Компания Google сформировала обновление Chrome 91.0.4472.101, в котором исправлены 14 уязвимостей, в том числе проблема CVE-2021-30551, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55309
> уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8.А... А где же сиплясплясные указалки, которые там в памяти и причина 146% уязвимостей?
> А... А где же сиплясплясные указалки, которые...Чуть ниже по тексту:
"В новой версии также устранена ещё одна опасная уязвимость CVE-2021-30544, вызванная обращением к памяти после её освобождения (use-after-free) в кэше перехода..."
Да видел я. Я тут местным растаманам подражаю, у которых если не уязвимость, то сишная ди-и-ирочка, которую закрывает новый невероятностный Сишный(с) ActiveДырозакрывательПро.Net(тм)(R) Плюс Интерпрайз Зверь Эдишн ... ой, простите, описка, новый невероятностный ржавьс
> Да видел я. Я тут местным растаманам подражаю, у которых если не
> уязвимость, то сишная ди-и-ирочка, которую закрывает новый невероятностный Сишный(с)
> ActiveДырозакрывательПро.Net(тм)(R) Плюс Интерпрайз Зверь Эдишн ... ой, простите, описка,
> новый невероятностный ржавьсНе зря ты себя Жироваттом именуешь...
Чего-то тогда не совсем понятны твои тролячьи юродствования. Если бы по ссылке сходил, то понял бы что сейчас ты газифицировал лужу - бОльшая часть ошибок таки связаны с сочетанием "могущественного Си с никчемными манкикодерами" (ну а "правильных Сишников" всё так же, как и раньше, чего-то не завозят/рожают). Так вот, повторюсь, если бы ты сходил по ссылке, то понял бы, что "местные растаманы" со своей "ржавью" были бы правы - там только та одна ошибка связана с логикой (и то, "наверное", потому что "детали пока не раскрываются"), остальные - с богоподобным могуществом Си и никчемными способностями ходячих мешков с кровью и мясом. Предоставленный список 10 ошибок из 14, тех, которые нашли не гугловские исследователи:Critical CVE-2021-30544: Use after free in BFCache.
High CVE-2021-30545: Use after free in Extensions.
High CVE-2021-30546: Use after free in Autofill.
High CVE-2021-30547: Out of bounds write in ANGLE.
High CVE-2021-30548: Use after free in Loader.
High CVE-2021-30549: Use after free in Spell check.
High CVE-2021-30550: Use after free in Accessibility.
High CVE-2021-30551: Type Confusion in V8.
Medium CVE-2021-30552: Use after free in Extensions.
Medium CVE-2021-30553: Use after free in Network service.Вот для исключения 9 из 10 предоставленных ошибок "ржавь" бы помогла, при условии, что ты unsafe-код не задействовал.
И прикинь какая незадача, ошибка то не в Си
"обращением к памяти после её освобождения (use-after-free)" - как раз таки в "условном Си". Ты хотел подколоть что не в Си, а в Си++? Или ты про ошибку в первой половине статьи? Ну если второе, отвечу: а куча остальных - в Си (см. список в оригинальной ссылке). Причем самая опасная (Critical CVE-2021-30544: Use after free in BFCache.) - в Си. И только одна - в логике (может быть, ибо "детали не разглашаются") и не критикал, а хай (что по-ниже критикал). Или кто-то утверждал что раст за тебя и архитектуру программы и логику её "напишет"?
> "обращением к памяти после её освобождения (use-after-free)" - как раз таки в
> "условном Си".Нет, не угадал. это ошибка не в C.
> Ты хотел подколоть что не в Си, а в
> Си++?Для тех ктодавно не открывал доки, в С++ это уже давно решено.
Или ты хотел подколоть что если язык позволяет сделать кривой код то это ошибка языка?> Причем самая опасная (Critical CVE-2021-30544: Use after free in
> BFCache.) - в Си.Не в си а в коде на Си.
Итак, у нас есть ограниченное количество компиляторов. Давай мне ссылку что это ошибка компилятора.
Или память короткая и уже забыл как раст валится на границах массива ровно как и c++? или уже забыл что не все объекты в памяти проверяются растом?
троли-демагоги подтянулись, понятно...
> троли-демагоги подтянулись, понятно...Эпичные растоманы подтянулись, понятно...
Растоманы они такие, как ябатьки
> А... А где же сиплясплясные указалки, которые там в памяти и причина 146% уязвимостей?А на чём как ты думаешь написан V8?
Да все уже пишут что пора с хромого уходить ) https://www.wired.co.uk/article/google-chrome-browser-data
некрософт только-только на хромого перешел, лол )))
Остальное ещё хуже. Есть просто плохо обследованные со скрытыми 0day. И хром с обследованием.Обмажься Хромбуком на Хромоси, там каждая вкладка это отдельно cgroup или какие то легковесные контейнеры.
И это спасает в этом случае.
Ну, твою ж, а?... Эта тварь и так собирается 12+ часов на моём AMD FX'е, и вот, опять пересобирать. В общем, ждём ебилдов.
Firefox собирается намного быстрее, а Seamonkey ещё быстрее.
Да, я знаю, Firefox тоже собираю. И это удручает. Хромой совсем необъятный стал.
Ну три часа - это как Clang из исходников
разновидности линксов тебе в помощь )))
Я их тоже ставлю, бывает очень полезно. Особенно если иксы не стартуют.
Как так 12+, когда даже на макбуке за ночь собирается. На i9 за пару часов
Пупитир и вовсе прошлогодняя версия.
По глупости обновился. Кто-нибудь знает как установить 90-ю версию? В гугле не нашел.
chromium_90.0.4430.212-1_amd64.deb
https://packages.debian.org/sid/amd64/chromium/download
Что там сломали?
Любители FLoC вас там уже сгрупировали? Как оно работает?
Классический вэб давно сдох. Остался попсовый мир экранотыков и ненастраиваемого софта для домохозяек.
Весь вэб-софт скурвился и ссучился. И лёг под гугла. С его собственными стандартами, возведенными в ранг всеобщих. Которыми он и вертит, как хочет.
Вебстандарты умерли, W3C сдох... А WHATWG это фактически сам Гугл и его мелкая финансовая марионетка Мозилла.
Единственной платформой для веб-приложений сделали Хромиум, вебстандарты не распространяются на веб-приложения которые пишутся и оптимизируются под конкретный браузерный движок. Все остальное, включая Флеш, зачистили. Только Гугл, только Хромиум - полная монополия.
Кто-то ещё не понял, что рыпаться бесполезно?