Опубликованы корректирующий выпуски Firefox 131.0.2, Firefox ESR 115.16.1, Firefox ESR 128.3.1 и Tor Browser 13.5.7, в которых устранена критическая уязвимость (CVE-2024-9680), приводящая...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62023
> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницахПонаделают дверей, потом дыры в них латают. Неужели эта функция важнее безопасности?
> Понаделают дверейНу разумеется, анимации не нужны. Так же может быть дыра.
И картинки не нужны. В декодере тоже может быть дыра.
И стили тоже не нужны. Потому что там... ну ты понял.
Нужно просто отображать plain text. Вот его хватит всем.*главное в сплите строки опять не сделать дыру, а то как-то совсем неудобно будет
> потом дыры в них латают
Просто если используешь инструменты из прошлого тысячелетия, то лепишь очередную use-after-free.
Неужели их использование важнее безопасности?
>Нужно просто отображать plain text.шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчитывать, а там дырень
И вообще графического интерфейса своего быть не должно, вывод текста сразу в терминал
В общем, Gemini protocol.
Не, еще проще - gopher
~$ links http://google.com
$ lynx https://opennet.ru
Именно!
При этом сам шрифт должен быть записан в ПЗУ терминала.
А то вдруг произойдет что-то плохое если позволить пользователю грузить собственные шрифты.
Какой шрифт?! Какой терминал?! Там столько дыр может быть... Сразу все на бумагу через принтер, да и только.
А на бумаге сколько можно дыр понаставить дыроколом...
Так, уберите это всё! Нету "вот этого всё" - нету проблем!
> Например, пропадают тени и закругления всплывающих менюА минусы будут?
Всегда думал что так и должно быть, у Dino такая же фигня.
Ну потому что надо вейландом пользоваться, а не цепляться за легаси. Переход к тому же считай бесшовный.
Вяленый - это и есть легаси. Мертворожденное.
Только в mesa/gnome -- explicit sync не осилили и никакой тройной буферизации. Implicit sync и двойная буферизация действительно легаси.
От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле, чем мозги пудрили людям и бодались с гномо(о)вцами.
> От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение.Местные любители иксов, по их словам, так решали проблему того, что в ХОрге приложения могут подглядывать в чужие экраны.
> Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле
Ну так перепиши.
Тех кто колупались в коде ХОрга уже не заставишь, тк оно насмотрелись на "тысячи строк ужаса" и их даже за деньги не заставишь.
>приводящая к выполнению кода на уровне процесса обработки контенткак прекрасно, что у меня все еще tomoyo на всех машинах!
ну и флатпак. в некоторых дистрибутивах огнелис именно оттуда по дефолту, что, имхо, хорошо.
Hardened все же менее хардкорны чем эти песочницы.Может я ошибаюсь?
да не, это в зависимости от того, кто писао политику.
процесс все равно сможет прочесть/писать/исполнять примерно то же самое, что и в песочнице. иногда даже чуть меньше.
> в зависимости от того, кто писао политику.Это очень дорогая, трудоёмкая задача. Месяц использовал комп для создания полного лога аудита и потом, с него, gradm сгенерил политику RBAC по всем пользователям системы. Дале вычитывал и правил политики MAC чтобы получилось что-то рабочие и пригодное. В продакшн не пошло, надо сразу больше времени для проверки и редактирования политик.
Переключился с MAC на CAP, легко и быстро можно раздать всем рутовым процессам только необходимые и достаточные привилегии.
# pscap
отображает всюду урезанные привилегии без возможности повышения.А всякие сильные баги в прогах ловит hardened ядро от grsecurity.
>Это очень дорогая, трудоёмкая задача.что? нет, если вы себя любите и используете то, что было сделано для людей.
это максимум 30 минут в tomoyo-queryd. либо 1 настройка patternize.conf и потом поженание плодов режима обучения в связке с редкими ручными доработками.
>RBACон мертв.
>В продакшн не пошлоу меня все пошло, Вы просто не умеете правильно готовить.
+ не надо забывать про уязвимости в самих песочницах. с МАС'ом и они не проканают. в целом, спектр покрываемых атак куда больше, некоторые даже ядро после инициализации могут контролить(ну, то есть, вообще любой подвид RCE/LCE не страшен).
Неуловимый Джо :)Чтобы реально на что то такое попасть нужно стечение обстоятельств.
1. нужно чтобы под твою систему был эксплоит: походу оно будет отличатся не только между ОС но и в зависимости от опций сборки и наличия ASLR, а Тэо из опенбсд поди ржёт в голос над этим со своим w^x, которые другие тоже себе растащили.
2. нужно чтобы под твою систему был код который некто собрался запускать
3. нужно чтобы ты зашёл на сайт где оно есть
4. нужно чтобы у тебя не было чего то типа umatrix который порежет такое непотребство с высокой вероятностью
Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.
И насколько я помню из прошлого общения томоя фильтрует доступ по путям, что конечно снизит ущерб и риски но делать что то неприятное можно и не шарясь по ФС: утащить пароли или поменять адрес кошелька при переводе крипты на какойнить бирже/обменнике.
> Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.capsicum на Линуксе кажется еще лет 5 назад помер
> capsicum на Линуксе кажется еще лет 5 назад померЧто такое 5 лет для вечного core2duo ?
Можно сидеть на самом лучшем ядре 2.6 и софте того же времени.
Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда. Так что сказки про кору дуба это вы приберегите для Айпони. Он как известно не выносит луддитства. D
У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
Даже в венде такое есть, начиная с 2к как минимум.
> У меня фряЯ знаю, не первый день здесь :)
> что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
У нас и то и другое и третье... весь зоопарк ОСей. А в линолиуме там setcap наверное самый подручный, но без Каспера, a вместо перчика - SElinux которыму следовало бы поучится простоте capsicum, попроще наверное AppArmor, ну или если совсем не замaрачиваться то та же японская дева Томоё
>AppArmorкоторый ничерта не умеет, отключается на раз-два в рантайме, не предназначен для написания больших политик в принципе, да еще и работает в полную силу только на ядрах каноникла?
спасибо, наелись.>дева Томоё
..который, в отличии от, умеет в контроль кратно большего кол.-ва операций с фс, сетью и даже может ядро зажать; имеет гибкую политику исключений с автоматическим режимом обучения, благодаря которым, политика даже для всей системы - очень даже реальна.
Со всеми этими MAC, слишком много головной боли. Я понимаю там каждый день только этим и заниматься, то еще куда не шло, поэтому и появилсь все эти докеры и кибернетсы, проще разогнать задачи по песочницам простым девопсам, чем держать гика ковыряющегося в МАС-ах
да не особо.. я на десктопе 3й год пользую tomoyo в дебиане.
сильная головная боль была только по началу.
потом, где-то через год, под всю систему политики появились.
это при том, что я занималась этим, как своеобразным "хобби" и до конца не прочла документацию(руками все писала, вместо того, что б запрячь автомат).
сейчас уже есть готовые пресеты в acl-группах и недобор/перебор устраняют patternize с режимом обучения.
вот реальная головная боль начинается когда какие-то <...> из дебиана решают <...> ускорить процесс генерации рамфс и <...> в пакет с ramfs-tool, dracut, начиная дергать dracut-install при генерации.
или с отзывом неиспользуемых разрешений. есть пара идей, как это автоматизировать. но это уже когда я с текущем проектом закончу.
на "ноутбук-роутер" просто переодически минимальную выжимку политики с десктопа переношу при обновлениях. он на oldstable, поэтому времени потыкаться об потенциальные камни на stable на десктопе с головой.
+ иногда приходится делать "ревизии" политик и на десктопе, и на сервере. щас уже делается парой скриптов. но, скорее всего, когда-то позже обьединю это все в 1 инструмент. и будет уже реально удобно.
зато! есть большой плюс: благодаря tomoyo в связке с другой аппаратно-софтовой защите, не могу вспомнить ни одной софтверной уязвимости, которая бы навредила моим десктопу/роутеру.
и осознание этого приносит мне кайф
Так я особо ничем не парюсь, выкидываю капсикум, на десктопе вообще не упарываюсь ограничениями какими то, как было из "коробки" так и оставил, только /var/run и /tmp сделал 1777.
И тоже ничего не прилетело.
А домашний роутер ещё и вебсайт со всяким пхп хостит, правда оно почти всё в chroot и там только /tmp писать можно, а в остальном тоже как из коробки - и тоже ничо не случилось.Так зачем тебе MAC, Джо?)
> потом, где-то через год, под всю систему политики появились.При обновлениях между мажорными версиями ОСи политики не ломаются? Помнится с появлением Джесси много чего пришлось перелопачивать
> о, скорее всего, когда-то позже обьединю это все в 1 инструмент. и будет уже реально удобно.
Интересно было бы посмотреть (хотя бы здесь, https://www.opennet.dev/tips/sml/#last), если решите публикануть
> и осознание этого приносит мне кайф
Да уж, с нашей профессией химическая наркота не нужна, всегда есть с чем покапаться для удовольствия :)
смотря, какие обновления.
если б я писала политики под дебиан с sysv, а потом бы они вкорячили sd - понятное дело, что все б сломалось.
пока ничего особо не меняется, все работает.
в целом, мне что-то подсказывает, что достаточно придумать, как запускать инит и остальных в песочнице. и политики написать только под ядро и саму песочницу.
уровень +- тот же будет
> в целом, мне что-то подсказывает, что достаточно придумать, как запускать инит и
> остальных в песочнице. и политики написать только под ядро и саму песочницу.
> уровень +- тот же будетВот и я про тоже, чем проще система, тем больше надежность, дав девопсам изоляцию по задачам (а не на всю ОСь) в секьюрных контейнерах дает больше ощущения надежности
> Вот и я про тоже, чем проще система, тем больше надежность,Вернемся к православному DOSу? Как раз есть FreeDOS.
Один поток, одна консолька, один фюр.. в смысле "дистрибутив".Тут еще вопрос в возможностях этой самом системы.
> дав девопсам изоляцию по задачам (а не на всю ОСь) в секьюрных контейнерах дает больше ощущения надежности
А потом "вышли за пределы массива и за пределы контейнера заодно"))
>SELinuxесть более простой, но чуть менее поддерживаемый SMACK.
тоже на метках.
>>SELinux
> есть более простой, но чуть менее поддерживаемый SMACK.
> тоже на метках.В интерпрайзах тяжело пропихнуть, а на "резидентшиал" уровне тоже слишком много времени на это все тратить. Проще то же Хвост или скорее МХ в frugal mode, все на read-only за исключением данных
запустите-ка мне ядро или саму песочницу в песочнице?
А зачем?
Можно поизвращатся с jail и таки запустить ядро в "песочнице", но чего ради?
а затем, что спасает от любой уязвимости с СЕ де-факто.
сам jail тоже в песочнице будет?
а с МАС'ом - в "песочнице" будет все живое.
Зачем от неё спасатся?)
Вы на создание и саппорт этого всего потратите больше чем я на воосстановление если оно потребуется вообще когданить, пока за 16 лет юза фри оно было не надо.Я думаю что у вас перенос реальных фобий на ИБ, как у большинства тех кто не админит всякие сервисы с денежными транзакциями.
Попробуйте сменить локацию и купить ствол, должно попустить :)
Fennec больше не может быть собран в соответствии с правилами F-Droid из за смены тулчейна в апстриме, и в репозитории остается уязвимая 129 версия - https://gitlab.com/relan/fennecbuild/-/issues/86
> Fennec больше не может быть собран в соответствии с правилами F-Droid из
> за смены тулчейна в апстриме, и в репозитории остается уязвимая 129
> версия - https://gitlab.com/relan/fennecbuild/-/issues/86С Mull похоже те же проблемы
только что 131 прилетела.
fennec все еще 129.
> только что 131 прилетела.
> fennec все еще 129.Пасиб, а то я только в ручную обновляю (параноя однако...)
> Fennec больше не может быть собран в соответствии с правилами F-Droid из-за смены тулчейна в апстриме,Это больше вопрос к правилам ф-дроида и их адекватности.
> и в репозитории остается уязвимая 129 версия
Могли бы бекпортить фиксы.. а не, не могли.
Они же просто пересобирают лису, а не пишут новый код.Ну штош, если такова цена щво6одки, то посмотрим сколько людей захотят за нее заплатить
Так и чо?
Я выше написал, для андройда будет 3 условия, но там и ограничения со стороны ОС сразу более жёсткие и по файлам особо не пошаришься, если только эксплоит сразу для рута запускать.
Я ничего не понял. Firefox зависит от проприетарного тулчейна? Если да, то это не полностью опенсорсный браузер.
В альтлинуксе firefox-esr Версия: 115.11.0-alt1Неуязвим?
Неуловим!
Вот и в альт прилетела новая версияfirefox-esr-115.16.1-alt1
Если не все анонимы поняли, то поясняю: с этой уязвимостью вы можете открыть сайтик, который сможет скриншотить, кейлогать, и вообще лазить по всему хомяку.И от этого всего можно спастись только отказом от X11 и применением Selinux, AppArmor и подобных средств.
У x11 уже не осталось пользователей, зачем от него отказываться? Никто не будет таргетить полпроцента 1%.
Предлагаю вместо отказа от фич X11 отказаться от раздувания фич в браузере. Ну просто потому что>вообще лазить по всему хомяку.
X11 не предоставляет, а вот браузер, сделанный из-под палки всяких там шаманок под спринтами на KPI по методике "release early, release often" - как раз да.
> отказаться от раздувания фич в браузереЕсли для вас обычные анимации это раздувание фич, то прошу проследовать на Lynx, ФФ не для вас.
> X11 не предоставляет
Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.
> Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.Запускай отдельных X11-сервер на каждое приложение, как раз получится как в вейланде.
зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20 лет назад, это можно делать и сегодня. без всяких там ваших извращений...
> зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным
> пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20
> лет назад, это можно делать и сегодня. без всяких там ваших
> извращений...Это по сути отказ от многооконного интерфейса. То есть того, ради чего и создан был X.