URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138488
[ Назад ]
Исходное сообщение
"Атака на пользователей Blender через вредоносные файлы с 3D-моделями"
Отправлено opennews , 26-Ноя-25 11:53 
Исследователи безопасности из компании Morphisec обратили внимание на серию атак против пользователей системы 3D-моделирования Blender, осуществляемую через распространение blend-файлов в популярных каталогах 3D-моделей, таких как CGTrader. Активация вредоносного кода при открытии 3D-модели производится благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, предназначенных для  автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64325

Содержание
Сообщения в этом обсуждении
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 11:53 
Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет.
Очередные смузихлёбы догадались скрипты в документ запихать. История их ничему не научила.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено mrdzharoff , 26-Ноя-25 12:06 
точно жрём чем кормят корпы, купившие дистры. история с системг, вялендом и гномом ничему не научила
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:19 
> точно жрём чем кормят корпы

Если хотите - жрите. Никто не заставляет. На выбор есть и другие дистрибутивы.
И при чём здесь это вообще? Вейланд ставит без спроса какие-то пакеты из ненадёжных источников или запускает их? Нет.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 18:52 
- - - Если хотите - жрите.

Ну я ваще не понимаю, как можно на дырявом проприетарном железе использывать типа безопасный софт, заверенный даже подписью какого-то корпораста, который десятками лет не закрывает уязвимости и писал их совсем не для твоей безопасности, и даже т.н. свободный софт. Ну как-то уж очень противоречиво всё звучит. Любители пруфов будут вопросы задавать?

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:21 
Такой вид, что все эти "свободные" блендеры - просто средство доставки троянов.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:19 
Оставляешь ключ рядом с замком, а  виноват  завод замков что допустил это?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:33 
Берёшь замок - а там жучок с симкой и трекером...
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:30 
> Берёшь замок - а там жучок с симкой и трекером...

Купил дом с панорамным остеклением в гарлеме... Вот это да... Это-же опасно... Давай наваривай решетки...

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено aname , 26-Ноя-25 18:39 
Так напиши своё
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:25 
Кому не должно-то?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:22 
Мне, анонимному эксперту опеннета.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:28 
Быть
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:26 
Даже если будет один единственный дистрибутив с одним единственным репозиторием, без вирусов, ты как запретишь пользователям делиться модельками?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Гомер , 26-Ноя-25 13:28 
>Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет.

За что боролись, на то и напоролись).
Магазины приложений,
Подписки,
Сервисы)
Все для домохозяйки чтбы тыкнула кнопку.
А не думала головой.
Ведь еще есть кнопка "сделать офигенно", в фотошоп - это Ai редакторы, в смартфонах ведь фильтры, и даже непонятно, это бот сгенерированный, или куча фильтров освещения, талии.
Эффективные менеджеры.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:13 
>Все для домохозяйки чтбы тыкнула кнопку.
>А не думала головой.

Бытовые приборы буквально по закону обязаны быть готовы для использования, а не иметь форму DIY конструктора.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Гомер , 26-Ноя-25 17:51 
Да круто, а тоесть например мобильный телефонв в 2000, даже 1995 года, это не тыкнул кнопочку, а DIY конструктор.
Я имею ввиду что если сравнивать WinXp, 7, даже 2000, это поставил нужный софт и пользуешься.
Такие компы десятилетиями стоят в оффисе, и ничего не ломается.

А тут куча каких то магазинов приложений, подписок, сервисов.

Вот недавно хотел попробовать Chrome, и оказалось что Ubuntu ставит Snap, вместе с Chrome, тоесть пишешь apt install Chrome, он ставит сначала 500Mb Sbap.
Притом мне не нужна изоляция, я как раз использую в tmpfs overlay в браузере. А в случае Snap - это изоляция.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:53 
Хахаха!
Ты бы еще сочинил "винь95 не нужно переставлять каждые пол года"))
Сколько проблем было что с ХРюшей, что с семеркой до появления сервиспаков...

> А тут куча каких то магазинов приложений, подписок, сервисов.

Угу, мир немного поменялся.
Теперь ждать двагода, пока выйдет очережной сервиспак никто не хочет.
Исправили баг - отправили юзеру.

И покупать на СД дисках пролижения тоже перестали.
Проще скачать. А откуда? Вот удобный магазин.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:17 
> Все для домохозяйки чтбы тыкнула кнопку.

Ты еще тыкажешь кнопки на калькуляторе?
Думай головой! Возьми бумажку и ручку.

> А не думала головой.

Выкинь все баш скрипты, мейк файлы!
Все команды набирай как в первый раз.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:18 
>Возьми бумажку и ручку.

Бумажка и ручка это для тех кто не умеет считать в уме.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:18 
>Магазины приложений,

По твоему свободное По должно быть бесплатным?
>Подписки

Чем это отличается от подписки на электричество и горячую воду?
>Все для домохозяйки чтбы тыкнула кнопку.

Да конечно, ты же будешь разбираться как работает лифт или светофор, делать проливку, чтобы только на твоем этаже останавливался, а зеленый свет только на твоём повороте.
>Ведь еще есть кнопка "сделать офигенно", в фотошоп - это Ai редакторы, в смартфонах ведь фильтры, и даже непонятно, это бот сгенерированный, или куча фильтров освещения, талии.

Раньше макияж использовали, сейчас фильтр, разница не большая, читерство.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 15:12 
-- -- ---- По твоему свободное По должно быть бесплатным?

Если оно, это ПО, не бесплатное, оно не фри даже и открытое. Свободное - это свободное. А кто там что понимает иначе и пытается втюхивать всем остальным, не знаю. Это как подарок ..... Хочешь бери, а хочешь - нет. Написал, выложил, бери кто хочет если достанешь, не хочешь так, бери продавай за деньги, можешь бартером за слив инфы и т.д. и т.п.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:40 
Шёл 2025й год, опеннетные эксперты прлдолжали путать "свободный", "открытый", и "бесплатный".
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 17:52 
--- Шёл 2025й год...

Ты хочешь сказать что открытый и не бесплатный - свободный?

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 18:28 
Может мне вместо фри нужно было написать фридомный?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Bottle , 26-Ноя-25 15:21 
Кстати, свободное ПО обречено быть халявой, в иных случаях получается просто кривая проприетарщина вроде Godot, который просит за порты на консоли мзду хуже чем Юнити. Тем временем Defold позволяет это сделать бесплатно.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:34 
> Не должно быть никаких сторонних пакетных менеджеров, скриптов,

Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле?

> Ставишь из репозиториев дистрибутива и таких проблем не будет.

К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:44 
> Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле?

Отдельный make для сборки.
> К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".

В комментарии написано к чему.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:05 
>> Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле?
> Отдельный make для сборки.

Что за бред? При чем здесь make, чего сборка?

>> К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".
> В комментарии написано к чему.

Нет, не написано.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:53 
> Что за бред? При чем здесь make, чего сборка?

Научитесь читать:
> скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели.

Каркас можно и нужно собирать отдельно.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 15:25 
>> Что за бред? При чем здесь make, чего сборка?
> скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели.
> Каркас можно и нужно собирать отдельно

Т.е. ты предлагаешь собирать какркас модели отдельно при помощи make-файлов? Я все правильно понял?

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 15:39 
Да, всё верно поняли. Так и должно быть в нормальных проектах - явная сборка.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:07 
Все понятно, вопросов больше не имею.

Персонаж увидел знакомые слова "Python" и "автоматизация", но смысла их в контексте не понял - и рванул в линуксячем угаре наваливать про дистрибутивы, репозитории и make-файлы. 🤣 Опеннет держит марку!

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:09 
>> Т.е. ты предлагаешь собирать какркас модели отдельно при помощи make-файлов?
> Да, всё верно поняли. Так и должно быть в нормальных проектах - явная сборка.

Чел, или проспись. Речь идет о каркасах 3Д моделей внутри 3Д редактора. Какой к лешему мэйкфайл. XD

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:09 
И? Каркас генерируется ОДИН раз. То, что эту операцию запихали в документ - костыль. Но вы это не понимаете в силу ограниченности у вас и отсутствия архитектурного мышления.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:43 
> Каркас генерируется ОДИН раз.

Сразу же с моими правками, которые я ещё даже не придумал? Вот это технологии! Вот это сила опенсорса!

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:55 
> И? Каркас генерируется ОДИН раз. То, что эту операцию запихали в документ - костыль.

Он генерируется внутри Блендера при помощи его встроенных 3Д инструментов.

> Но вы это не понимаете в силу ограниченности

Это как раз ты не понимаешь, что несешь. Хотя давай, расскажи мне, куда ты там свой make собрался втулить - будем веселиться до конца. 😂

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 18:23 
> И? Каркас генерируется ОДИН раз

Если бы он генерировался один раз, люди бы вообще не сношались ради этого со скриптами.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 18:24 
> Но вы это не понимаете в силу ограниченности у вас и отсутствия архитектурного мышления.

Но ты-то много понимаешь - вог, уже приплел Make к 3Д редактору. Сразу чувствуется гибкое арзитектурное мышление, ага.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:57 
> Ставишь из репозиториев дистрибутива и таких проблем не будет.

Например либу ХЗ или переводчик.
Которые или бекдорные или сразу отправляют данные на китайские сервера.
Зато самый официальный репозиторий!!


"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:13 
Точнее не должно быть ничего кроме сурса, взятого напрямую от автора кода. Всё остальное - бэкдоры разной степени вероятности.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:19 
> Точнее не должно быть ничего кроме сурса, взятого напрямую от автора кода.
> Всё остальное - бэкдоры разной степени вероятности.

А если автора кода скомпрометировали?
Или он сам добавил бекдор?

Выходит доверять нельзя никому!

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:25 
Ну в теории должны быть штатные спецы которые будут анализировать исходные код н наличие бекдооров и уязвимостей перед использованием.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 15:16 
--- должны быть штатные спецы...

Где и у кого должны?  

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:10 
Не лезьте с глупыми вопросами.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 17:49 
Тебе умному выложили ПО без гарантий, как есть и бесплатно. Кто кому там что должен, хозяин серверов где этот софт выкладывают или добровольцы взявшиеся за т.н. проверку этого софта? Про уязвимости без их использывания в софте не узнают пока это не откроется кем-нибудь, а кто будет закладывать уязвимости в софт и всем о них рассказывать?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:11 
астично эту работу как раз выполняют ментейнеры дистрибутивов. Плюс хранят все исходники для сборки, для повторяемости.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:25 
>Очередные смузихлёбы
>скрипты в документ запихать

Word, Excel... История повторяется, ага.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 11:55 
Вывод: Не запускаем чужие .blend файлы ; не включаем автоматическое исполение .py файлов ; живём в песочнице. xD
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:12 
> Не запускаем чужие .blend файлы

Это первое, что делается в мультитрэш-редакторе :) Всякие туториалы, библиотеки, шаблоны...

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:08 
>"живём в песочнице"

В MacOS все приложения всегда запускаются в песочнице. В Linux ещё не так?

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:28 
В Windows продвинутые пользователи и сисадмины выкручивают UAC (англ. User Account Control) на максимум, чтобы на каждый чих просил подтверждение, а тут вольница.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено СтолярОбычныйЧеловек , 26-Ноя-25 13:33 
>UAC (англ. User Account Control)

Ну кстати нормальная штука,
Если firewallm, и UAC, настроенны правильно, то никакой антивирус ненужен.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:36 
> чтобы на каждый чих просил подтверждение

И тут импортирует блендер 100500 файлов текстур из разных мест... А среди этой кучи - ещё и твой кошелёк.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:45 
> UAC

Байпассится буквально миллиардом способов, лол.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:26 
>> UAC
> Байпассится буквально миллиардом способов, лол.

Не знал, даже слова такого.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:48 
Особенно продвинутые не ограничиваются одним лишь UAC:
https://github.com/HotCakeX/Harden-Windows-Security

https://sandboxie-plus.com/

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:50 
+ работать под стандартным пользователем, или использовать Administrator Protection хотя бы.

https://learn.microsoft.com/en-us/windows/security/applicati.../

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:02 
И что? они тырят файлы самого юзера. при чем тут Administrator Protection?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:02 
Чувак. ты читать новость пробовал? В против такой атаки UAC не работает...
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:37 
Конечно не так, потому что ставится доверенное ПО, а не проприетарная малварь. Ну если ты конечно не дурачок ставить снапы и флатпаки, но там как раз песочницы.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:50 
> "Конечно не так, потому что ставится доверенное ПО"

А потом уделяются, почему у Linux так мало пользователей! Вот как в таких условиях работать брокерам, трейдарам, фотографам, музыкантам и т.д.?
Так как разработчик создаёт только для Win и Mac, он не будет выкладывать для 100500 дистрибутивов Linux (которые все вместе взятые занимают малую долю рынка десктопов).
А за место него выкладывают в репозиторий всякие непонятные Васи, с блекдорами, майнерами и т.д.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:10 
>> "Конечно не так, потому что ставится доверенное ПО"
>  Вот как в таких условиях работать брокерам, трейдарам, фотографам, музыкантам и т.д.?

Как, как ? Платить вымогателям за расшифрование, терять кошельки и конфиденциальные данные...


> А потом уделяются, почему у Linux так мало пользователей!

Нам на линуксе так-то и не нужны такие пользователи... пусть со своими строянами на винде сидят...


"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:34 
В Linux просто и надёжно программы изолируются отдельными юзерами.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 17:58 
Просто и ненажёжно. Защищает только от тривиальных атак и случайных операций типа `rm -rf ~`. Ядро и сетевой стек общие. IPC, shared. Есть ещё X11. SUID. DE leaks.

Нужны хотя бы хорошо настроенные песочницы или контейнеры.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:00 
> Нужны хотя бы хорошо настроенные песочницы или контейнеры.

Все инструменты у тебя для этого есть. И песочницы и контейнеры. Пользуйся...

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено кек , 26-Ноя-25 19:44 
в корпы вкатываешь атомарный дистр, источники приложений только доверенные, дальше уже по ситуации хардить

геморройно для всех сторон, но это тот самый проклятый мир, который мы сами себе и создали

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:47 
здесь проблема не в источники приложений только доверенные, здесь проблема что виндузятники сами тянут из интернета всякую каку и запускают ее, несмотря на предупреждения программы...
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 11:57 
Сейчас наверное в любой большой программе можно запустить мини-Linux с OpenSSH сервером на борту прокинутым через туннель
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:17 
Программа не может работать изолировано, ты в блендер будешь постоянно подкидывать файлы, модели, картинки, текстуры... экспортировать всякое, рендерить, заливать куда-то результаты. Т.е. из песочницы будет дыра наружу.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Соль земли2 , 26-Ноя-25 12:18 
Это называеться shellcode и существует давно.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Bottle , 26-Ноя-25 12:08 
Спойлер: любая Тьюринг-полная система со скриптами подвержена вирусам.
Скелетор вернётся позже с ещё одним неприятным фактом...
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:02 
>любая Тьюринг-полная система со скриптами подвержена вирусам.

Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:38 
> Например, JavaScript

Но разрабы блендера - не Брендан Эйх.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 14:09 
Надо Блендер переносить в брайзур - срочно!
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Bottle , 26-Ноя-25 15:08 
Скажи это зависимостям и сишным дыреням, на которых написан движок Джаваскрипта)))

Виртуальная машина/песочница/контейнер - не панацея, мы это уже проходили на примере с Log4j. Ну что, банкиры и майнкрафтеры прочувствовали на себе Тьюринг-полноту по полной.
Понимаешь, ты либо можешь делать всё, либо ничего, третьего не дано. Это не значит, что всё должно быть отложено скриптами, но будь готов к опасностям всегда.
https://github.blog/security/vulnerability-research/attack-o.../

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено windows10 , 26-Ноя-25 16:31 
> Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске.

Неверно. Вирус - не означает доступ к произвольным файлам на диске.

Если после захода на сайт, у тебя в браузере, в неудаляемом (ну вот так хацкер постарался) расширении прописался майнер, то не все ли тебе равно откуда твой проц нагружается на 100%, из песочницы или из нативного бинарника?

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:17 
>ZalypaGulliveraV1.py

Отлично! 10/10 шутеек про бипки!

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Соль земли2 , 26-Ноя-25 12:17 
Autorun/Windows... я в безопасности.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Кошкажена , 26-Ноя-25 12:25 
Надо просто скрипты все в песочнице запускать, в том же bwrap.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 12:44 
Тут вопрос: а почему программы хранят чувствительные данные так, что их может прочитать левая васянпрога?! Обвешались системдами, песочницами, докерами, покерами, и тут приходит блендер с питоном и вычитывает данные аддонов из браузера, которые кроме браузера ничем читаться не должны.

Почему-то во времена симбиана у каждой программы был "из коробки" приватный каталог.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:47 
Так вы же сами отказываетесь использовать всякие flatpak и snap.

А конкретно этот вредонос вообще под винду. Но и под линукс по идеи тоже можно такое же сделать, если там питон неизолирован.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:36 
Потому что надо отдельными юзерами всё изолировать.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Pindar Suchai , 26-Ноя-25 13:07 
Теперь понели, зачем в андройде ограничили доступ к папке Data?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:59 
Андроид и ios вообще лучший пример в плане защиты от дурака. Разве что лучше бы каждый раз запрос пароля с предупреждением был, когда ставишь софт из apk. Изоляция приложений в целом хорошая относительно винды и дефолтного линукса. Насчет мака хз, там вроде тоже норм защита от дурака.

Пользователям никогда нельзя доверять их безопасность. Если хочешь больше свободы, то ты должен в процессе её получения доказать, что ты не совсем дурак. Пока что в андроиде слишком легко получить право запускать вредоносный код.

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:18 
Господи, эти новости про "атаки" в последнее время - как парад неудачных шуток к первому апреля.

> Атака прежде всего нацелена на пользователей, включающих в настройках опцию автоматического запуска скриптов из blend-файлов. Автоматический запуск по умолчанию запрещён, но пользователь может не задумываясь подтвердить запуск в диалоге с предупреждением

Что дальше откроют "исследователи"? Что левый бинарь, скачанный из инета, может делать с твоей системой что угодно, если ты "не задумываясь, пдтвердил запуск в диалоге с предупреждением"? Фейспалм. 🤦

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Жироватт , 26-Ноя-25 14:10 
Они откроют, что оффисный скриптинг в табличках экселя может содержать вирусы!
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Васян , 26-Ноя-25 18:02 
-- -- скриптинг в табличках экселя может содержать вирусы!

Да ну? Любой скриптинг придумали из благих намерений для всякого удобства во благо человечества. Какие вирусы? Это не гуманно и противоречит всяким лицензиям корпорастов...

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:22 
СПО, Blender, Python это модё любимое комбо.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:26 
Вообще это удобно поставлять данные сразу с функциями над ними.
Таже lua в этом плане удобнее json, для luajit можно создавать файлы под 64гб.
Очевидно что подобное будет использовано для злого умысла и ничего с этим не поделать.
Расширенный вывод в блендере с разрешением запустить код, в котором
будет указано что используются функции, которые обычно не встречаются
в моделях не помешал бы. А не просто да/нет
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:40 
Компромиссный и самый простой способ защититься от слива: настроить фаервол на запрет исходящих соединений от произвольного софта. В винде по-умолчанию кто угодно может выйти в интернет, а так фаервол покажет окошко когда зловред попытается скачать вирус или отправить собранные данные. Наличие такого окна достаточный повод физически отрубить интернет и запустить антивирус.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:44 
Как собираешься гасить, например, запросы на резолвинг хост-неймов?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:05 
Меня эта защита от dns тунелей тоже волнует, нет инета, зато unbound шпарит.
Я бы запускал на отдельной машине с прокидыванием графики, waypipe тот же, хз насколько он быстрый.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:29 
Как? Просто, landlock даже запросы на 127.0.0.1 прибивает.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 13:55 
> Компромиссный и самый простой способ защититься от слива: настроить фаервол
> на запрет исходящих соединений от произвольного софта.

Поэтому скриптец просто пошифруете тебе файлы на диске и попросит заплатить.
А ты уже сам выйдешь в инет))

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 16:28 
Вообще плевать. В серьёзных конторах есть DLP, а у геймеров, вытянувших модельку из игры путём перехвата вызова OpenGL через специальную проприетарную программу, и красть нечего.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:05 
у виндузятников истерика, а новость они, как обычно, прочитать не шмогли

> Вредоносное ПО ограничено атакой на пользователей Windows.

Ж)))

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Jeck , 26-Ноя-25 17:14 
Вчера только все восхваляли блендер как самый лучший опен соурс а сегодня уже вон оно как оказалось
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:06 
Виндузятники должны страдать... На линукесе эти ваши вирусы-шмнирусы не работают...
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:24 
Откуда на Линукс форуме столько виндофилов?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:30 
Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там наверняка же есть питон-песочница.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:32 
> Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там
> наверняка же есть питон-песочница.

Я нашел на дорожке в парке чей-то старый пирожок и съел его... Теперь у меня болит живот... Пекарни планируют что-то с этим делать?

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:37 
Если заранее известно, что в печку будут сувать всё подряд, в т числе радиоактивные железки и неразорвавшиеся мины 40-ых годов, сделаете ли вы стены печи потолще или будете жарить на мангале?
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:42 
Еще раз для танкистов.

По дефолту запуск скриптов ЗАПРЕЩЕН.
Почему? Потому как разрабы предупреждают юзверя - это опасно.

Виндузятник качает с левого сайта левую модельку.
При открытии этой левой модельки программа виндузятника предупреждает.
Виндузятник игнорирует предупреждение и запускает скриптоту...
Виндузятник получает любимый строян StealC.
А виноваты разрабы блендера...
Л - логика!

"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:36 
Погуглил. Ничего кроме рекомендаций запускать питон в докере не нашёл.
Если это так, то питон не самый подходящий для таких целей язык. Тот же JS и понятен всем и имеет изоляцию.
"Атака на пользователей Blender через вредоносные файлы с 3D-..."
Отправлено Аноним , 26-Ноя-25 19:45 
Какая разница на каком языке написан скрипт который качает и запускает строян с интернета?