Спустя два дня после публикации выпуска Chrome с устранением критической уязвимости, компания Google сформировала ещё одно обновление Chrome 88.0.4324.150, в котором исправлена уязвимость CVE-2021-21148, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана переполнением кучи в JavaScript-движке V8...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54534

• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Леголас, 10:43 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Fracta1L, 10:50 , 05-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Леголас, 11:12 , 05-Фев-21
      • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,FractaL, 19:55 , 05-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Ann, 12:46 , 05-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,пох., 13:49 , 05-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,FractaL, 19:53 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Посылатель нахер, 12:09 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 12:53 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 12:54 , 05-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,пох., 13:49 , 05-Фев-21
• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 10:59 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Леголас, 11:06 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 11:17 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,пох., 13:52 , 05-Фев-21
• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 11:19 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 12:56 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 10:40 , 08-Фев-21
• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 13:35 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 14:16 , 05-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 14:42 , 05-Фев-21
      • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 15:19 , 05-Фев-21
• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 19:53 , 05-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноньимъ, 05:34 , 06-Фев-21
• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Аноним, 10:41 , 08-Фев-21
• Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,vz_2, 12:28 , 11-Фев-21
  • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,Oe, 12:46 , 11-Фев-21
    • Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-...,vz_2, 13:42 , 11-Фев-21

Нужно больше хромодыр, что бы лиса вышла на первое место по доле на рынке, которое она заслуживает.

Не заслуживает. Им надо было выбросить полностью всё это кривое-тормозное-дырявое легаси и писать браузер с нуля на базе Servo.

По твоей логике и Chrome/Chromium ничем не лучше. Вакантное место должен занять... Links!

> По твоей логике и Chrome/Chromium ничем не лучше. Вакантное место должен занять...
> Links!

У маего старшего брата логика? Серьёзно?

Предварительно переписав Servo на C. Иначе получиться очень-кривое-тормозное-дырявое поделие.

Точно!

(обратите внимание, нубы: вот настоящий Фратал *правильно* говорит о своем любимом языке - в несовершенной форме - не "написать", а именно "писать браузер с нуля".)

Занятия хватило бы на пяток поколений разработчиков, а там бы еще что-нибудь придумали...

> Не заслуживает. Им надо было выбросить полностью всё это кривое-тормозное-дырявое легаси
> и писать браузер с нуля на базе Servo.

Очередное дурацкое мнение моего как всем изветно не очень умного старшего брата. Ты уже устарел, мы с iPony тебя сделали.

Нет
https://bugzilla.mozilla.org/show_bug.cgi?id=1425650

Хм... По доле дыр?

Да она вроде и так на том самом месте... Которое заслуживает.

Это потому что она не на хрусте!

>в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows

Офигеть вообще, в таргетированных атаках против частных лиц без серьёзных грошей в кармане на 0-day эксплоиты не скупятся.

Из этого можно сделать вывод, что внедрение бэкдоров/поиск уязвимостей и разработка эксплоитов стала намного дешевле.

Китайцы GPT-3 применили для поиска и прототипирования?

Google сама поощряет поиск.

Ответ кроется в статье со статистикой по 0-day. При исправлении уязвимостей стали больше халтурить, прикрывают лишь внешнее проявление, а суть дыры остаётся. Они ещё не упомянули про утечки информации из багтрекеров, в прошлом году пару раз 0-day в Chrome всплывали из-за того, что патчи раньше времени в код утекали.

> Офигеть вообще, в таргетированных атаках против частных лиц без серьёзных грошей в кармане

"дура не дура, а тридцатку в день - имею!"
Частные лица, любители "новостей" о zero-day, знаешь ли, могут иметь на кармане не только грошики, но и сотню-другую тысчонку зомбомайнеров. Понятен, не все, лишь избранные - но и одной такой сеточки  китайцу хватит на чашку риса. Причем - цельнозолотую.

У леммингов гугла вообще отдельный мир - маленький, страшный и кругом дыры

Ой ли! Маленький и огороженный это не к Гуглу. Он вертит всем вэбом как хочет.
А кто-то сидит в своём загончике. Смирись, анон.

Лиса для гугла давно мертва.

В Генту что-то очень протухший Хромиум. А Puppeteer вообще 70 скачивает. Как страшно жить. Хорошо что у меня ФФ -- не нужно переживать из-за гугловских бэкдоров.

Не я не понял а почему pyppeteer хромиум трёхлетней давности использует? Даже не последнюю ревизию той ветки. С текущей ревизией не работает, и найти какая тебе ревизия нужна не так и просто. Ндя.

Если кому-нибудь интересно, ревизия 818858 работает (это 88.0.4298.0, 2020/10/20), 843427 уже не работает почему-то. Взять можно тут https://commondatastorage.googleapis.com/chromium-browser-sn.../

Я прошёлся по последним постам в https://github.com/puppeteer/puppeteer/releases чтобы найти ревизии. Судя по номеру это не последняя. Не понимаю как найти ревизию,

Ревизия 827102(88.0.4324.0 2020/11/13) тоже работает, но это ведь всё старые ревизии. Я могу получить ревизию 88.0.4324.150 где-нибудь например?

Там прилично изменений набралось, вот для этой стабильной ветки с ноября по сегодня
https://chromium.googlesource.com/chromium/src/+log/88.0.432...
https://chromium.googlesource.com/v8/v8/+log/8.8.278..8.8.27...
https://chromium.googlesource.com/skia/+log/59bafeeaa7de9eb7...

Это что же получается, ревизии с исправлениями никак не получить? Или их не существует?

Все эти дыры, манифесты, запреты API - это так похромовски. Хорошо, что есть неизменно и стабильно работающая лиса, а всю хрень оставим хромоногим.

>неизменно и стабильно работающая лиса

*неразборчивые рыдания Мистера Бивня

Гугл вас всех вертел. На своем нефритовом стержне. Вместе с лисой. И всем вэбом.

Хромонутые до сих пор воспроизводят видео с youtube в большей яркостью, а в FF и PM там с хорошим контрастом. Достаточно легко запустить одно и тоже видео в хроме и FF, все сразу видно.

Че? Последний раз 10 лет назад такое видел, где нувиде блоб имел переключатель динамического диапазона аля 16-235 (совместимость c CRT мониторами), и некоторые программы выставляли почему то именно 16-235.

Проверить легко.