LINUX.ORG.RU

В браузере Google Chrome обнаружена вторая уязвимость

 , , ,


0

0

Как выянилось, для того, чтобы обрушить весь браузер Google Chrome целиком, а не только текущую вкладку, достаточно тем или иным образом заставить пользователя перейти на специально сформированную ссылку (например). Более того, потенциально это позволяет выполнить произвольный код с правами браузера.

>>> Подробности

don't be evil:%

anonymous
()

>перейти

4.2, переходить не обязательно, достаточно навести курсор мыши или вставить в адресную строку.

anonymfus ★★★★
() автор топика
Ответ на: комментарий от anonymfus

>4.2, переходить не обязательно, достаточно навести курсор мыши или вставить в адресную строку.

Решето!!!

Dudraug ★★★★★
()

Все на штурм Google Chrome!

А я у него магнитолу сп...дю (С) Анекдот

vega
()

Самый безопасный браузер в мире, ага.. =)

anonymous
()

Firefox не может определить как открыть данный адрес, так как протокол (evil) не связан ни с одним приложением.

ха-ха-ха.

delilen ★☆
()

Достали новостями про Google Chrome. Особенно когда ещё нет Linux версии. Напоминает то, что эти уязвимости они сделали специально, чтобы о них писали (пиар).
P.S. Чувствую сейчас по камментам спалятся куча вендузятников (комментируя впечатления от chrome).

snizovtsev ★★★★★
()

Ну вот, а в комиксе так красиво нарисовали, как креш в табе не убивает браузер... /me больше не доверяет никому

anonymous
()

Гы работаит :)

eXOR ★★★★★
()

Прикидую как все ща сидят и пытаются то так, то этак закрешить бедный бровзер...

anonymous
()

Найденные ошибки (уязвимости) - нормальный такой процесс отладки приложения. Так что не стоит удивляться ;)

anonymous
()
Ответ на: комментарий от anonymous

>Найденные ошибки (уязвимости) - нормальный такой процесс отладки приложения. Так что не стоит удивляться ;)

И каждую ошибку обсасывать ;)

anonymous
()
Ответ на: комментарий от anonymous

Нет, надо кодить нормально. А они вместо этого рисуют комиксы и рассказывают там про разработку тестированием. Сначала накодим как-нибудь, потом залатаем.

anonymous
()

Лор поразил хром головного мозга? Давайте теперь еще про каждый чих разрабов этого недоподелия новости постить.

vasily_pupkin ★★★★★
()

дуршлаг!

anonymous
()
Ответ на: комментарий от anonymous

>Найденные ошибки (уязвимости) - нормальный такой процесс отладки приложения. Так что не стоит удивляться ;)

В первые же сутки - это нормально? ;)

X-Pilot ★★★★★
()

ЛОР теперь в качестве багтрекера и репортера Google Chrome?

FilosofeM ★★
()
Ответ на: комментарий от anonymous

А мне браузер нравится.. Быстрый такой и стильный. Остлоась подождать, когда упралвение мышкой а-ля опера реализуют и можно будет выкидывать старушку оперу.

anonymous
()

На то она и БЕТА, чтобы в ней баги находить

Spinal
()
Ответ на: комментарий от anonymous

Прямо на google.com внизу написано:

>Новинка! Загрузите Chrome (BETA) - новый браузер от Google


Значит ПУБЛИЧНЫЙ РЕЛИЗ был, как бы он не назывался. Этим браузером уже пользуются порядка 2-3 процентов пользователей, то есть порядка нескольких десятков миллионов установок по всему миру, а что будет через неделю — подумать страшно. Значит любые уязвимости в нём — уже большая проблема.

GMail, кстати, тоже бета. Вечная.

anonymfus ★★★★
() автор топика
Ответ на: комментарий от X-Pilot

>>Найденные ошибки (уязвимости) - нормальный такой процесс отладки приложения. Так что не стоит удивляться ;)

>В первые же сутки - это нормально? ;)

учитывая количество тестирующих - вполне.

kvitaliy
()

Вот, мля, щас из ЛОРа багтрэк Хрома сделаем, ага.

anonymous
()

А чего мелочиться-то? Давайте создадим для Хрома отдельную группу новостей и будем постить новости о каждом баге в каждой бета-версии, а?

MYMUR ★★★★
()

Интересно, к концу дня третью уязвимость осилят найти?

anonymous
()

C нетерпением жду новости о 3-ей уязвимости!

anonymous
()

# libastral_mode on
# echo "Третий баг будет завтра!"
# libastral_mode off

mint
()

пока второй сервис пак не выйдет, ставить не буду :)

anonymous
()

Новый броузер - новое решето.

Quasar ★★★★★
()
Ответ на: комментарий от snizovtsev

> Достали новостями про Google Chrome. Особенно когда ещё нет Linux версии. Напоминает то, что эти уязвимости они сделали специально, чтобы о них писали (пиар).

Хоть один здравомыслящий человек в комментах!

shahid ★★★★★
()

Решето! Решето! Мне страшно подумать что будет когда это решето портируют на linux. Капча curging тоже трясется от страха.

anonymous
()

В любом случае, данная ошибка вызвана неправильным кодом, я еще удивляюсь как у них фильтруются входные данные в gmail?! Как можно не фильтровать входные данные? Один пиар и ничего больше, жалею что заплатили бабосы какому-то недоумку в течении этих 2х лет, раз он не знает про правило "мусор на входе - мусор на выходе". Удивительные у них тестеры, да, и еще им куча бабла отвалили за семкоплевательство в потолок. После такого выхода просто противно. Бизнес-сообщество просто так на это глаза не закроет. Так им и надо.

gh0stwizard ★★★★★
()
Ответ на: комментарий от X-Pilot

>В первые же сутки - это нормально? ;)

А надо лет эдак через 25?

s0n1k ★★
()
Ответ на: комментарий от gh0stwizard

Уязвимость такой ссылки очень напоминает тестовую ссылку приводящую к крэшу, нужную для отладки.

sin_a ★★★★★
()

:) nu eshe let 5, i ono dogonit 8-uju Opera, na 10-j god mozhet i 9-uju

phasma ★☆
()

Я предсказываю:

1. Chrome доведут до ума

2. Google перестанет поддерживать Firefox

3. Firefox без поддержки Google сгниет - все про него забудут

4. В отсутствие серьезной конкуренции качество Chrome будет снижаться

5. Chrome идеологически станет чем-то типа IE

6. В связи с этим пользователи забьют на Chrome...

7. ...и абсолютно все пересядут на Opera!

8. Восторжествует справедливость

CARS ★★★★
()
Ответ на: комментарий от sin_a

Это не одна ссылка, это целый класс. sin:% ничуть не хуже.

anonymfus ★★★★
() автор топика

>Более того, потенциально это позволяет выполнить произвольный код с правами браузера.

Любителям сидеть под рутом назаметку :)))

Freiheits-Sender ★★
()

индусорешето.

Что надо сделать, чтобы неправильно распознать url? Я это еще в школе корректно на уроках информатики писал.

anonymous
()
Ответ на: комментарий от sin_a

>Уязвимость такой ссылки очень напоминает тестовую ссылку приводящую к крэшу, нужную для отладки.

Конечно, отлаживать ошибку видимо должны юзеры, которые нифига не заинтересованы в новом продукте.

Как вам такое если в rhel сделали нарошно/не нарошно(как в случае с гуглом) уязвимость столь же простую как и в хром в обычном приложении скажем yum (ну, пропатчили ее по своему)? И вдруг каким-то образом, не важно каким, была захвачена вся система, злоумышлинник скопировал все базы на оракле и начал шантажировать компанию или просто удалил за определенную сумму которую выплатили конкуренты.

Что RH тогда бы сказал - "ну эта же бэта, протестированная, самая _безопасная_ (утверждая точно также как это делает до сих пор гугл, постыдились бы, и удалили бы видео и все места, где упомянуто слово безопасность)?

А теперь представим ситуацию когда какой-то бизнесмен, решил опробовать новый хром у себя на ноуте, где лежит важная инфа его фирмы, решил зайти в новом браузере на сайт с порно. До этого бизнесмен пользовался фоксом, который в случае краха системы редко дает возможность выполнять произвольный код. А тут он зашел глянуть порно и бац, хром вылетел с ошибкой, выполнился произвольный код и все, вся инфа уже льется через свеженький троян к крэкеру.

Конечно фантазировать можно до бесконечности, но фиаско есть фиаско =)

gh0stwizard ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.