Обнаружена новая уязвимость в Mozilla Firefox

ослика ругали

Я вот сегодня палочкой потрогал Edge в windows 10, так там вообще ничего нет - вот она секурность :D

если даст код будет автоматом тем самым кто замутил взлом))

Спасибо. Так и знал, что лучше выключать всё, что выключается.

Просто до некоторых долго доходит что локалхост - тоже ресурс и на него распространяется cors. Ну да ладно, меня больше интересует когда уже мозилла выложит причину такого упорина.

А ведь этот «неназванный российcкий новостной сайт» вполне может оказаться ЛОРом.

ЗЫ. Утром лиса до 39.0.3 обновилась. Это был фикс этой уязвимости ?

Да.

смешно, в россии новости)) о чем новости, да еще и в россии ?

Хватит тупить.

Тон убавь, школьник. Я тут на тебя время трачу, пытаюсь отвечать на вопросы, которые ты не в состоянии правильно сформулировать. Тебе я три раза вопрос задал, ты всё еще его не осилил. И ты тут еще что-то тявкать смеешь?

Ок анон, попробуй браузером вывести в console.log ~/.ssh/authorized_keys или тем более отправить c помощью ajax куда-либо.

Где тут стоит «безо всякий подтверждений»? Я не вижу.

Но для тебя ещё раз повторяю, жабоскрипт идущий вместе с браузером имеет привилегии. Он может прочитать файлы не спрашивая пользователя. Я это уже писал здесь и здесь. Почитай, блджад, документацию, там ссылка есть.

Всё, я от тебя устал. Пока не осилишь нормально описать, что ты там про цорс вякал, можешь быть свободен.

Решето!!!

Какие версии подвержены? Мне надо обновлять Icecat?

Мазила как всегда ничего не говорит, но 38 и 39 точно. А так, видимо, все версии с pdf.js.

Да как нет, если контекст джаваскрипта расширен до локальных файлов?

Эпичная дыра. Просто издевательство над здравым смыслом...

Из-за сраных мантейнеров которые собрали iceweasel 39.0.3 новым gcc, и кроме того собрали только часть kde5, мне расхреначило все 4е кеды. Пичалька.

omg..какой ты тупой, я и так знаю что он имеет привелегии. Мне все таки интересно увидеть твой код (которого конечно же нет) как ты ajax-ом будешь читать локальные файлы :D

Отдыхай уже, лузер.

Современные браузеры - решето by design.

JS - это троян.

PDF.js предельно безопасен, говорили они, в отличие от нативных просмотрщиков, говорили они.

презерватив as a service

я и так знаю что он имеет привелегии. Мне все таки интересно увидеть твой код (которого конечно же нет) как ты ajax-ом будешь читать локальные файлы :D

*facepalm*

Нет, хватит,

Пока не осилишь нормально описать, что ты там про цорс вякал, можешь быть свободен.

Да, вместе с просмотрщиком видео.

Кнопка «download» - это наше всё.

Они тебя заставили на тестовую ветку сесть?

А как версии IceCat привязаны к ESR?
ESR последний - 38.1.1, IceCat - 31.8.0

Расширения я ставлю в песочницу, которая оказалась ёбаным решетом. Обычные программы ставятся не в песочницу, поэтому к ним более осторожное отношение.

блджад

Отправить локальный файл только с помощью ajax НЕВОЗМОЖНО именно из-за CORS. В тоже время pdf.js может это сделать, нарушая тем самым cors, достаточно разжевал?

То что ты через input браузером выбрал файл а уже потому отправил его - это немного разные вещи, не находишь?

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то.

Сама концепция веб приложений основана на постулате, что you are our's bitch.

насколько я понял, делается что-то такое:

var w=window.open('http://www.example.com/file.pdf','pdf','width=1,height=1');

Теперь в переменной w у нас PDF.js и мы имеем доступ к его методам и свойстам (так ли?).

Предположим, у PDF.js метод, который открывает файл, называется loadPDF, тогда:

w.loadPDF('/home/user/.ssh/id_rsa');

Дальше, из w читаем содержимое и отправляем на наш сервер.. Поправьте, где не прав

JS знаю плохо

На нестабильной ветке обычно всё стабильно, такая неприятность бывает не часто. Но все равно неприятно.

W3 написало стандарт, как вебстраница жабоскриптом может прочитать файлы с файлового диска пользователя

Приличный браузер должен вертеть такой стандарт на МПХ пользователя.

Отправить локальный файл только с помощью ajax НЕВОЗМОЖНО именно из-за CORS. В тоже время pdf.js может это сделать, нарушая тем самым cors, достаточно разжевал?

Хоспаде. Чувак, загугли, что такое cors. Потому что я тебя реально не понимаю. Может ты имеешь ввиду same origin policy? Если что, cors - это механизм для обхода sop.

www.linux.org.ru/news/mozilla/11841470/page3?lastmod=1438974538053#comment-11...

Ну или ие6.

omg...Cross-origin resource sharing

Специально для тебя: localhost - это тоже ресурс (внезапно!) и на него действуют правила CORS (опять же внезапно). Поэтому в ответ на попытку отправки локального файла ajax-ом получаем: Origin null is not allowed by Access-Control-Allow-Origin

Бывают ли браузеры, в которых можно разрешить только безопасную часть JS?

нет..скажи мне

Что такое безопасная часть JS?

Безопасная часть JS это такая, которая не выполняется…

Это нечто достаточное для работы большей части викимапии и яндекс-маркета, но без выхода за рамки интерактивного гипертекста. То есть доступ к вебкамере/микрофону/дискам сразу вычёркиваем, но я затрудняюсь формализовать невозможность майнить биткойны.

То есть доступ к вебкамере/микрофону/дискам сразу вычёркиваем

Это стандарт. Все популярные браузеры будут его поддерживать.

Тоже глянь palemoon. Я сам не смотрел, а в новостях пишут, мол это лиса, из которой ненужности пытаются выпилить.

Тоже глянь palemoon

У меня IceCat. Чем они отличаются? Вроде бы оба лучше обычного ФФ, но я не видел сравнений.

Хочется верить, что NoScript+uBlock+Policeman и отключенный PDF.js, а так же непосещение новостных сайтов — это достаточные меры безопасности. P.S. Спасибо beastie за чистку.

Хочется больше подробностей технических.

По какой части? Эксплоит, вероятно, похож на вот что-то такое.

Вот. Уже что-то. Не хватает инфы о сайте и рекламной сети, которая там использовалась. Есть предположение, что это могла быть рекламная сеть Гугла, есть инфа, что уже больше года там кто-то научился встраивать свой js в объявления. Но Гугл ничего с этим не делает.

Я вот сегодня палочкой потрогал Edge в windows 10, так там вообще ничего нет - вот она секурность :D

И выкусить его нельзя. Снова в монополию.

Вот по этому и следует использовать MAC (тот же Apparmor или SELinux), хранить ssh ключи не в стандартном месте и использовать 2FA и пароль для открытия самого ключа (и я не думаю, что ввести путь для ключа супер сложное занятие, тем более если их несколько).
Я еще полгода назад наблюдал что-то подобное, на браузере с флешем. Когда Apparmor сыпал про DENIED c passwd и директорией с ssh ключами в путях.
И да песочница того же Chromium это тоже не повод не использовать MAC, это конечно усложняет аттаки в некоторой степени, но все равно все файлы доступные на чтение юзером под котором запущен браузер потенциально могут читаться браузером и отправляться куда-либо в случае использования подобных уязвимостей.
Алсо отключил этот pdf.js сразу же как он появился.

Позавчера, 5 августа, пользователь Firefox сообщил Mozilla о рекламе на неназванном российском новостном сайте

Что за сайт? lenta.ru?
Алсо можно атаковывать, только пользователей с включенным pdf.js

pdfjs.disabled: true

И вообще, кому он нужен этот pdf.

firefox-39.0-8.fc22.x86_64 - это уже новое, или firefox-39.0.3-8.. будет новой версией.

о рекламе на неназванном российском новостном сайте, которая, эксплуатируя уязвимость в браузере

так, давайте-ка название сайта в студию! Страна должна знать своих «героев»!

Может, уже называли, но четыре страницы комментариев я не осилил

По идее браузер не должен иметь возможности отсылать юзерфайлы куда-то.

То есть задачу прикрепления локального файла к html форме можно сразу вычеркивать из обращения.

Это только у PDF.js такая привилегия, доступ к ФС, или что? И если дырка в PDF.js то при-чём тут Some origin?

Любой JS запущенный с диска имеет доступ к любому файлу и может его аплоадить куда угодно.

Т.е. если включен Apparmor - то он не позволил быть утечке файлов пользователя?

парни

а в айсвизеле такая же фигня?