Компания Google сформировала обновление Chrome 127.0.6533.88, в котором исправлены 3 уязвимости, среди которых критическая уязвимость (CVE-2024-6990), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с использованием неинициализированных значений в компоненте Dawn, реализующей спецификацию WebGPU...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61636

• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 10:55 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 11:32 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 12:13 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 12:19 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 12:26 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Middle Go Developer, 14:02 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 21:24 , 31-Июл-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 11:12 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Oe, 13:49 , 31-Июл-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 11:22 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 11:48 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 13:26 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Middle Go Developer, 14:00 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,pazik, 13:45 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 13:55 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,хруст фрацузской булки, 16:29 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,ИмяХ, 07:11 , 01-Авг-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Роман, 07:07 , 03-Авг-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Швондик, 15:02 , 31-Июл-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 17:11 , 31-Июл-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,BrainFucker, 20:33 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 20:47 , 31-Июл-24
    • Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 14:24 , 02-Авг-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 22:00 , 31-Июл-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,pic, 22:08 , 31-Июл-24
  • Обновление Chrome 127.0.6533.88 с устранением критической уя...,pic, 22:30 , 31-Июл-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,Аноним, 07:06 , 01-Авг-24
• Обновление Chrome 127.0.6533.88 с устранением критической уя...,iZEN, 22:25 , 01-Авг-24

Тут никак переписывания не помогут.

Используй безопасный дистр GNU/Linux:
https://www.opennet.dev/openforum/vsluhforumID3/129886.html#309
https://www.opennet.dev/openforum/vsluhforumID3/129886.html#310

> Используй безопасный дистр GNU/Linux:
> https://www.opennet.dev/openforum/vsluhforumID3/129886.html#309
> https://www.opennet.dev/openforum/vsluhforumID3/129886.html#310

Ох, невероятный труд.
Почитал с интересном, почти как "рассказы из сумасшедшего дома".
Особенно порадовал аргумент "я вынес блок подальше, теперь чувствую себя отлично".
Подозреваю аффтор опуса про научный метод, слепое тестирование и прочие умные слова даже не слышал.

Как не помогут!? Ты хочешь сказать Rust не нужен!? Еретик!

> Как не помогут!? Ты хочешь сказать Rust не нужен!? Еретик!

А как это связан?
Просто представь что подобных си++-камак посадят переписать проект на Расте.
Сомневаюсь что они осилят даже то, что им компелятор подсказывает.
В итоге все закончится заворачиванием main в unsafe))

Нужен, а ну собрались и переписали 100тыс строк кода за вечер, или это не царское дело?

> Тут никак переписывания не помогут.

Ага. Дело в частоте обновлений: и ошибки чаще и расслабленнее пишут. Типа: а чё, завтра перепишем же с новой ошибкой - не проблема. :(

А ведь все электронщики кто не обновится тоже уязвимы. А они версию хрома меняют ой как редко и автообновления у них обычно нет.

У них еще нету WebGPU, он совсем недавно появился, год назад может.

> использованием неинициализированных значений

Сишники опять дооптимизировались. Смотри: просто берешь и инициализируешь переменные нулями. Всё. Это стоит даже не копейки, а нанокопейки. Но нет. Сишники экономят каждый такт, а в итоге выходит RCE. Работает быстро! -- но с RCE.

Справедливости ради, Dawn (реализующей спецификацию WebGPU) написан на С++.
C++ 82.6%

Но тут подходы практически не отличаются от СИ. Зато быстро)
Так что это просто иллюстрация Теоремы Эскобара.

Весь интернет и вся инфраструктура ПО, да и почти всё железо которое окружает тебя написаны на Си\С++. Но ты продолжай возмущаться со своим питоном))

Он вообще ни одного языка не использует скорее всего, просто ждет, когда на белой тарелочке дадут

ЕМНИП, в VAX/VMS (зто 79-й год) зачистка памяти 0 осуществлялась на уровне ОС и, кроме того, нулевая страница (адреса с 0 по 511) не отображаалась в адресное пространство процесса. В результате любая попытка обращения по неинициализированному указателю гарантировано приводила к слёту программы. Но что-то мне подсказывает что если сделать нечто подобное в современных ОС, то мы узнаем много нового :)

Ты удивишься, но в современных ОС все так и работает.

Зато на хрусте, вот на хрусте то... error, firefox cannot open opennet.ru, please restart or better reinstall your browser......

>>better reinstall

Слишком плохо браузер переустановил, надо лучше переустанавливать.

подскажите, в каких случаях такое проявляется? использую firefox каждый день не соврать бы лет 10 и не замечал такого

нужно браузером внутри VirtualBox пользоваться - тогда будет нечего опасаться

Очередная уязвимость о которой знают только уязвимые в лабораторных условиях. Интересуюсь этой темой довольно плотно, и могу сказать, уже лет 20 как никого не ломали в классическом понимании этого слова, кроме как через социальную инженерию или откровенный саботаж. Но у некоторых до сих пор предстаёт образ хакера из матрицы с бегущими зелёными символами, когда они слышат слово "взлом".

> 127.0.6533.88

Это что за формат версий такой?

Используется четырех-компонентный формат:

- мажорная версия
- 0 (всегда ноль в релизных сборках)
- текущая цена за пачку пельменей в Боливии
- патчевая версия (увеличивается при фиксах уязвимостей)

В Гугле в номер в патч-версии, или в ещё числовое поле после патч, зашивают архитектуру процессора. Оказывается, так тоже можно. Увы.

Фрики со своим webgpu  все возятся. Недавно менял win7 на win10, так старый необновляемый хром с выключенным webgpu не тормозил видео 2к с ютуба, а новый хром в вин10 с wegpu тормозит, вот вам и новые технологии.

Сижу на Chromium 127 с FlatHub, нет проблем очень давно, но сегодня с удивлением узнаю, что браузер стал встроенным придатком какого-то мессенджера, а не наоборот, да ещё и со вкладками!

В удивительное время живём, не думал что Web3.0 (сеть, в которой браузер перестанет быть основным приложением) так быстро покатится, ну или скатится, кому как угодно.

Т.е. фрагментация веба на суперприложения, естественно, модульные в devel, но пользователь их не сможет отключать.
Раньше упрощали, теперь будут усложнять. WeChat может показаться детским лепетом после развала глобализма.

То чувство, когда версия софта длиннее IP-адреса в моей домашней сетке.

chromium-126.0.6478.126.tar.xz =3,9 ГиБ (4 166 142 564 байта)
chromium-127.0.6533.88.tar.xz =6,1 ГиБ (6 598 819 840 байт)
Прогресс!