А нету. Прячутс.

Это инвалид бай дизайн. Просто идеальный эксплойт, тупо бекконнект с блекджеком и девицами.

Ну, например можно переписать метод - если он не защищен свойством (типа writable: false), обычное дело для динамической типизации.

Но не столько страшен код, насколько дебилы которые разрешают фулл аксесс из сети.

Сказал пользователь мертвого комбаина.

Или ты перешёл с некрооперы на недохром и комбаины перестали нравиться, лол?

С фига ли? Права файлосистемы никто не отменял.

так наиболее уязвимы не сервера а, как раз таки, эти ваши юзерские компы, в основном под оффтопиком. И тырит експлойт как раз эти самые юзерские данные, которые ессно хотя-бы на чтение доступны юзверю. Собсно, если почитать источник новости - експлойт в основном шурует в профиле пользователя, в поисках всяких .bash_history и прочих интресных файликов, а под оффтопиком тырит всякие файлы с паролями из того же самого профиля юзверя.

Но так то никто ведь не мешал написать експлойт, который сканирует вообще все доступные имена файлов и дерево каталогов, тырит наиболее интересно автоматом а список чего есть на дисках - отдаёт хозяину. Если того что-то заинтересует - файлики скачаются когда юзверь в очередной раз зайдёт на страницу со зловредом.

тырит експлойт как раз эти самые юзерские данные
ко всем файлам на компе

Ну ты понял. А так, да.

Но так то никто ведь не мешал написать експлойт, который сканирует вообще все доступные имена файлов и дерево каталогов, тырит наиболее интересно автоматом а список чего есть на дисках - отдаёт хозяину.

Я не смотрел, что там ещё этот их жабоскрипт умеет, а в той апи, на которую я ссылку давал, надо путь к файлу ручками указывать. Про сканирование ничего не видел.

Я тебя не распарсил. Какой бекконект, какой метод ты собрался перезаписать? Ну и да, намеренно фулл аксесс из сети никто не разрешал.

Простой бекконнект - браузер сам коннектится на нужный сервак и сливает пользовательские данные (какие именно - легко решается предварительным запросом на тот же сервак)

Ты спросил как так сделали - я и ответил - тупо переписали метод pdf.js (я так думаю). Хотя мозилла как обычно нихера не предоставила инфы по поводу связи CORS и pdf.js.

намеренно фулл аксесс

ну да, все произошло без ведома разрабов

Простой бекконнект - браузер сам коннектится на нужный сервак и сливает пользовательские данные

И что мешает встроить мозиловцам этот твой бекконект напрямую в с++? Или до тебя ещё не допёрло, что этот код обычная вебстраница запустить просто так не может?

Ты спросил как так сделали - я и ответил - тупо переписали метод pdf.js (я так думаю).

Для этого им сначала как-то надо было получить доступ к методу pdf.js. Это не предусмотрено и вроде как даже не тривиально. Вот я и спрашиваю, как так сделали?

Соглашусь, выразился я не так.

мозиловцам

Я не про них, а про авторов расширений которые могу ставиться и не с офсайта мозиллы.

обычная вебстраница

Это как? Есть обычные, не обычные, и не совсем обычные? Ты об чём?

Вот я и спрашиваю, как так сделали?

Говнокод? Глобальные переменные?

Спроси об этом у мозиллы лучше, хотя они то вряд ли скажут.

/etc/passwd

А что, где-то ещё в passwd хранят пароли?

А чойта vaapi после Омеги поломали?

Назовите сайт то уже.

блжад кто такие заловки пишет?

«новая, очередная»

ппц

Я не про них, а про авторов расширений которые могу ставиться и не с офсайта мозиллы.

Ты и обычные программы можешь ставить не из репозитория. Неча на мозилу пенять, коли ссзб.

Это как? Есть обычные, не обычные, и не совсем обычные? Ты об чём?

О жабоскрипте в обычных вебстраницах и жабоскрипте в браузере. Видишь ли, жабоскрипт в обычных вебстраницах может читать файл, если ты задашь путь к файлу руками. А жабоскрипт в браузере может тот же файл тебя не спрашивая. И по идее жабоскрипт вебстраницы никак не должен получать доступа к жабоскрипту браузера. Но как-то получил. Мне это интересно.

Говнокод? Глобальные переменные?

Без обид, но твои гадания мне не интересны.

Спроси об этом у мозиллы лучше, хотя они то вряд ли скажут.

Скажут, когда все обновятся.

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере, передавала данные пользователей на украинский сервер.

Атака была нацелена на пользователей Windows и Linux, однако версия Firefox для Mac OS X также уязвима.

ТСа с лексусом спалили?

Таким образом злоумышленники охотились за учетными данными Amazon S3, паролями FTP-клиентов, содержимым /etc/passwd

Эпичное решето. Теперь тормозилла по её же логике должна заблокировать саму себя.

Уязвимость не касается версий Firefox, где просмотрщика PDF нет

А если это говно есть но, хвала Луне, pdfjs.disabled=true — сабжевая уязвимость тоже не касается?

«новая, очередная»

Это же девиз жирнолиса — ни дня без новья!

И по идее жабоскрипт вебстраницы никак не должен получать доступа к жабоскрипту браузера.

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то. Ибо это изначальное решето, тем более если аддоны это могут делать.

ТСа с лексусом спалили?

Что именно ты имеешь ввиду?

Я правильно понимаю, что убунту-юзеры не пострадали благодоря AppArmor?

Что именно ты имеешь ввиду?

Разве вы с лексусом не подрабатываете агрегацией контента с российских новостных сайтов?

Я - нет. И пользуюсь оперой.

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то.

Упоролсо? Ты как свою аватарку на мой лорчик загрузил?

Анонимус не осилил прочитать тему? Я про переписывание CORS для аддонов (и прочего [полу]нативного).

Я про переписывание CORS для аддонов

Какой нафиг цорс может быть у аддонов? Они тебе что, на локалхост должны реквесты слать?

facepalm

йопта, я про то, что нельзя читать локальные файлы и слать их через ajax даже аддонам и даже если они официальные

А как они тогда конфиги читают и бэкапить их в облако могут?

Они - это аддоны? Если да, тогда им не нужно лезть дальше ~/.mozilla, не?

Хотя я слабо представляю зачем это делать расширениям, если ff и так умеет синкать закладки сам, тоже можно делать и с другими данными юзера.

Да, аддоны. А вот ограничены ли они .mozilla или нет я не знаю

как видишь - нет :D

FF не синкает настройки расширений.

Получается так :)

Ну так это его проблема

Не стоит ее решать отверстием в безопасности

сделал дебильд и сразу же замерджил

Вон в доках написано, что браузерный жабокод имеет доступ к файлосистеме.

No comments, я худею. Мозилла для меня умерла сегодня навсегда.

йопта, я про то, что нельзя читать локальные файлы и слать их через ajax

Это хтмл5, детка.

а ничё что если бы мозилла не ложила на cors в случае с аддонами то всё было бы в порядке?

а ничё что если бы мозилла не ложила на cors в случае с аддонами то всё было бы в порядке?

Ты уже разобрался, в чём был баг или чо? Тогда рассказывай.

И ещё раз тебя спрашиваю, какой нахрен цорс может быть у аддонов? Где там мозила что положила и как оно по твоему должно быть?

Ок анон, попробуй браузером вывести в console.log ~/.ssh/authorized_keys или тем более отправить c помощью ajax куда-либо.

Получилось? Тогда какого хера pdf.js может это делать, так понятнее?

2 TS && h578b1bde: чтбы ваша личная переписка не была такой уж личной, кинули бы ссылок на предысторию, ась?

Ок анон, попробуй браузером вывести в console.log ~/.ssh/authorized_keys

Вывел.

или тем более отправить c помощью ajax куда-либо.

Сервер влом настраивать.

Получилось?

Да.

Тогда какого хера pdf.js может это делать, так понятнее?

Объясняю для томозов. W3 написало стандарт, как вебстраница жабоскриптом может прочитать файлы с файлового диска пользователя. pdf.js написан на жабоскрипте, поэтому он может так делать. Поскольку pdf.js не просто вебстраница, а «аддон», он может это делать не спрашивая пользователя. Надеюсь до тебя допёрло.

Теперь в третий раз тебя спрашиваю, чего ты там гугукал про цорс? Напряги кость и рассказывай наконец.

получается существование аддона подразумевает дыру без возможности оную закрыть на долго, браузер убивает сам себя получается, так?

получается существование аддона подразумевает дыру без возможности оную закрыть на долго, браузер убивает сам себя получается, так?

нет

Код в студию

как ты получил содержимое локального файла с помощью JS

успокоил))

как ты получил содержимое локального файла с помощью JS

Тебя в гугли зобанили чтоли?

http://www.w3.org/TR/FileAPI/#introduction

Ну вот, теперь и под линуксом можно поймать вирус, просто зайдя на сайтик, даже без жавы и флеша. А вы еще ослика ругали за то же самое.

Хм, это же какая-то эпичная дыра. Но если у меня pdf.js был отключен, я ей не был подвержен? Поясните кто-нибудь.

Можешь спать спокойно

Хватит тупить. Я где-то писал про <input>?

Еще раз для особо одарённых, покажи код которым ты считал локальный файл (безо всякий подтверждений со стороны пользователя естественно).