В браузере Google Chrome обнаружена первая уязвимость

Все идет по плану. Скоро ОН наступит.

Закапывайте.

хорошее начало :)

Повторяется история с Safari 3 и FireFox 3. Чем больше понтов (самый быстрый, самый секурный, с поиском от Яndexа), тем хуже результат.

ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

>Для того, чтобы злоумышленники смогли воспользоваться уязвимостью, пользователь должен зайти на специальный сайт...

google.com?

Через Java Script происходит? Хотелось бы видеть более подробную информацию, а то везде только слова, что тут, что на Ленте.

Так и будет со всемми, не использующими кошерный конкрерор.

> Повторяется история с Safari 3 и FireFox 3. Чем больше понтов (самый быстрый, самый секурный, с поиском от Яndexа), тем хуже результат.

Главное не это, главное то, что уязвимость _уже_ нашли благодаря тому, что это опенсорц

> ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

наверное потому, что он опенсорц?

Интересно, а под Линух когда выйдет, тоже удаленно можно будет запустить любой файл? :)

ЗЫ Ну я думаю исправят эту уязвимость в течение пары часов. А висящий в памяти ГуглАпдейтер обновит браузер даже незаметно для юзера :) (чето это меня пугает)

идиооооооты! содрали с ленты-ру. хоть бы головой подумали. этой уязвимости подвержены все браузеры способные загружать исполняемые файлы. откуда браузеру знать какую гадость юзер скачает и запустит.

ну, на то она и бета, ничего страшного

> ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

Компилятор тебе в руки.

http://dev.chromium.org/developers/how-tos/build-instructions-linux

С первой дыркой, Chrome =)

> http://dev.chromium.org/developers/how-tos/build-instructions-linux

"Note: There is no working Chromium-based browser on Linux. Although many Chromium submodules build under Linux and a few unit tests pass, all that runs is a command-line "all tests pass" executable."

Амбициозному проекту - большую дыру в безопасности.

http://www.google.com/googlebooks/chrome/#
несомненно, благодаря концепции "sandboxing"
chrome будет безопаснее, чем остальные "игроки"

> Компилятор тебе в руки.

Note: There is no working Chromium-based browser on Linux. Сами гугловцы никак не допилят, а вы предлагаете в чужом г**нокоде ковыряться.

Фигня какая, дурная голова юзера - не уязвимость, а лучшая реклама для браузера. Ибо если тот выживет в руках среднестатистического кретина с инет-зависимостью, то круче уже быть не может и можно прекращать разработку и возлежать на лаврах в вечности.

> пользователь __должен зайти__ на специальный сайт и __самостоятельно кликнуть__ на иконку загрузки исполняемого файла.

ССЗБ. Напоминает вирусы для Linux.

Решето.

> Повторяется история с Safari 3 и FireFox 3. Чем больше понтов (самый быстрый, самый секурный, с поиском от Яndexа), тем хуже результат.

Есть некоторые люди, которым все плохо. Вы один из них. Ошибок не совершает только тот, кто ничего не делает.

> ЗЫ А какое отношение имеет виндовый браузер к linux.org.ru?

Как научитесь читать и думать, то вопрос отпадет сам собой.

Бетя есть бета, хотя жаль, что уязвимость настолько, судя из описания, критическая.

http://code.google.com/p/chromium/issues/list?can=2&q=&colspec=ID+Pri...
Не нашел ее bug-tracker

>Хотелось бы видеть более подробную информацию, а то везде только слова, что тут, что на Ленте.

http://milw0rm.com/exploits/6353

Правда, там эксплойт на другую уязвимость (ту, что описывают здесь - была в Safari и ее поправили [если я правильно понимаю]), а потому можно утверждать, что на данный момент... Google Chrome - решето! ;)

> Note: There is no working Chromium-based browser on Linux. Сами гугловцы никак не допилят, а вы предлагаете в чужом г**нокоде ковыряться.

Зачем, ковыряйтесь в своем. Вас никто не обязывает.

>Так и будет со всемми, не использующими кошерный конкрерор.

Это тот, который падает по поводу и без и тормозит на JS?

у Г-компании - все продукты, могут быть по определению, только "Г". "как вы лодку назовете, так она и поплывет" (c).

p.s. они перед Dmoz.org извинились, хотя БЫ ? для начала.

> Главное не это, главное то, что уязвимость _уже_ нашли благодаря тому, что это опенсорц

Да это просто зависть оперофилов.. К этому тотему толком даже уязвимости не анонсятся, ибо не прославишься ;) Даже к бете, которую выкладывали, и которая как бы проходила 100% АCID3 да почему то где-то так и сгинула.. А тут бета от самого гугла позволяет самому себе закачать вирус.. Та ты шо..

нет, это тот конкреор, которых, может юзать еще менее кошерный XUL, в качестве back-end-а, который не падает и не тормозит, только когда ветер попутный.

> Как научитесь читать и думать, то вопрос отпадет сам собой.

Читающий и думащий. Вот тебе задача. Google Chrome под Linux НЕ работает, офтопиком НЕ является. Теперь давай возьмём любую другую программу ТОЛЬКО для Windows с открытым исходником. Будет она тут офтопиком ? Почитай и подумай.

> Есть некоторые люди, которым все плохо. Вы один из них.

Есть такие проекты, о которых не кричат по всему миру: "Мы сегодня вам покажем супер-мега браузер", а скромно релизят. А здесь идет тупая проверка, на то сколько скачавших обновится.

> Как научитесь читать и думать, то вопрос отпадет сам собой

Тут уже мне намекали, что проект опенсорсный. Может, тогда обсудим новые релизы Nodepad++?

вроде всё сделал верно:

$ svn co http://src.chromium.org/svn/trunk/depot_tools/linux depot_tools
$ export LANG=C # temp workaround for gclient behavior

$ ./depot_tools/gclient config http://src.chromium.org/svn/trunk/src
$ ./depot_tools/gclient sync
$ cd ./src/chrome
$ ../third_party/scons/scons.py Hammer


но. кто знает, в чём проблема ...

[anders@fedora chrome]$ ../third_party/scons/scons.py Hammer
scons: Reading SConscript files ...
scons: done reading SConscript files.
scons: Building targets ...
scons: *** Source `Hammer/webkit/port/bindings/js/PausedTimeouts.cpp' not found, needed by target `Hammer/webkit/V8Bindings/SharedSources/PausedTimeouts.cpp'. Stop.
scons: building terminated because of errors.


даже повторял svn-интся ....

[anders@fedora svnchromium]$ du -sh *
448K depot_tools
1.8G src
[anders@fedora svnchromium]$ du -s *
448 depot_tools
1824384 src

>Для того, чтобы злоумышленники смогли воспользоваться уязвимостью, пользователь должен зайти на специальный сайт и самостоятельно кликнуть на иконку загрузки исполняемого файла.

Дождавшись загрузки, запустить файл и согласившись с лицензией, нажать на кнопку "Заразится".*

_____________
* - Пользователям GNU/Linux придется, запускать от root с предварительно отключенным SELinux, так что для заражения компьютера может потребоваться помощь Вашего системного администратора.

5 баллов :)

А в целом, засилье явы, скриптов и флешей в инете одинаково бьет по всем браузерам. Хоть по нулевым бетам, хоть по подбирающимся к десятым версиям релизам.. И ничего не поделаешь. Это web *.0
Гламур и рюшки наступают..

Google, Gnome - все что на G, оно и есть Г.

>Google, Gnome - все что на G, оно и есть Г.

длинными зимними ночами тайком под одеялом мечтаешь вернуться в венду, где минимум GNU и GPL? :)

а на "s" - SUX :D

>нет, это тот конкреор, которых, может юзать еще менее кошерный XUL, в качестве back-end-а, который не падает и не тормозит, только когда ветер попутный.

Эта какая-то фантастика. Где скачать?

> > Как научитесь читать и думать, то вопрос отпадет сам собой.
> Читающий и думащий. Вот тебе задача. Google Chrome под Linux НЕ работает, офтопиком НЕ является. Теперь давай возьмём любую другую программу ТОЛЬКО для Windows с открытым исходником. Будет она тут офтопиком ? Почитай и подумай.

Даю еще одну попытку, а пока "двойка".

Решето!

>> пользователь __должен зайти__ на специальный сайт и __самостоятельно кликнуть__ на иконку загрузки исполняемого файла.

> ССЗБ. Напоминает вирусы для Linux.

Я сейчас выложу тут линк на сайт, где можно увидеть сиськи Sun-ch^W Aviva. Там нужно будет самостоятельно кликнуть на линк-картинку (линк на бинарник).
Угодай сколько будет кликов?

> > Есть некоторые люди, которым все плохо. Вы один из них.
> Есть такие проекты, о которых не кричат по всему миру: "Мы сегодня вам покажем супер-мега браузер", а скромно релизят. А здесь идет тупая проверка, на то сколько скачавших обновится.

Вы про Nodepad++? Так что про него кричать? Да и кому?

> > Как научитесь читать и думать, то вопрос отпадет сам собой
> Тут уже мне намекали, что проект опенсорсный. Может, тогда обсудим новые релизы Nodepad++?

А Nodepad++ линуксовый? Или он имеет хоть какое то влияние/значение для людей?
Нет я понимаю, вы и ваш друг им пользуетесь. Жить без него не можете, но для остальных он ничто.

Сходи на www.opensource.ru, там можно обсуждать GPL'ную (opensource) программу miranda исключительно под винду.

> Я сейчас выложу тут линк на сайт, где можно увидеть сиськи Sun-ch^W Aviva. Там нужно будет самостоятельно кликнуть на линк-картинку (линк на бинарник).

Жду линк. Мне интересно, много ли тут умников, которые кликают не глядя что это за линк.

> Угодай сколько будет кликов?

Хез.

> Даю еще одну попытку, а пока "двойка".

Теряюсь в догадках, о великий учитель. *Планируется* версия для Линукс ? Ну так обещанного три года ждут. Когда будет, тогда и поговорим. А пока...

> Сходи на www.opensource.ru, там можно обсуждать GPL'ную (opensource) программу miranda исключительно под винду.

И что? Мне это зачем?

> Теряюсь в догадках, о великий учитель. *Планируется* версия для Линукс ? Ну так обещанного три года ждут. Когда будет, тогда и поговорим. А пока...

Слишком пафосно. Понимаю, вам интереснее и полезнее обсуждать шрифты на скриншоте Васи Пупкина. Ведь скриншоты имеют непосредственное отношение к Linux и Open Source.

>Теперь давай возьмём любую другую программу ТОЛЬКО для Windows с открытым исходником. Будет она тут офтопиком ?

Ты задал вопрос, я тебя отправил на сайт www.opensource.ru обсуждать виндовые опенсорные программы. Ты по линку сходил?