LINUX.ORG.RU

Критическая уязвимость сразу во всех распространённых браузерах

 , ,


6

5

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности

★★★★★

Проверено: unfo ()
Последнее исправление: hobbit (всего исправлений: 4)
Ответ на: комментарий от AS

Единственный не левый сертификат - это тот, который ты сделал сам для себя. Всё остальное одинаково левое. Почему тут кому-то только минцифра не нравится, совершенно непонятно.

тут надо вставить ссылку на видеоцитату из даунхауза. Меньшего ты не заслуживаешь.

Ты вообще понимаешь, зачем эту байду с корневыми сертификатами придумали? Каким образом твой сертификат тут как-то релевантен, ты собрался удостоверять чужие что ли?

Ну и ответ на вопрос про минцифру многократно давали: потому что люди уверены, что российский центр сертификации не будет исполнять свои обязанности добросовестно. Вот так бывает, когда страна подменяет анализы мочи на олимпиаде, травит шпиона, которого до этого сама же и обменяла, подаёт смешные запросы на розыск в Интерпол, в какой-то момент всем становится ясно, что для таких людей выпустить фальшивые сертификаты для MITM атак не будет чем-то неприемлемым.

Я вообще не понимаю, чего вы разнылись. Если считаете что честному человеку нечего скрывать, ну так пользуйтесь незащищённым http. https создан для обеспечения end-to-end шифрования, варианта end-to-camrad_major-to-end стандарт не предусматривает.

khrundel ★★★★
()
Ответ на: комментарий от monk

Здесь сбор по сайтам рунета, использующим счётчики Liveinternet и Yandex.Радар. У Вас есть предположение, что пользователи Firefox по какой-то причине избегают такие сайты?

Ты процитировал следующий текст: «Есть такое понятие, как голосование ногами. Так вот, за яндекс браузер ногами не голосуют. Это показатель, насколько уважают нашего товарища майора даже те кто боится ихнего. Так что саечку ты себе в штаны выписал, клоун.»

Ну а если ещё немного контекста подцепить, то там вообще явно говорится о положении в мире.

Вопрос: при чём тут твой сраный лайвинтернет и яндекс радар?

Отсюда и анекдот про опрос на сайте.

khrundel ★★★★
()
Ответ на: комментарий от khrundel

потому что люди уверены, что российский центр сертификации не будет исполнять свои обязанности добросовестно

При том, что ни одного случая, чтобы сертификатом МинЦифры была осуществлена атака подменой сертификата, не было. Но «уверены». И уверены, что LetsEncrypt, от которого сертификат на сайт может получить хоть хостер хоть любой провайдер интернета между сервером LetsEncrypt и сайтом, намного надёжнее, чем сертификат МинЦифры, который нельзя получить без паспорта и подтверждения юридического владения сайтом.

когда страна подменяет анализы мочи на олимпиаде, травит шпиона, которого до этого сама же и обменяла

В это верят только те же «уверенные» люди. Которым вместо расследования достаточно highly likely в СМИ или из уст политика.

фальшивые сертификаты для MITM атак не будет чем-то неприемлемым.

Ну да, highly likely.

monk ★★★★★
()
Ответ на: комментарий от khrundel

Вопрос: при чём тут твой сраный лайвинтернет и яндекс радар?

При том, что пользователи рунета как раз голосуют ногами за яндекс браузер. Что наглядно показывает статистика.

monk ★★★★★
()
Ответ на: комментарий от khrundel

Ты вообще понимаешь, зачем эту байду с корневыми сертификатами придумали?

Да, понимаю. Но не понимаю, с какой стати я должен кому-то там доверять.

Ну и ответ на вопрос про минцифру многократно давали: потому что люди уверены, что российский центр сертификации не будет исполнять свои обязанности добросовестно.

А я уверен, что Network Solution не будет исполнять свои обязанности добросовестно. А Let's Encrypt вовсе никому ничего не должен.

Верь дальше в чужие сертификаты и прочие облака.

AS ★★★★★
()
Ответ на: комментарий от AS

Но не понимаю, с какой стати я должен кому-то там доверять.

Потому что единственная альтернатива: ходить к каждому владельцу сайта, чтобы получить из рук в руки достоверно подлинный сертификат. Кстати, с клиент-банками часто так и делают: сертификат тебе выдает сотрудник банка по паспорту и под видеокамеру и после этого банк именно этому сертификату при подключении верит. 1С тоже в клиентскую часть сертификаты к своим серверам вшивает.

А в остальном: можно верить CA, можно верить написанному на сайте. До тех пор, пока от этого не зависит безопасность чего-то жизненно важного, это всё неважно.

monk ★★★★★
()
Последнее исправление: monk (всего исправлений: 2)
Ответ на: комментарий от cumvillain

А почему нельзя просто сразу писать нормальный код

Потому что люди несовершенны.

Прекращаем говорить за всех, ок?

BydymTydym
()
Ответ на: комментарий от PPP328

и проверять все внешнеприходящие данные

Так только трусы поступают и параноики, место коим в больничке, в халате с длинными рукавчиками…

BydymTydym
()
Ответ на: комментарий от khrundel

Бумаги вроде как все собрали, но почему-то никто всерьёз не воспринимает. А знаешь почему? Потому что даже такой упорыш как ты не решился написать «да нет, никогда российский СА не выдаст поддельный сертификат для mitm-прослушки».

Хотели нацизма — получили нацизма. Люди, готовые порваться на британский флаг просто потому, что рядом кто-то не осуждает российскую криптографию, или российского майора — они всегда такие.

Хотелось бы добавить, что никогда российский CA не выдаст поддельный сертификат для mitm-прослушки. И я даже написал, почему. Но ты всё проигнорировал, также как и неудобный вопросы про echelon, про Меркель, про изнасилования в Корее и так далее.

За регулярное употребление оскорблений ты отправляешься в игнор, изучать причины, по которым российский НУЦ никогда не выдаст поддельный сертификат для mitm прослушки. А также медитировать на тему, почему американский CA выдавал такие пачками.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Хотелось бы добавить, что никогда российский CA не выдаст поддельный сертификат для mitm-прослушки. И я даже написал, почему.

Нет, не написал.

cumvillain
()
Ответ на: комментарий от Aceler

Тут есть два момента:

  1. Скрыть не получится только массовое применение таких сертификатов
  2. То, что скрыть не получится это конечно сдерживающий фактор, но 100% гарантии не дает
maxcom ★★★★★
()
Последнее исправление: maxcom (всего исправлений: 2)
Ответ на: комментарий от Aceler

Я просто напомню, что у нас уже есть такая штука как ЭЦП. И историй с их перевыпуском полно.

cumvillain
()
Ответ на: комментарий от cumvillain

А, ну это такое свойство сертификатов, если уж он выдан, то там подпись сходится, что однозначно говорит о том, что его выдал определённый центр сертификации.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

А, ну это такое свойство сертификатов, если уж он выдан, то там подпись сходится, что однозначно говорит о том, что его выдал определённый центр сертификации.

Ии?.. Как это нас защищает от того, что условный Ахмед пошел к условному Валентину и купил у него сертификат, чтобы слушать твой трафик?

cumvillain
()
Ответ на: комментарий от maxcom
  1. Даже одного случайного раза будет достаточно.

Кстати, на эту тему браузерам стоило бы напрячься, той же мозилле. Если пользователь ходил на сайт X, подписанный сертификатом, выданным одним CA, а потом получил валидный сертификат, но подписанный другим CA - сохранять новый сертификат и давать какое-нибудь мелкое уведомление. Сделать такую функцию опциональной для параноиков, по умолчанию выключенной.

  1. Конечно.
Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Даже одного случайного раза будет достаточно.

Кек.

  • Историй дубликатов ЭЦП полно, ими перестали пользоваться? Нет.
  • Историй слива паспортов и биометрики не перечесть. Ими перестали пользоваться? Нет.
cumvillain
()
Ответ на: комментарий от Aceler

Кстати, на эту тему браузерам стоило бы напрячься, той же мозилле. Если пользователь ходил на сайт X, подписанный сертификатом, выданным одним CA, а потом получил валидный сертификат, но подписанный другим CA - сохранять новый сертификат и давать какое-нибудь мелкое уведомление. Сделать такую функцию опциональной для параноиков, по умолчанию выключенной.

Как видишь прямо сейчас никакой защиты нет, по крайней мере в типовых браузерах. Т.е. вся надежда на то, что какой-нибудь параноик заметит подмену и раструбит об этом.

maxcom ★★★★★
()
Ответ на: комментарий от monk

При том, что ни одного случая, чтобы сертификатом МинЦифры была осуществлена атака подменой сертификата, не было.

Может быть потому что их выдано всего пять тысячь и пята часть это сбер?

$ wc -l tls_list.csv
4883 tls_list.csv
$ grep -c sber tls_list.csv
897
cumvillain
()
Ответ на: комментарий от cumvillain

С ЭЦП и паспортами выбора нет. Впрочем, с тех пор требования к выдаче ЭЦП ужесточили до предела.

С сертификатом в браузере выбор есть. Если будет прецедент, легко поставить второй браузер без этого корневого сертификата, чтобы ходить везде, где прослушивание нежелательно.

monk ★★★★★
()
Ответ на: комментарий от cumvillain

Может быть потому что их выдано всего пять тысячь и пята часть это сбер?

А какая разница, сколько их выдано? Для подмены сертификата достаточно того, что сертификат стоит у клиента. Вон антивирусы вообще официально сертификатов не выдают, а при включенной «интернет-безопасности» сертификаты на шлюзе подменяют.

monk ★★★★★
()
Ответ на: комментарий от monk

При том, что пользователи рунета как раз голосуют ногами за яндекс браузер. Что наглядно показывает статистика.

Нет. Даже пользователи рунета голосуют ногами за хром. И это в условиях, когда некоторые местные сайты из-за санкций нигде кроме яндекс браузера не открываются.

khrundel ★★★★
()
Ответ на: комментарий от AS

Да, понимаю. Но не понимаю, с какой стати я должен кому-то там доверять.

Вот действительно сказочный.

Ты никому не должен доверять, это твоё дело. Просто мозила тебе рекомендует набор тех, кто по их мнению, заслуживает доверия. Минцифры они тебе не рекомендуют. По понятным причинам

khrundel ★★★★
()
Ответ на: комментарий от Aceler

Хотели нацизма — получили нацизма. Люди, готовые порваться на британский флаг просто потому, что рядом кто-то не осуждает российскую криптографию, или российского майора — они всегда такие.

Тебя порвало. Какой-то нацизм уже тут кто-то получил, причём заслужено.

Хотелось бы добавить, что никогда российский CA не выдаст поддельный сертификат для mitm-прослушки.

Мамой клянёшься?

И я даже написал, почему.

А я вот не видел. Зато видел много утверждений вида «везде такие же плохие». И тут я должен тебе напомнить, что нельзя сидеть на двух стульях разом. Если ты до этого доказывал что все вокруг шпионят, и наши и не наши, то нельзя вот так сразу переобуться и заявить, что некрасиво не доверять товарищу майору.

А вообще, меня поражают такие как ты клоуны. На твоих глазах заблокировали огромное количество сайтов, блокировали телегу, проводят учения по блокировке и замедлению, официальные лица постоянно повторяют, что с удовольствием бы заблокировали и ютупчик, да только тяжко это, мамки привыкли в нём мультики для детей включать. И тут появляешься ты и заявляешь, твёрдо и чётко, что нини, никогда не будет поставлен mitm прокси до ютуба с поддельным сертификатом, чтоб фильтровать доступный контент.

khrundel ★★★★
()
Ответ на: комментарий от monk

С сертификатом в браузере выбор есть. Если будет прецедент, легко поставить второй браузер без этого корневого сертификата, чтобы ходить везде, где прослушивание нежелательно.

Лол.

cumvillain
()
Ответ на: комментарий от monk

А какая разница, сколько их выдано?

Чем больше их выдано, тем выше шанс, что кто-то заинтересуется данными одного из сайтов?

cumvillain
()
Ответ на: комментарий от monk

С ЭЦП и паспортами выбора нет. Впрочем, с тех пор требования к выдаче ЭЦП ужесточили до предела.

Требования к получающим или выдающим?

cumvillain
()
Ответ на: комментарий от cumvillain

К выдающим, УЦ очень мало теперь осталось. Впрочем местами и получающих ограничили: например, ЭЦП теперь выдают неэкспортируемую, чтобы копии не делали.

monk ★★★★★
()
Ответ на: комментарий от perl5_guy

GTK их понимает, Qt их понимает, Emacs понимает, Tesseract понимает, Godot понимает, PHP понимает, Python с Pillow понимает, {Image|Graphics}Magick понимают, imlib2 понимает, opencv понимает, SDL1 и SDL2 понимают, libtiff понимает, ffmpeg понимает, links понимает, прочие браузеры понимают, просмотрщики, которые обновлялись последние год-два и зависят от перечисленного понимают. Чего тебе ещё нужно?

question4 ★★★★★
()
Ответ на: комментарий от sunjob

в данном случае «кактуальны для сборки» только последние роллинги-версии, кот. не собирутся ни за что на чуть-чуть «пристарелых» версиях оси (не роллингах)

На старом Дебиане всё собрали. Выше обсуждали.

question4 ★★★★★
()
Ответ на: комментарий от alegz

А сроки за «лайки» — очевидно, нет.

В США ФБР уже за лайк расстреляло человека в собственной квартире.

question4 ★★★★★
()
Ответ на: комментарий от AS

А я терпеть не могу людей типа «это другое».

Он очень переживает, что ему всё никак не дают гражданство Чехии.

question4 ★★★★★
()
Ответ на: комментарий от EXL

Надеюсь этот факап в конец убьёт этот идиотский формат, который не решил никаких проблем, а только добавил их.

Не убьёт. Никого пока не поломали, и уже вряд ли поломают. Куда более серьёзный Heartbleed ни к чему такому не привёл.

Зато на неподъёмных разрешениях фотографии в WebP существенно меньше, чем в JPEG и быстрее читаются с диска.

question4 ★★★★★
()
Ответ на: комментарий от buddhist

Во всех двух?

И всём, что на их движках. TOR, Edge, Yandex, Opera…

question4 ★★★★★
()
Ответ на: комментарий от grem

Где-то видел упоминание, что гугл в процессе разработки chromium очень любит использовать самые распоследние фичи C++, в том числе те, которых нет в стабильных версиях gcc и clang.

Gentoo. Позавчера собрал Chromium 116.0.5845.187 12-м GCC. Единственная проблема — там ~59 тысяч файлов, и на неновом 8-ядерном процессоре на это уходит порядка 10 часов. (Поэтому обновляю его раз в полгода или при серьёзных ошибках.)

Ниже 12-го — собирать откажется. Но уже доступны 13-й и 14-й GCC.

question4 ★★★★★
()
Ответ на: комментарий от Kolins

А зачем вообще этот webp нужен, когда есть png

В режиме без потерь сжимает значительно лучше. За счёт большей нагрузки на процессор. Поддерживает анимацию везде, а не в ограниченном числе браузеров.

question4 ★★★★★
()
Ответ на: комментарий от question4

Ух молодец какой! Перечислил библиотеки, язычки, консольные утилиты и консольные же браузеры. Я даже не знаю как при таких вводных можно объяснить что именно меня смущает. Не уверен даже что объяснить возможно в принципе.

perl5_guy ★★★★★
()
Ответ на: комментарий от perl5_guy

Все гуёвые программы, которые их используют, тоже поддерживают WebP. Подавляющее большинство — автоматически.

links может быть графическим, если не знал.

question4 ★★★★★
()
Ответ на: комментарий от monk

А какая разница, сколько их выдано? Для подмены сертификата достаточно того, что сертификат стоит у клиента.

Никому нельзя верить. Я для себя сделал так: у меня есть отдельный профиль в Firefox для российских официальных сайтов, там конечно установлен сертификат Минцифры, ну и плюс меньше шансов случайно зайти на фальшивый сайт, потому что нужные файлы (Сбер, Госуслуги и т.д.) на панели закладок, на другие сайты оттуда я даже не захожу (меньше риск в случае некоторых уязвимостей в браузере или на сайте). Для других сайтов - другой профиль. На разных профилях разные темы оформления, чтобы не перепутать.

askh ★★★★
()
Ответ на: комментарий от question4

Ну ладно. Сначала извинюсь, т.к. слишком грубо написал сообщение своё предыдущее. Тем не менее, стандартная смотрилка изображений в Убунте не могёт открыть webp, в моей старой Слаквари (14.2) - тоже не могёт, в Альте только что проверил - не получилось. Файловый менеджер не знает чем открывать такие файлы. Конечно я, как человек с высшим техническим образованием, могу открыть окуляром, гимпом или тем же браузером, но это ТАКОЕ. Сейчас по ФС поискал. Только 2 файла webp у меня на диске есть. Формат в народном хозяйстве непопулярен и поддержка оставляет желать лучшего. Чё там в веб-разработке происходит дело третье. Они вообще каждые джва месяца всё с нуля переписывают на жабаскрипте.

perl5_guy ★★★★★
()
Ответ на: комментарий от perl5_guy

стандартная смотрилка изображений в Убунте не могёт открыть webp

Eye of Gnome? Кривулина, падающая на ровном месте. Но всё равно странно.

Когда-то давно пример из туториала по GTK показывал все поддерживаемые GTK форматы без всяких действий с моей стороны. Возможно, в Ubuntu GTK собирают без поддержки WebP?

Файловый менеджер не знает чем открывать такие файлы.

Он пользуется общесистемной базой mime-типов или локальной? Предположу, что если локальная старше WebP, может быть такая проблема.

Только 2 файла webp у меня на диске есть. Формат в народном хозяйстве непопулярен

Одно время хостинг картинок на Яндексе отдавал пережатые в WebP картинки по хотлинкам. Размер бывал раза в 3 меньше (для фотографий — чаще 60-70% от оригинала). А за оригиналом надо было идти на сайт. Как сейчас — не знаю.

Ещё на некоторых пиратских сайтах выкладывают комиксы в WebP. Он вейвлетный, как DjVu, удобнее для сканов, чем JPEG (меньше артефактов при резких переходах, меньше размер) и PNG (меньше размер), не отягощён патентами в отличие от JPEG2000.

Все современные браузеры его поддерживают. Вне зависимости от системной WebP.

question4 ★★★★★
()
Ответ на: комментарий от sunjob

в данном случае «кактуальны для сборки» только последние роллинги-версии, кот. не собирутся ни за что на чуть-чуть «пристарелых» версиях оси (не роллингах)

На престарелых версиях оси ты будешь меть престарелое гнездо дыр. и смысл менять одно решето на другое решето? Собственно для некрофилов и делают бинарные сборки броузеров в которых полюбасу влинкована либа с меньшим количеством дыр и установив последнюю версию браузера не используюшего говно мамонта из твоего престарелого дистра ты как раз избавишься от проблемы.

Qui-Gon ★★★★★
()
Ответ на: комментарий от question4

Причём Яндекс отдавал webp, но расширение файла оставалось jpg, некоторой части софта сносило крышу.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от perl5_guy

Если альт десятый, то да, там смотрелки открывать не будут, слишком старое всё. У меня в Сизифе все открывает. А бунта какой версии?

Aceler ★★★★★
() автор топика
Ответ на: комментарий от perl5_guy

стандартная смотрилка изображений в Убунте не могёт открыть webp

Установите webp-pixbuf-loader, и всё заработает.

Rootlexx ★★★★★
()
Ответ на: комментарий от Rootlexx

Установите webp-pixbuf-loader, и всё заработает.

То есть поддержку webp собрали отдельным модулем и отключают по умолчанию? Логично. Но глупо.

question4 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.