Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP"	+/–
Сообщение от opennews (??), 12-Сен-23, 22:28
Компания Google опубликовала обновление браузера Chrome 116.0.5845.187, в котором устранена критическая уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP. Уязвимость позволяет выполнить свой код при обработке специально оформленных  WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59746
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

3. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+3 +/–
Сообщение от дАнон (?), 12-Сен-23, 22:42
PSP-3000 уже много лет, а взлом через картинки не устарел :)
Ответить | Правка | Наверх | Cообщить модератору

	5. Скрыто модератором	–11 +/–
	Сообщение от Аноним (5), 12-Сен-23, 22:50
	Скажи спасибо убогому Си который никогда не устареет с его уязвимостями
	Ответить | Правка | Наверх | Cообщить модератору

	9. Скрыто модератором	+3 +/–
	Сообщение от Ivan_83 (ok), 12-Сен-23, 23:17
	А где в стандарте С уязвимости?
	Ответить | Правка | Наверх | Cообщить модератору

	11. Скрыто модератором	–3 +/–
	Сообщение от Анониммм (?), 12-Сен-23, 23:33
	они там называются undefined behaviour) хотя может уязвимость в головах С программеров? они уже старенькие, там деменция и дегенеративные изменения мозга можно еще вспомнить строки "читай пока не закончится"
	Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	+/–
	Сообщение от Аноним (16), 13-Сен-23, 01:15
	UB тут причём? Чтение непонятно чего непонятно какого размера в непонятный буфер - это банальный говнокод. Если вы так переживаете за всё это - программируйте на Ада, либо напишите когда Rust перестанет быть очередным пакетным адом, который можно оправдать только тем, что "пользователям сложно понять линковщик"
	Ответить | Правка | Наверх | Cообщить модератору

	12. Скрыто модератором	+/–
	Сообщение от Анонимусс (?), 12-Сен-23, 23:34
	Так вот же - ISO/IEC 9899 Секции:   J.1 Unspecified behavior   J.2 Undefined behavior
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от FF (?), 13-Сен-23, 02:07
	Это как Unsafe, используй где хочешь
	Ответить | Правка | Наверх | Cообщить модератору

7. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
Сообщение от Анрним (?), 12-Сен-23, 23:13
> критическая уязвимость вызвана переполнением буфера Ну, кто бы сомневался... Старая добрая игра "узнай язык по заголовку новости об очередной дырени".
Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
Сообщение от Ivan_83 (ok), 12-Сен-23, 23:17
Пользователи венды в опасносносте как всегда, под зоопарк остальных ОС никто и не пошевелится ничего писать.
Ответить | Правка | Наверх | Cообщить модератору

	10. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+2 +/–
	Сообщение от Анониммм (?), 12-Сен-23, 23:30
	яблоко выпустило срочно-фикс, что там естественно не написали, но как-то совпало... браузеры тоже получили хотфикс если кто-то сидит на копро дистрибутивах или пакетах, это их трудности, пусть страдают
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
	Сообщение от Аноним (14), 13-Сен-23, 00:11
	Любители статической линковки и бандленных либ в очередной раз прокатились.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+1 +/–
	Сообщение от пох. (?), 13-Сен-23, 13:18
	у них хоть антивирус встроенный есть (и уж такое-то справится отловить) А у тебя только вера в зоопарк и что все поленятся лишний раз авогенерилку эксплойтов запустить (а ты думал, руками, что-ли?)
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	–1 +/–
Сообщение от Аноним (14), 13-Сен-23, 00:10
Это имеет значение только по причине агрессивной монетизации веба. Вините во всём Гулаг и проклинайте рекламщиков. Или используйте блокировщик рекламы режущий её до загрузки и добавления на страницу и вас это не особо беспокоит в таком случае.
Ответить | Правка | Наверх | Cообщить модератору

	19. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+1 +/–
	Сообщение от Алексей (??), 13-Сен-23, 07:11
	При чем здесь монетизация? Большое количество сайтов используют WebP не только для рекламы.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+1 +/–
	Сообщение от Аноним (14), 13-Сен-23, 08:41
	Малварь наиболее успешно распространяется через рекламные сети.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
	Сообщение от Аноним (29), 14-Сен-23, 07:24
	Я дважды схватывал винлокер из-за рекламы на Adobe Flash, пока не установил нормальный адблок и не перешёл на Убунту. Похоже с тех пор ничего не поменялось.
	Ответить | Правка | Наверх | Cообщить модератору

15. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	–2 +/–
Сообщение от Аноним (15), 13-Сен-23, 01:08
image.webp.enabled ну и image.avif.enabled и image.jxl.enabled . Ффтопку эти новомодные графические форматы. Как гуглаг на раст своё говно перепишет - вот тогда пусть и приходит.
Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
Сообщение от Аноним (18), 13-Сен-23, 03:52
хром на 7-й винде обновят?
Ответить | Правка | Наверх | Cообщить модератору

	22. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+1 +/–
	Сообщение от Дмитро (?), 13-Сен-23, 10:12
	На 7 опера норм работает, в отличие от
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
	Сообщение от Аноним (28), 13-Сен-23, 19:35
	Нет, конечно же.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	32. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
	Сообщение от RM (ok), 14-Сен-23, 12:52
	Да, уже. Version 109.0.5414.165 (Official Build) (64-bit)
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

23. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+1 +/–
Сообщение от Аноним (23), 13-Сен-23, 12:42
"и выполнить код в системе за пределами sandbox-окружения"... Я что-то не понимаю. А зачем тогда sandbox вообще нужен, если он НЕ РАБОТАЕТ?
Ответить | Правка | Наверх | Cообщить модератору

	26. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+2 +/–
	Сообщение от пох. (?), 13-Сен-23, 13:19
	хорошие ребята получили зарплаты. Чего неясно-то?
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
	Сообщение от Аноним (30), 14-Сен-23, 07:59
	Такие как мы с вами, так что нечего грустить
	Ответить | Правка | Наверх | Cообщить модератору

24. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
Сообщение от Аноним (24), 13-Сен-23, 13:06
те, кто на линуксе, могут не беспокоиться: хакиры в основном целятся в подоконников
Ответить | Правка | Наверх | Cообщить модератору

	27. "Критическая 0-day уязвимость в Chrome и libwebp, эксплуатиру..."	+/–
	Сообщение от Аноним (28), 13-Сен-23, 19:34
	Они по площадям работают нив кого они не целятся.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема