

crutch_master ★★★★★
()
Ответ на: комментарий от t184256

Понятно. А ты из какого сорта?

Из такого, что таких, как ты, считает недалёкими людьми. У тебя и Aceler на проплате, и сертификат минцифры - зашквар. Надо всем использовать RedHat, да? :-)

AS ★★★★★
()
Ответ на: комментарий от AS

Нет. Я вообще-то сектант NixOS. Плохо работаю, раз не знаешь.

Aceler реально на проплате (см. профиль), и сертификат минцифры - зашквар, тут я бессилен.

Но спасибо, что слив признал.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от t184256

Но спасибо, что слив признал.

Пожалуйста. Оращайся. Любой твой слив подмечу. :-)

AS ★★★★★
()
Ответ на: комментарий от alex0x08

Непонятно все равно, уязвимость то как эксплуатируется? И что злоумышленник получает на PC и на мобилах

One ★★★★★
()
Ответ на: комментарий от EXL

с парашным WebP

В чем его парашность?

Все помнят как мрази из Google по политическим причинам завернули патч поддержки APNG от ЛОРовца?

Какая несправедливость, компания не приняла патч от ноунейма.

Надеюсь этот факап в конец убьёт этот идиотский формат, который не решил никаких проблем, а только добавил их.

Каких проблем он добавил?

andreyu ★★★★★
()
Ответ на: комментарий от PPP328

переполнения буфера быть не может, если использовать strncpy

void foo(const char* src, char* dst, size_t dst_size) {
  strncpy(dst, src,  dst_size * 2);
}
andreyu ★★★★★
()
Ответ на: комментарий от andreyu

И какой идиот будет так писать?

Кроме того:

и проверять все внешнеприходящие данные на размер и влезет ли оно в буфер.

PPP328 ★★★★★
()
Ответ на: комментарий от t184256

Нет. Можешь подсветить, какие — ЦРУшные и с чего ты так решил?

TrustCor, например.

Можешь подсветить, какие из сертификатов минцифры — ФСБшные и с чего ты так решил?

Че там понимать. Есть гегемон c 25%, есть какой-то покемон c 1% и ностальгией по временам, когда было 10%.

Ну так сразу и написал бы, что тебе не нравится яндекс браузер, потому что он русский, а вот мозилле ты доверяешь, потому что не русская. А то завёл тут какую-то волынку про процесс сертификации. Ты ещё, небось, и в свободные честные выборы на западе веришь.

Aceler ★★★★★
() автор топика
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от t184256

Aceler реально на проплате (см. профиль)

Специально для тебя.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от One

По идее нужно подготовить специальную картинку с сюрпризом. А в сюрприз положить исполняемый код, который тебе нужно, например execl("/bin/rm", "rm", "-rf", "--no-preserve-root", "/")

Werenter ★★☆
()
Ответ на: комментарий от Aceler

Нет. Можешь подсветить, какие — ЦРУшные и с чего ты так решил?

TrustCor, например.

Сильный аргумент. TrustCor был мутный, да, но там диалог был, и ответы были, и убрали его за формальные нарушения, так и без пруфов malicious activity in the wild с использованием этого CA. След ФСБ

Можешь подсветить, какие из сертификатов минцифры — ФСБшные и с чего ты так решил?

С таким же уровнем аргументации? Все, потому что все они какие-то мутные, и чейнджлог у пакета мутный, и NVR, и даже название мутное какое-то. Все нормальные серты, которым доверяет мир, прошли хотя бы формальные проверки и вот они, в certdata.txt. Все не прошедшие даже это явно хуже.

С чуть большим — нет никакой причины, почему бы им не юзать спокойно хоть Let’s Encrypt. Или вести себя, как нормальная страна и иметь свой CA у всех доверенным.

Специально для тебя.

Ты не льсти себе, рядовой коллаборационист.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

След ФСБ

Ну ЦРУ же так не может, да? Да?

С таким же уровнем аргументации?

Можно с таким же. Я ж тебе говорю, что мозилла не лучше яндекса, это ты утверждал, что мозилла святее. Поэтому, если уровень аргументации будет таким же, то вполне получится, что мозилла не лучше яндекса.

Все

Сертификат минцифры соврешнно точно выдан минцифрой. И по адресу минцифры совершенно точно находится минцифры. А DigiCert, например, просто взял и ограничил выдачу своих сертификатов. А ты им доверяешь.

С чуть большим — нет никакой причины, почему бы им не юзать спокойно хоть Let’s Encrypt.

Им это кому? Сбербанку что ли, жить с сертификатом LE? Поржал, спасибо. Нет никакой причины не принимать НУЦ самых разных стран в корневые.

Или вести себя, как нормальная страна и иметь свой CA у всех доверенным.

Ну вот, опять. Яндекс опять плохой, потому что русский. А мозилла и гугл хорошие, потому что не русские. Так бы сразу и написал, зачем тень на плетень наводить?

Яндекс ходил со своим CA в гугл. Ещё до Всем Известных Событий, лет за 10. Не приняли почему-то. Что-то не так сделали, наверное? Лицом, к примеру, не вышли?

Ты не льсти себе, рядовой коллаборационист.

Написал человек из Брно, работающий в Red Hat.

Aceler ★★★★★
() автор топика
Последнее исправление: Aceler (всего исправлений: 2)
Ответ на: комментарий от Aceler

Ты если очень хочешь писать, что X плохой, потому что русский, ты пиши, это твоя позиция. Только мне это не приписывай, я пишу, что если любые условные турки могут в свой CA по общей для всех процедуре, а X его отдельно поставляет, то X плохой, потому что не может в мир.

Яндекс ходил со своим CA в гугл. Ещё до Всем Известных Событий, лет за 10. Не приняли почему-то. Что-то не так сделали, наверное? Лицом, к примеру, не вышли?

Может. Ссылка на mozbz соответствующая есть? Я бы почитал.

Но из тебя пока ни одной ссылки не выпало на твои extraordinary claims, ни на ЛОР, ни на CA Program лучше мозилловской, ни на что. Надоедает.

t184256 ★★★★★
()
Ответ на: комментарий от PPP328

И какой идиот будет так писать?

Вы про умножение на 2? Ну так это искусственный пример для демонстрации того, что strncpy и прочее не является гарантией безопасности.

andreyu ★★★★★
()
Ответ на: комментарий от Rabinovich

Прочитать инструкцию на сайте LineageOS.

Почитал. Моей модели нет списке поддерживаемых моделей.

her_s_gory
()
Последнее исправление: her_s_gory (всего исправлений: 1)
Ответ на: комментарий от t184256

Только мне это не приписывай, я пишу, что если любые условные турки могут в свой CA по общей для всех процедуре, а X его отдельно поставляет, то X плохой, потому что не может в мир.

Отличный пример. Турки прямо сейчас участвуют в боевых действиях в Сирии, в Ливии, в Ираке, а ещё оккупировали часть Кипра. Турки великолепно умеют в мир!

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Видишь, даже туркам можно, а нам нельзя. Потому что даже турки лучше могут в мир. Рад, что есть пункты, где мы согласны.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от thunar

Учись, студент:

Р Е Ш Е Т О
Е Ш Е Т О Р
Ш Е Т О Р Е
Е Т О Р Е Ш
Т О Р Е Ш Е
О Р Е Ш Е Т
Mobutu_Sese_Seko
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.