LINUX.ORG.RU

Критическая уязвимость сразу во всех распространённых браузерах

 , ,


6

5

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности

★★★★★

Проверено: unfo ()
Последнее исправление: hobbit (всего исправлений: 4)
Ответ на: комментарий от EXL

Чё случилось? С каждым форматом такое может быть.

Xant1k ★★
()
Ответ на: комментарий от Mobutu_Sese_Seko

Да-да, незнакомец с блестящей аргументацией.

t184256 ★★★★★
()
Ответ на: комментарий от PPP328

Вы прочитали ровно половину комментария. Прочтите до конца

А так вы про «нужно писать правильно и не нужно писать неправильно». Я сделал допущение, что это знакомо не только вам, но и разработчикам в гугле.

andreyu ★★★★★
()
Ответ на: комментарий от mydibyje

ну а ты попробуй, вот возьми и напиши сразу нормальный код ядра, или браузера, или БД. Ченить посложнее хелоуворда. Пока ни у кого не получилось.

antech
()
Ответ на: комментарий от Smacker

Webp умеет шакалить и хранить прозрачность в отличии от jpeg и в лослес режиме сжимает лучше чем png. Даже, если использовать все сжатия в PNGauntlet, webp в лослесе пожмёт ещё сильнее, так что это норм тема

HPW-dev
()
Ответ на: комментарий от t184256

Всегда был близок. Вменение коллективной ответственности за что бы то ни было по национальному признаку есть нацизм.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

да, если честно... нам тут много что переписывать, переделывать да перестраивать необходимо... чего уж говорить про какие-то бибилотеки :о)

sunjob ★★★★
()
Последнее исправление: sunjob (всего исправлений: 1)
Ответ на: комментарий от Aceler

Что угодно по национальному признаку есть нацизм.

t184256 ★★★★★
()
Ответ на: комментарий от HPW-dev

Да, вещь универсальная, спору нет — можно ещё как решето для просеивания муки использовать.

Smacker ★★★★★
()
Ответ на: комментарий от Aceler

При чем тут национальный признак? Дурачка решил включить? Тут вопрос контроля товарища майора. Товарищ майор неоднократно совершал преступления, вплоть до особо тяжких, так что доверия ему нет. Товарищ майор законодательно изъявил желание следить за всеми, причем даже ретроспективно (см пакет яровой). Товарищ майор держит за яйца всех коммерсов, и у тех даже в теории нет возможности отказать товарищу майору в его теперь уже законных требованиях. Как в таких условиях можно доверять сертификату от товарища майора или любого их его потенциальных заложников?

khrundel ★★★★
()
Ответ на: комментарий от Skullnet

Вопрос, какого-хрена браузеры со своим экзешником тащят libwebp в линуксе вместо того чтобы юзать системный?

Есть два стула. На одном можно сидеть только при условии что каждый васян-разработчик каждой либы уважает принципы совместимости semantic versions и оперативно бэкпортит все фиксы в том числе и в старые ветки. А на другом - просто на винте чуть больше места экзешник займет.

khrundel ★★★★
()
Ответ на: комментарий от khrundel

Как будто сертификат на что-то влияет. Если я правильно понимаю, то сертификат не более чем удостоверение, что сайт подлинный.

Werenter ★★☆
()
Ответ на: комментарий от khrundel

На первом - эльфы с дварфами, а на втором - экзешники.

ratvier ★★
()
Ответ на: комментарий от cumvillain

У Эльбруса совсем не shadow stack. У него отдельный стек адресов возврата, в который писать физически нельзя.

А то, что «поломали», на Си не работает.

monk ★★★★★
()
Последнее исправление: monk (всего исправлений: 1)
Ответ на: комментарий от cumvillain

На Rust он легко может быть переполнен. Достаточно написать слово unsafe. И, с учётом того, что в Servo оно написано более полутора тысяч раз…

А если надо без переполнения, для Си есть MISRA. Или можно использовать нормальный язык типа Common Lisp или Racket. Вот там переполнения не бывает (если не передавать недоверенные данные во внешние библиотеки Си/Си++).

monk ★★★★★
()
Ответ на: комментарий от monk

Даже на Си++, для которого пример, переполнением не поломать. Нужен эксплоит, позволяющий записать данные по произвольному адресу памяти.

monk ★★★★★
()
Ответ на: комментарий от monk

Достаточно написать слово unsafe. […] Или можно использовать нормальный язык типа Common Lisp или Racket. Вот там переполнения не бывает

Хех. Там достаточно написать (eval (read)), но переполнения буфера не будет, да.

red75prim ★★★
()
Ответ на: комментарий от red75prim

Хех. Там достаточно написать (eval (read)), но переполнения буфера не будет, да.

Вот только, если в браузере на Rust более тысячи unsafe, то в браузере на Lisp ни одного eval.

monk ★★★★★
()
Ответ на: комментарий от khrundel

Ой, ещё один любитель этодругина пришёл. Давай кратко, я по всем пунктам уже проходился.

Тут вопрос контроля товарища майора.

На самом деле да, но совсем не так, как ты думаешь. MoFo зарегистрирована в американской юрисдикции, и хочешь не хочешь, а выполнять требования американского тов. майора она вынуждена. Именно поэтому в списке сертификатов мозиллы нет и никогда не будет ни российских, ни иранских, ни казахских, ни тем более северокорейских или каких-то ещё сертификатов из «стран, не умеющих в мир». А вовсе не из-за суровой системы сертификации и качественной программы проверки качества.

А теперь давай рассмотрим, причём тут национальный признак:

Товарищ майор неоднократно совершал преступления, вплоть до особо тяжких, так что доверия ему нет.

Совершенно верно, совершал. До сих пор МУС бегает за солдатами американского тов. майора, вменяя ему ответственность преступления, которые они совершили в десятках стран по всему миру. Тут тебе и вполне себе изнасилования в Японии и Ю. Корее, вполне себе задокументированные и расследованные. Тут тебе и военные преступления в Ираке и Афгане, Югославии и я устану перечислять. Тут тебе и загадочные самоубийства, и похищения людей, и целая тюрьма в Гуантанамо.

Доверия этому тов. майору никакого нет.

Товарищ майор законодательно изъявил желание следить за всеми, причем даже ретроспективно (см пакет яровой).

Да, изъявил. См. Echelon, прослушку Меркель. Официально тов. майор принял закон FISA, официально осуществлял прослушку за всеми, причём ретроспективно. Кстати, обрати внимание на даты. А ещё неофициально.

Товарищ майор держит за яйца всех коммерсов, и у тех даже в теории нет возможности отказать товарищу майору в его теперь уже законных требованиях.

Да. Ссыслки приводить надо или и так всё понятно? Тут Маск недавно приоткрыл завесу над всем этим делом, любо-дорого было посмотреть на полыхающее зарево.

Удивительно, как люди продолжают доверять американским сертификатам после откровений Сноудена. Ничего не вижу, ничего не слышу, это другое.

Как в таких условиях можно доверять сертификату от товарища майора или любого их его потенциальных заложников?

Ну вот и не доверяй, я же не против. Выкинь все американские сертификаты из своего браузера, если ты такой недоверчивый.

Или это Другое, Понимать Надо?

Если же это всё-таки То Же Самое, то вопрос в национальном признаке.

P.S. И всё-таки, какое отношение сертификат минцифры имеет к тов. майору, можно ссылки?

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Werenter

Да, причём если центр сертификации вдруг начнёт выдавать левые сертификаты, на чужие домены, об этом станет известно и это невозможно будет скрыть.

Но любителей теорий заговора уже было не остановить.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Ой, ещё один любитель этодругина пришёл.

Это единственное лекарство от синдрома «а в америке вашей негров линчуют».

На самом деле да, но совсем не так, как ты думаешь. MoFo зарегистрирована в американской юрисдикции,

Плохо, на 2 с плюсом, за то что знаешь слово «юрисдикция». Проблема в том, что в схватке тормозиллы и яндекс браузера побеждает тормозилла. Причём везде, и в США и в РФ и в любой третьей стране. Видимо американской юрисдикции доверяют больше.

Совершенно верно, совершал. До сих пор МУС бегает за солдатами американского

И это всё? Ты жалок. Разбирать военные преступления - это неблагодарное занятие. Там, где происходят тысячи убийств, всегда найдутся сомнительные дела, которые могут быть реальными военными преступлениями, а могут и не быть, а просто быть поданы так пропагандой с помощью фрейминга. И я не знаю случаев, когда какая-нибудь страна, не потерпевшая сокрушительного поражения в войне, действительно выдавала бы своих военных на суд другой.

Российские и до этого советские военные совершали военные преступления, даже российский суд по таким делам выносил приговоры. Давай даже сделаем вид, будто мы не можем оценить, где таких случаев больше. Зато такие весёлые дела как например ликвидация спецслужбами перебежчиков, или например оппозиционных политиков, вот это действительно зашквар. Это не то что «среди десятка тысяч убийств совершаемых десятком тысяч не самых лучших представителей общества, десяток, возможно, был совершён не по феншую», это когда высокопоставленные чиновники организованно спланировали и совершили убийство в мирное время. И заметь, несмотря на постоянно выходящие фильмы про агента 007, мало кто реально верит, что ми6 действительно занимается убийствами, а когда речь заходит о КГБ/ГРУ/ФСБ никто, даже пропагандисты на зарплате, не говорят «да как вы смеете подозревать наших рыцарей плаща и кинжала в убийстве», вместо этого линия защиты всегда одна: это нам невыгодно, это враги его убили чтоб нас подставить. Т.е. общий посыл, «да, бойтесь нас, мы можем достать любого, но вот конкретно этого замочили не мы». Надо ли удивляться, что у таких ребят репутация крышуемой государством ОПГ, и, соответственно, никто в здравом уме не захочет давать им мастер-ключ от своих систем шифрования?

Да, изъявил. См. Echelon, прослушку Меркель. Официально тов. майор принял закон FISA,

Так уж повелось, что я знаю что такое закон FISA. Так что саечку тебе за попытку смухлевать, клоун.

Да. Ссыслки приводить надо или и так всё понятно? Тут Маск недавно приоткрыл завесу над всем этим делом

Ну да, это было чертовски громкое дело. И это громкое дело доказывает, что никакие законы не защищают от злоупотреблений со стороны государства. Однако в одной стране коммерческая контора публично отказывает спецслужбе в расшифровке телефона террориста, а в другой любят демонстративно унижать бизнесменов, чтоб показать кто тут хозяин. Ты можешь верить, что «там так же, просто скрывают», но ты не можешь отрицать, что если один товарищ майор любит показать как он может нагнуть любого абсолютно по беспределу, не утруждая себя формальностями, то окружающие ему вполне верят, и относятся к нему как к тому, кто может нагнуть любого по беспределу.

Так что ты слит. И впредь воздержись от задорновских аналогий типа «Венеция на воде, и Малоярославец тоже незаасфальтирован». Бывают случаи, когда действительно «это другое».

khrundel ★★★★
()
Ответ на: комментарий от khrundel

Видимо американской юрисдикции доверяют больше.

мало кто реально верит, что ми6 действительно занимается убийствами

Ты можешь верить,

Как обычно, вопросы веры. Ну конечно, там рай, а здесь ад, вот и весь разговор.

С вопросами веры — в церковь. У мозиллы в проверке CA эти вопросы не прописаны. Как и вопросы национальности.

Aceler ★★★★★
() автор топика
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от Aceler

Т.е. вместо того чтоб обтекать ты решил вырулить на «одни верят что бог есть, другие что нет, и то и другое недоказуемо»?

Сперва наперво я напомню, что я и утверждал о репутации. Да, вот так, американскому товарищу майору верят, а российскому - нет. И не только я, а в общем-то почти все. Поэтому даже американские оппозиционеры, не доверяющие своему государству, не станут пользоваться вместо хрома яндекс браузером.

В остальном, я может и не могу прозревать суть вещей, но если при таких усилиях по пропаганде и засекречиванию у одного из товарищей майоров шило постоянно вылазит из мешка, я делаю вывод что вряд ли дело в том, что плохо умеют прятать, скорее то что шил в мешке полно, на порядок больше.

khrundel ★★★★
()
Ответ на: комментарий от khrundel

Сперва наперво я напомню, что я и утверждал о репутации.

Да, у американцев великолепный PR, контроль над СМИ, дикое количество НКО по всему миру. Они серьёзно заняты поднятием своей репутации. Россия только-только начала и делает здесь первые шаги. Снимаю шляпу, полностью согласен.

Только это не имеет значения, при рассмотрении CA имеют значения только верифицируемые критерии, это не народное голосование на тему, кому что больше нравится.

Так что саечку тебе за ответ вообще не по теме.

Да, вот так, американскому товарищу майору верят, а российскому - нет.

Это ты веришь американскому, а российскому нет. Большинство людей мира понятия не имеют о российском майоре, а американского очень боятся.

И статистика браузеров здесь абсолютно нерелевантна — поскольку отражает, опять же, уровень рекламы и пропаганды, который конвертируется в доверие, не говоря уже о технических возможностях, которые проистекают из денег.

Слив засчитываю.

Поэтому даже американские оппозиционеры, не доверяющие своему государству, не станут пользоваться вместо хрома яндекс браузером.

Да и российские как-то предпочитают tor browser и вот это вот всё.

В остальном, я может и не могу прозревать суть вещей, но если при таких усилиях по пропаганде и засекречиванию у одного из товарищей майоров шило постоянно вылазит из мешка, я делаю вывод что вряд ли дело в том, что плохо умеют прятать, скорее то что шил в мешке полно, на порядок больше.

Ты просто наивнячок, который думает, что американский товарищ майор добрый.

P.S. Неудобные вопросы так и будешь игнорировать? Ожидаемо.

Aceler ★★★★★
() автор топика
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от Aceler

американский товарищ майор добрый.

Ни разу. Но американский товарищ майор далеко, а российский близко.

Доверять нельзя ни одному, но американский ради какой-то мелочи напрягаться не будет, а местный уже пришивает статью в дело.

И хорошо если второму давать повода для беспокойств меньше, например не давать подсматривать в трафик.

a1ba ★★
()
Ответ на: комментарий от a1ba

Согласно этой логике, мозилла не должна доверять американским сертификатам, а российские или казахские вкорячивать за милую душу.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от t184256

С чуть большим — нет никакой причины, почему бы им не юзать спокойно хоть Let’s Encrypt.

Если сертификат должен подтверждать истинность сайта и принадлежность организации, то намного больше доверия сертификату МинЦифры, который выдаётся по паспорту, чем сертификату Let’s Encrypt, выдача которого никак не защищена от атаки человеком посередине.

Особенно, если это сайт банка или, например, медицинского учреждения.

monk ★★★★★
()

вопрос ко всем знатокам :о)

библиотеку пересобрать на «типа последнюю и ужО безопасную» - не проблема, заменить/установить как основную/системную. Но проблема-то в том, что все бразеры (во вс.сл. кот. у меня есть) не используют внешнюю libWepb, а собраны «статически» (проверял стрейсом)

есть какие-либо финты ушами и хитрости, что-бы заставить работать приложение с внешней библиотекой, взамен «статики»?

спасибо

sunjob ★★★★
()
Ответ на: комментарий от sunjob

есть какие-либо финты ушами и хитрости, что-бы заставить работать приложение с внешней библиотекой, взамен «статики»?

Только собирать браузеры из исходников с использованием внешней билиотеки. В генту такая возможность дается через use флаги и по крайней мере при сборке лиса работает.

Qui-Gon ★★★★★
()
Ответ на: комментарий от Aceler

Да, у американцев великолепный PR, контроль над СМИ,

Да-да-да, всё подделали. А российский товарищ майор за свою любовь к открытости и свободе слова страдает.

Россия только-только начала и делает здесь первые шаги.

Ты про какие? Если про RT и нытьё «нас все не любят», то этим шагам уже второй десяток лет и не то что бы они движут в правильном направлении, только хуже стало. А если про уголовку за «фейки», то снимаю перед тобой шляпу, такой напор божьей росы не каждый может выдержать.

Только это не имеет значения, при рассмотрении CA имеют значения только верифицируемые критерии, это не народное голосование на тему, кому что больше нравится.

Слышал выражение: бить будут не по паспорту, а по морде? Вот тут оно применимо. Бумаги вроде как все собрали, но почему-то никто всерьёз не воспринимает. А знаешь почему? Потому что даже такой упорыш как ты не решился написать «да нет, никогда российский СА не выдаст поддельный сертификат для mitm-прослушки».

Так что саечку тебе за ответ вообще не по теме.

Есть такое понятие, как голосование ногами. Так вот, за яндекс браузер ногами не голосуют. Это показатель, насколько уважают нашего товарища майора даже те кто боится ихнего. Так что саечку ты себе в штаны выписал, клоун.

Это ты веришь американскому, а российскому нет. Большинство людей мира понятия не имеют о российском майоре, а американского очень боятся.

Смешно. Да, ты прав, не сильно много знают, но уж то что слышали для них достаточно, чтоб в эту сторону не ходить.

И статистика браузеров здесь абсолютно нерелевантна — поскольку отражает, опять же, уровень рекламы и пропаганды, который конвертируется в доверие, не говоря уже о технических возможностях, которые проистекают из денег.

Так и запишем, файрфокс с 3%, опера с 2% - все они победили яндекса за счёт огромных бюджетов и пропаганды.

Ты просто наивнячок, который думает, что американский товарищ майор добрый.

С чего ты решил такое, клоун? Нет, просто чуть менее злой, чуть менее безбашенный, что в общем зачёте даёт на пару порядков меньшую вероятность стать его жертвой.

А что есть у тебя? Только всемогущее «всей правды мы никогда не узнаем» и «там тоже неидеальные». И вот с таким говном на руках ты имеешь наглость что-то про слив писать?

P.S. Неудобные вопросы так и будешь игнорировать? Ожидаемо.

Какие неудобные вопросы, клоун? Посмотрел по ветке, там дальше от тебя только пук в лужу про «вопросы веры». Ты решил ещё и прямым враньём докинуть?

khrundel ★★★★
()
Ответ на: комментарий от khrundel

Есть такое понятие, как голосование ногами. Так вот, за яндекс браузер ногами не голосуют. Это показатель, насколько уважают нашего товарища майора даже те кто боится ихнего. Так что саечку ты себе в штаны выписал, клоун.

Так, наоборот же. http://alexvaleev.ru/browserstat/2023/7/

Яндекс.Браузер на втором месте сразу после Хрома. А Firefox на уровне статпогрешности.

monk ★★★★★
()
Ответ на: комментарий от Nxx

Больше на Си пишите, и не такое будет.

а проблема точно в C, а не в любителях программировать мышкой?

AS ★★★★★
()
Ответ на: комментарий от Qui-Gon

про сборку из исходников и так ясен пень! сам-же знаешь (или нет? :о) что в данном случае «кактуальны для сборки» только последние роллинги-версии, кот. не собирутся ни за что на чуть-чуть «пристарелых» версиях оси (не роллингах)

имелся в виду способ запуска через шел-скрипт, с настройкой окружения, типа LD_PRELOAD или еще чего :о)

sunjob ★★★★
()
Ответ на: комментарий от Aceler

Ну почему они этого не делают я не знаю. :)

Но почему я сам должен ставить левые сертификаты не ясно.

a1ba ★★
()
Ответ на: комментарий от khrundel

Зато такие весёлые дела как например ликвидация спецслужбами перебежчиков

Чем это отличается от ликвидации Бен Ладена?

AS ★★★★★
()
Ответ на: комментарий от a1ba

Доверять нельзя ни одному, но американский ради какой-то мелочи напрягаться не будет

Сколько российских граждан похищено в третьих странах американским майором?

AS ★★★★★
()
Ответ на: комментарий от a1ba

Но почему я сам должен ставить левые сертификаты не ясно.

Единственный не левый сертификат - это тот, который ты сделал сам для себя. Всё остальное одинаково левое. Почему тут кому-то только минцифра не нравится, совершенно непонятно.

AS ★★★★★
()
Ответ на: комментарий от AS

какой-то мелочи

Сколько российских граждан похищено

Международные кардеры и торговцы оружием — «какая-то мелочь», ога. А сроки за «лайки» — очевидно, нет.

«Olympic level mental gymnastics.»

alegz ★★★★
()
Ответ на: комментарий от alegz

Международные кардеры и торговцы оружием — «какая-то мелочь»

Ога. Ещё бы все случаи доказаны были. Но хорошо, что хоть с «похищено» согласился.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

это тот, который ты сделал сам для себя

Я кстати абсолютно согласен. Даёшь автоматическое разрешение самоподписанных сертификатов!

a1ba ★★
()
Ответ на: комментарий от AS

Чем это отличается от ликвидации Бен Ладена?

Тот факт что ты этого не понимаешь как раз и объясняет почему российским датацентрам не доверяют. Вот из-за этого «как будто это что-нибудь плохое».

khrundel ★★★★
()
Ответ на: комментарий от khrundel

«По результатам опроса на нашем сайте у 100% пользователей есть доступ к Интернет».

Здесь сбор по сайтам рунета, использующим счётчики Liveinternet и Yandex.Радар. У Вас есть предположение, что пользователи Firefox по какой-то причине избегают такие сайты?

monk ★★★★★
()
Ответ на: комментарий от khrundel

Тот факт что ты этого не понимаешь как раз и объясняет

Как раз таки я понимаю, что разницы нет. Но ты её упорно видишь.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.