URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124494
[ Назад ]

Исходное сообщение
"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимости "

Отправлено opennews , 10-Июн-21 11:00 
Компания Google сформировала обновление Chrome 91.0.4472.101, в котором исправлены 14 уязвимостей, в том числе проблема CVE-2021-30551, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55309


Содержание

Сообщения в этом обсуждении
"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Жироватт , 10-Июн-21 11:00 
> уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8.

А... А где же сиплясплясные указалки, которые там в памяти и причина 146% уязвимостей?


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 11:53 
> А... А где же сиплясплясные указалки, которые...

Чуть ниже по тексту:

"В новой версии также устранена ещё одна опасная уязвимость CVE-2021-30544, вызванная обращением к памяти после её освобождения (use-after-free) в кэше перехода..."


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Жироватт , 10-Июн-21 12:28 
Да видел я. Я тут местным растаманам подражаю, у которых если не уязвимость, то сишная ди-и-ирочка, которую закрывает новый невероятностный Сишный(с) ActiveДырозакрывательПро.Net(тм)(R) Плюс Интерпрайз Зверь Эдишн ... ой, простите, описка, новый невероятностный ржавьс

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 13:47 
> Да видел я. Я тут местным растаманам подражаю, у которых если не
> уязвимость, то сишная ди-и-ирочка, которую закрывает новый невероятностный Сишный(с)
> ActiveДырозакрывательПро.Net(тм)(R) Плюс Интерпрайз Зверь Эдишн ... ой, простите, описка,
> новый невероятностный ржавьс

Не зря ты себя Жироваттом именуешь...


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 14:16 
Чего-то тогда не совсем понятны твои тролячьи юродствования. Если бы по ссылке сходил, то понял бы что сейчас ты газифицировал лужу - бОльшая часть ошибок таки связаны с сочетанием "могущественного Си с никчемными манкикодерами" (ну а "правильных Сишников" всё так же, как и раньше, чего-то не завозят/рожают). Так вот, повторюсь, если бы ты сходил по ссылке, то понял бы, что "местные растаманы" со своей "ржавью" были бы правы - там только та одна ошибка связана с логикой (и то, "наверное", потому что "детали пока не раскрываются"), остальные - с богоподобным могуществом Си и никчемными способностями ходячих мешков с кровью и мясом. Предоставленный список 10 ошибок из 14, тех, которые нашли не гугловские исследователи:

Critical CVE-2021-30544: Use after free in BFCache.
High CVE-2021-30545: Use after free in Extensions.
High CVE-2021-30546: Use after free in Autofill.
High CVE-2021-30547: Out of bounds write in ANGLE.
High CVE-2021-30548: Use after free in Loader.
High CVE-2021-30549: Use after free in Spell check.
High CVE-2021-30550: Use after free in Accessibility.
High CVE-2021-30551: Type Confusion in V8.
Medium CVE-2021-30552: Use after free in Extensions.
Medium CVE-2021-30553: Use after free in Network service.

Вот для исключения 9 из 10 предоставленных ошибок "ржавь" бы помогла, при условии, что ты unsafe-код не задействовал.


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено deeaitch , 10-Июн-21 16:06 
И прикинь какая незадача, ошибка то не в Си

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 16:37 
"обращением к памяти после её освобождения (use-after-free)" - как раз таки в "условном Си". Ты хотел подколоть что не в Си, а в Си++? Или ты про ошибку в первой половине статьи? Ну если второе, отвечу: а куча остальных - в Си (см. список в оригинальной ссылке). Причем самая опасная (Critical CVE-2021-30544: Use after free in BFCache.) - в Си.  И только одна - в логике (может быть, ибо "детали не разглашаются") и не критикал, а хай (что по-ниже критикал). Или кто-то утверждал что раст за тебя и архитектуру программы и логику её "напишет"?

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено deeaitch , 10-Июн-21 18:10 
> "обращением к памяти после её освобождения (use-after-free)" - как раз таки в
> "условном Си".

Нет, не угадал. это ошибка не в C.

> Ты хотел подколоть что не в Си, а в
> Си++?

Для тех ктодавно не открывал доки, в С++ это уже давно решено.
Или ты хотел подколоть что если язык позволяет сделать кривой код то это ошибка языка?

> Причем самая опасная (Critical CVE-2021-30544: Use after free in
> BFCache.) - в Си.  

Не в си а в коде на Си.

Итак, у нас есть ограниченное количество компиляторов. Давай мне ссылку что это ошибка компилятора.

Или память короткая и уже забыл как раст валится на границах массива ровно как и c++? или уже забыл что не все объекты в памяти проверяются растом?


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 11-Июн-21 08:03 
троли-демагоги подтянулись, понятно...

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено deeaitch , 15-Июн-21 04:37 
> троли-демагоги подтянулись, понятно...

Эпичные растоманы подтянулись, понятно...

Растоманы они такие, как ябатьки


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено anonymous , 10-Июн-21 19:49 
> А... А где же сиплясплясные указалки, которые там в памяти и причина 146% уязвимостей?

А на чём как ты думаешь написан V8?


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено InuYasha , 10-Июн-21 11:20 
Да все уже пишут что пора с хромого уходить ) https://www.wired.co.uk/article/google-chrome-browser-data

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено mr.Clin , 10-Июн-21 12:00 
некрософт только-только на хромого перешел, лол )))

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Shnorr , 11-Июн-21 18:41 
Остальное ещё хуже. Есть просто плохо обследованные со скрытыми 0day. И хром с обследованием.

Обмажься Хромбуком на Хромоси, там каждая вкладка это отдельно cgroup или какие то легковесные контейнеры.

И это спасает в этом случае.


"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 11:31 
Ну, твою ж, а?... Эта тварь и так собирается 12+ часов на моём AMD FX'е, и вот, опять пересобирать. В общем, ждём ебилдов.

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено JJ , 10-Июн-21 11:46 
Firefox собирается намного быстрее, а Seamonkey ещё быстрее.

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 11:58 
Да, я знаю, Firefox тоже собираю. И это удручает. Хромой совсем необъятный стал.

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 13:27 
Ну три часа - это как Clang из исходников

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено mr.Clin , 10-Июн-21 12:03 
разновидности линксов тебе в помощь )))

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 11-Июн-21 11:34 
Я их тоже ставлю, бывает очень полезно. Особенно если иксы не стартуют.

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено unknown , 12-Июн-21 11:23 
Как так 12+, когда даже на макбуке за ночь собирается. На i9 за пару часов

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 11:49 
Пупитир и вовсе прошлогодняя версия.

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 14:49 
По глупости обновился. Кто-нибудь знает как установить 90-ю версию? В гугле не нашел.

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 18:02 
chromium_90.0.4430.212-1_amd64.deb
https://packages.debian.org/sid/amd64/chromium/download

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено святойгугль , 10-Июн-21 20:38 
Что там сломали?

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 10-Июн-21 16:38 
Любители FLoC вас там уже сгрупировали? Как оно работает?

"Обновление Chrome  91.0.4472.101 с устранением 0-day уязвимо..."
Отправлено Аноним , 14-Июн-21 00:34 
Классический вэб давно сдох. Остался попсовый мир экранотыков и ненастраиваемого софта для домохозяек.
Весь вэб-софт скурвился и ссучился. И лёг под гугла. С его собственными стандартами, возведенными в ранг всеобщих. Которыми он и вертит, как хочет.
Вебстандарты умерли, W3C сдох... А WHATWG это фактически сам Гугл и его мелкая финансовая марионетка Мозилла.
Единственной платформой для веб-приложений сделали Хромиум, вебстандарты не распространяются на веб-приложения которые пишутся и оптимизируются под конкретный браузерный движок. Все остальное, включая Флеш, зачистили. Только Гугл, только Хромиум - полная монополия.
Кто-то ещё не понял, что рыпаться бесполезно?