LINUX.ORG.RU

В Tor Browser (и Firefox) обнаружена 0-day уязвимость

 , , ,


1

2

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

Deleted

Проверено: Shaman007 ()

Ответ на: комментарий от fornlr

А что секьюрно? Из хромонога зонды выковыривать? А больше и нет ни чего.

mandala ★★★★ ()
Ответ на: комментарий от awesomebuntu

XP
end of support
2001 год выхода
нет композитинга

Ясн. Не, у меня валяется VLK образ, но по сути она мне нахер не нужна. Накатил спермерочку (раскатав прямо на хард образ dd) и обновил до дриснятки.

Макось тоже есть, но 10.7.5 i386, под которую уже тупо не собирают софт - все только x86_64. Даже банальные браузеры.

svr4 ()
Последнее исправление: svr4 (всего исправлений: 2)

В Tor Browser (и Firefox) обнаружена 0-day уязвимость

Fixed: В Firefox и его форках обнаружена 0-day уязвимость

vertexua ★★★☆☆ ()
Ответ на: комментарий от svr4

end of support

И чо?

end of support

И чо? Я часто играю в игры до 2007.

нет композитинга

:-(

спермерочку

На ней бы и остался. ГОраздо годнее, чем дристнятка.

awesomebuntu ()
Ответ на: комментарий от awesomebuntu

С точки зрения совместимости с древним софтом - эскобар.жпг. Те игры, что на спермерке запускаются с бубном - на восьмерке и десятке запускаются так же. Те, что идут без бубна - тоже идут.

svr4 ()
Ответ на: комментарий от svr4

Я сейчас сижу на ноуте с 2.5 гигами памяти и шиндовс 10.

Казалось бы, при чем тут linux.org.ru

хромог

Информативно и по сабжу.

Deleted ()
Ответ на: комментарий от Deleted

Казалось бы, при чем тут linux.org.ru

Я открою тебе страшную тайну: на ЛОРе 70% — вендозы и маководы.

awesomebuntu ()
Ответ на: комментарий от Deleted

Линукс.орг.ру тут при том, что я уже лет десять как наигрался в админа локалхоста. Линукса мне хватает на серверах, пердолить его на десктопе никакого желания не имею. Такие дела.

svr4 ()
Последнее исправление: svr4 (всего исправлений: 1)
Ответ на: комментарий от anonymous

И действительно:

Not putting security over more users.

Дальше даже читать не надо. Им тупо популярность и удобство пользования важнее безопасности. Нафиг этот хуникс.

anonymous ()
Ответ на: комментарий от Deleted

Совсем недавно в контейнерах (lxc, емнип, могу ошибаться) уязвимость находили, позволяющую за их рамки выбраться. В виртуалках такое тоже случалось, но довольно редко, а если аппаратную виртуализацию отключить - то и вовсе почти 99% гарантия.

anonymous ()
Ответ на: комментарий от ZenitharChampion

Проектам Mozilla и Tor следует объединиться.

В общем-то, уже. Мозилла - один из основных спонсоров, а также владелец более половины выходных нод.

anonymous ()

А я с детства знал, firefox - говно решетное, ну или - решето говённое. Во всех аспектах: и html движок, и js, и css, и прожорливости, и безопасности, и монструозности и архитектуры, и вообще - во всём. Жаль ребята из tor не понимают этого...

❤Keep calm and love chromium ❤.

mr_Heisenberg ()

JavaScript-эксплоит

Йотэс не нужен, NoScript rulez. В который раз убеждаюсь.

dexpl ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

Роскомнадзор сразу узнает, что у меня много вареза и пиратской музыки.

Сомневаюсь, что ты понимаешь, что такое Роскомнадзор. Подсказка: это не полиция нравов и не СЭС.

anonymous ()
Ответ на: комментарий от fornlr

Chrоmium

А где там проект «секьюрного» браузера на базе хромиума? Загнулся?

mandala ★★★★ ()
Ответ на: комментарий от fornlr

К сожалению, хромиум давно перестал быть «хромом без зондов». Теперь там абсолютно все то же самое, только иконка в других цветах.

anonymous ()

Flash дырявое adobe когда оно уже сгниет, когда есть божественный HTML5 или скоро выпустят 6 серию

piacedeath ()
Ответ на: комментарий от Deleted

Казалось бы, при чем тут linux.org.ru

При том, что пример эксплойта как раз на шиндовс сделан. И ТорБраузер, и Файрфокс подавляющее большинство юзает как раз на шиндовс.

mandala ★★★★ ()
Ответ на: комментарий от anonymous

Дефотный фурифокс ни чем не лучше хромиума

fornlr ★★★★★ ()
Ответ на: комментарий от mr_Heisenberg

firefox - говно решетное, ну или - решето говённое.

Как хорошо начал.

❤Keep calm and love chromium ❤.

И как плохо закончил.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Хе))) Серьёзно, хрому нет альтернативы в плане соответствия стандартам, поддержки технологий, скорости работы и безопасности. Весь код в opensource - что-то никто не нашел никаких зондов.

mr_Heisenberg ()
Ответ на: комментарий от svr4

Ты меня не понял.
Я не против если кто-то юзает оффтопик. Меня удивляет, что ты пишешь про свой виндовс экспириенс на линукс.орг.ру. И делаешь это в теме про уязвимость в лисе.

Deleted ()
Ответ на: комментарий от awesomebuntu

А что есть нормального кроме chromium? Производные хромиума и лисы - не в счёт.

mr_Heisenberg ()
Ответ на: комментарий от mr_Heisenberg

что-то никто не нашел никаких зондов

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909#51

Это последнее вроде (т.е. такого говна было полно, но это крайний случай. Уверен что не последний, еще будут.) и нагуглилось за несколько секунд.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mr_Heisenberg

А что есть нормального кроме chromium? Производные хромиума и лисы - не в счёт.

«Палевная луна».

anonymous ()
Ответ на: комментарий от mandala

Дефотный фурифокс ни чем не лучше хромиума

fornlr ★★★★★ ()
Ответ на: комментарий от mandala

При том, что пример эксплойта как раз на шиндовс сделан.

Тормозфокс в очередной раз sosnool у хромобога.
Я сейчас сижу на ноуте с 2.5 гигами памяти и шиндовс 10. Почему-то хромог с 50 вкладками не тормозит и не свопится

Найди в этих сообщениях информацию относительно сабжа на оффтопике.

Deleted ()
Ответ на: комментарий от ritsufag

Эт че, жирнолис еще и дырявый? Никогда не понимал мазохистов им пользующихся.

Не знал, что Алиса Селезнёва такая бяка. Ты меелофон отдала?

anonymous ()
Ответ на: комментарий от Deleted

Тормозфокс память жрет примерно одинаково на линуксе, макоси, винде и соляре. На всяких там маргинальных девятых планах и гайках не тестил, но подозреваю что так же. Где может жрать меньше - либо онтопик с pf-kernel и включенным UltraKSM, либо десятка с включенным сжатием.

Если же вдаваться в подробности - то на tor browser под виндой (и любой другой платформой) эксплоит работать не будет - там по умолчанию стоит noscript. Так что, новость переписывать надо - «работает на оффтопике у дебилов, которые выключили NS».

svr4 ()
Последнее исправление: svr4 (всего исправлений: 2)
Ответ на: комментарий от Deleted

Найди в этих сообщениях информацию относительно сабжа на оффтопике.

Что хром рулит и педалит, а лиса шерето, кокококо. Но один хрен оффтопик и не к месту.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от svr4

В Tor Browser (и Firefox) обнаружена 0-day уязвимость
Тормозфокс память жрет

Причём здесь память?

Deleted ()
Ответ на: комментарий от mr_Heisenberg

SeaMonkey.

Производные хромиума

Говно по определению.

Лисы

Тут уже конкретика нужна.

awesomebuntu ()

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия.

Проще выбросить браузер, не заслуживающий доверия.

Citramonum ★★ ()
Ответ на: комментарий от svr4

маргинальных девятых планах
маргинальных

Сам ты маргинал.

Стоп, лиса есть под план? WTF?!

по умолчанию стоит noscript

А можно жить без этого? Мазохисты.

awesomebuntu ()
Ответ на: комментарий от fornlr

дефотный фурифокс ни чем не лучше хромиума

Я дебиановским пользуюсь, его тут только недавно обратно переименовали. Так что у меня далеко не дефолт.

Ну и скандалов нету с лисой, из чего следует, что мозиловцы не ныкают в код всякую бяку без документации.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Ну и скандалов нету с лисой

Ложь

не ныкают в код всякую бяку БЕЗ ДОКУМЕНТАЦИИ

Вот это, да.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от svr4

Линукса мне хватает на серверах

Администратор мамкин.

anonymous ()
Ответ на: комментарий от WARNING

Всё ещё можно троллить. Начинай. Ах, да, у тебя же нет firefox_splo1t.exe. Ладно, давай своё мыло, я тебе пришлю.

anonymous ()
Ответ на: комментарий от anonymous_incognito

Некоторые сайты даже не читаемы с отключенным JavaScript

Ну это ведь проблема этих сайтов. Если какой-то сайт будет требовать запустить у тебя на компьютере бинарник, чтобы его прочитать, тоже будешь запускать? А ведь ты это и делаешь с JS.

Legioner ★★★★★ ()
Ответ на: комментарий от svr4

Стоять он там и правда стоит, да вот только не работает - по умолчанию все разрешено.

anonymous ()
Ответ на: комментарий от svr4

«работает на оффтопике у дебилов, которые выключили NS»

Да, там при первом запуске вылезает настройка «уровень защиты». Если выбрать минимум, то скрипты будут работать.

mandala ★★★★ ()
Ответ на: комментарий от awesomebuntu

Ну попользуйся тем же гуглдоксом без яваскрипта.

svr4 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.