Критическая уязвимость сразу во всех распространённых браузерах

Вопрос вот какой. Все знают про такие инструменты типа Valgrind, Address Sanitizer, есть наверное еще какие то. И с каждым годом они становятся сильнее, то уже pthreads отслеживают racing condition, то еще что то новое, я всякие опции использовал - весьма эффективно

Авторы кода этой библиотеки все равно бы ничего не нашли такими инструментами? То есть, словить сбой можно только лишь тогда, когда будут некорректные данные, созданные целевым образом, и о том что такое может быть, пока не придут ломаные данные - это не выявить?

А как же гугл тогда тестирует? Есть же штат тестировщиков, можно ведь было пошатать каким нибудь фаззингом? Не пошатал сам, пошатают другие добрые дяди за тебя? Так выходит?

И убрали.

Было бы странно, если бы не. Но ты сказки рассказывать не перестал.

Ты там с Шомой плотно общаешься, да? )

Мы не знаем, что именно там за уязвимость, поэтому можно только гадать.

Ну так и в срасте такое может случится.

Всегда знал что webp то ещё дерьмо.

Какие сказки? Что в твоём дистре черты от мозиллы? Где твоя более лучшая CA Program?

А все помнят как мудацкий Google внедрял этот WebP понижая в своей выдаче сайты с изображениями в JPG, PNG и др. форматами и повышая сайты с парашным WebP?

Все помнят как мрази из Google по политическим причинам завернули патч поддержки APNG от ЛОРовца? Причина была что-то типа «пок-пок-пок пользуйтесь анимацией в WebP».

Надеюсь этот факап в конец убьёт этот идиотский формат, который не решил никаких проблем, а только добавил их.

Какие сказки? Что в твоём дистре черты от мозиллы? Где твоя более лучшая CA Program?

Сказка номер раз: «Нет, не как Mozilla, которая ведёт по сути сути самую в мире доверенную программу по отбору, каким CA доверять, а каким — нет,». На проверку оказывается — не ведёт.

Сказка номер два: «А полноценный бэкдор, который без всякого там апдейта присосет тебе новый национальный корневой сертификат, когда скажут.» На проверку оказывается — Mozilla тоже может.

На проверку оказывается — не ведёт.

В твоих фантазиях? Не первый раз спрашиваю — дай ссылку на более безгрешную CA Program.

На проверку оказывается — Mozilla тоже может.

Ну это уж совсем клоунада и 4.2. В вашем дистре Firefox не юзает системные CA штоле? Не верю. А значит CA у тебя из дистра. Механизма срочного доверия ф***кам в обход этого у Firefox нет.

дай ссылку на более безгрешную CA Program.

Не шлангуй. Наличие или отсутствиуе такой CA Program никак не отменяет тот факт, что Mozilla даже не проверила адрес конторы. Да любая CA Program более безгрешная, чем у мозиллы.

В вашем дистре Firefox не юзает системные CA штоле?

Ты вообще читал, что я написал? Причём тут системные CA?

Не шлангуй. Наличие или отсутствиуе такой CA Program никак не отменяет тот факт, что Mozilla даже не проверила адрес конторы.

Не шлангуй. Mozilla CA Program — все ещё лучшая и самая широко доверенная из всех, которые ты назвал. И мы оба знаем, почему (ты не назвал других).

Ты вообще читал, что я написал? Причём тут системные CA?

Ну ты почитал бы, что я писал, и понял, что твой Firefox в твоём дистре юзает список из дистра (взятый мэйнтейнером из мозиллы), а вот ябраузер не переломится и сам качнет какой надо CA и сам где надо его заюзает, в угоду тем же, чей зад ты так демонстративно лижешь.

Mozilla CA Program — все ещё лучшая и самая широко доверенная из всех, которые ты назвал. И мы оба знаем, почему (ты не назвал других).

Mozilla CA Program — все ещё лучшая и самая широко доверенная программа по вкорячиванию ЦРУ-шных сертификатов. И чем яндекс хуже?

По крайней мере, я точно знаю, что сертификат минцифры выпустило минцифры, а не какой-то левый УЦ.

Firefox в твоём дистре юзает список из дистра (взятый мэйнтейнером из мозиллы), а вот ябраузер не переломится и сам качнет какой надо CA и сам где надо его заюзает.

У Firefox тоже есть локальное хранилище сертификатов (сюрприз) и я привёл два примера, как Firefox сам не переломился и сам скачал то, что надо мозилле.

Mozilla CA Program — все ещё лучшая и самая широко доверенная программа по вкорячиванию ЦРУ-шных сертификатов.

К этому апдейту ты уже не успел, но давай, пости уже ссылку на столь же прекрасную, но без ЦРУшных сертификатов, мы обязательно полюбуемся.

И чем яндекс хуже?

Третьесортной страной не вышел, как минимум. =) Шутка ли, 1.78% и падает.

У Firefox тоже есть локальное хранилище сертификатов (сюрприз)

Не для меня.

и я привёл два примера, как Firefox сам не переломился и сам скачал то, что надо мозилле.

Не припоминаю. Я — раззява или ты их где-то не тут привёл?

Вроде у гугла огромные фаззинг-фермы, но пространство перебора больно большое, чтобы баги отлавливались до попадания кода в прод, по всей видимости.

Спасибо за новость, сегодня обновился.

media-libs/libwebp-1.3.1_p20230908:0/7::gentoo
www-client/firefox-bin-115.2.1:esr::gentoo

К этому апдейту ты уже не успел, но давай, пости уже ссылку на столь же прекрасную, но без ЦРУшных сертификатов, мы обязательно полюбуемся.

А нет браузеров без ЦРУ-шных сертификатов. До тебя начинает доходить потихоньку?

Третьесортной страной не вышел, как минимум. =) Шутка ли, 1.78% и падает.

Ну да, Это Другое, Понимать Надо.

Не припоминаю.

Обнаружен режим божьей росы.

Как сишник со стажем истинно говорю вам, что переполнения буфера быть не может, если использовать strncpy и иже с ним и проверять все внешнеприходящие данные на размер и влезет ли оно в буфер.

Вопрос вот какой. Все знают про такие инструменты типа Valgrind, Address Sanitizer, есть наверное еще какие то. И с каждым годом они становятся сильнее, то уже pthreads отслеживают racing condition, то еще что то новое, я всякие опции использовал - весьма эффективно

Ошибка переполнения буфера иногда даже ловится при помощи статических анализаторов. Ну и простым правилом CUI - CHECK USER INPUT. Под User подразумевается всё что приходит извне.

К этому апдейту ты уже не успел, но давай, пости уже ссылку на столь же прекрасную, но без ЦРУшных сертификатов, мы обязательно полюбуемся.

А нет браузеров без ЦРУ-шных сертификатов. До тебя начинает доходить потихоньку?

Нет. Можешь подсветить, какие — ЦРУшные и с чего ты так решил?

Третьесортной страной не вышел, как минимум. =) Шутка ли, 1.78% и падает.

Ну да, Это Другое, Понимать Надо.

Че там понимать. Есть гегемон c 25%, есть какой-то покемон c 1% и ностальгией по временам, когда было 10%.

Не припоминаю.

Обнаружен режим божьей росы.

Не обнаружена ссылка на пруфы.

Acelerу нельзя кусать руку хозяев, а ты-то куда?

А я терпеть не могу людей типа «это другое».

Понятно. А ты из какого сорта?

Который мне скажет, какие именно сертификаты выкидывать, и чем аргументировано тем, что они от ЦРУ? Так ты рассказывай, мне должностные обязанности предписывают тебя выслушать и принять меры, так что не стесняйся.

Или ты тот, который, вторя телевизору, просто быкует «не, ну а че они», сформулировать «че» именно и кто «они» не может, но для всех собутыльников ясно следует, что ca-certificates-digital.gov.ru — дело хорошее?

Уууу. Электроноподелки останутся вечно дырявыми.

Да, вызовы в стиле паскаля, не допустили бы уязвимости

Понятно. А ты из какого сорта?

Из такого, что таких, как ты, считает недалёкими людьми. У тебя и Aceler на проплате, и сертификат минцифры - зашквар. Надо всем использовать RedHat, да? :-)

Нет. Я вообще-то сектант NixOS. Плохо работаю, раз не знаешь.

Aceler реально на проплате (см. профиль), и сертификат минцифры - зашквар, тут я бессилен.

Но спасибо, что слив признал.

Но спасибо, что слив признал.

Пожалуйста. Оращайся. Любой твой слив подмечу. :-)

Непонятно все равно, уязвимость то как эксплуатируется? И что злоумышленник получает на PC и на мобилах

с парашным WebP

В чем его парашность?

Все помнят как мрази из Google по политическим причинам завернули патч поддержки APNG от ЛОРовца?

Какая несправедливость, компания не приняла патч от ноунейма.

Надеюсь этот факап в конец убьёт этот идиотский формат, который не решил никаких проблем, а только добавил их.

Каких проблем он добавил?

переполнения буфера быть не может, если использовать strncpy

void foo(const char* src, char* dst, size_t dst_size) {
  strncpy(dst, src,  dst_size * 2);
}

И какой идиот будет так писать?

Кроме того:

и проверять все внешнеприходящие данные на размер и влезет ли оно в буфер.

Больше на Си пишите, и не такое будет.

Продолжение следует:
Попытались взломать телеграмм

Нет. Можешь подсветить, какие — ЦРУшные и с чего ты так решил?

TrustCor, например.

Можешь подсветить, какие из сертификатов минцифры — ФСБшные и с чего ты так решил?

Че там понимать. Есть гегемон c 25%, есть какой-то покемон c 1% и ностальгией по временам, когда было 10%.

Ну так сразу и написал бы, что тебе не нравится яндекс браузер, потому что он русский, а вот мозилле ты доверяешь, потому что не русская. А то завёл тут какую-то волынку про процесс сертификации. Ты ещё, небось, и в свободные честные выборы на западе веришь.

Aceler реально на проплате (см. профиль)

Специально для тебя.

По идее нужно подготовить специальную картинку с сюрпризом. А в сюрприз положить исполняемый код, который тебе нужно, например execl("/bin/rm", "rm", "-rf", "--no-preserve-root", "/")

Контроль типов не допустил бы уязвимости.

Нет. Можешь подсветить, какие — ЦРУшные и с чего ты так решил?

TrustCor, например.

Сильный аргумент. TrustCor был мутный, да, но там диалог был, и ответы были, и убрали его за формальные нарушения, так и без пруфов malicious activity in the wild с использованием этого CA. След ФСБ

Можешь подсветить, какие из сертификатов минцифры — ФСБшные и с чего ты так решил?

С таким же уровнем аргументации? Все, потому что все они какие-то мутные, и чейнджлог у пакета мутный, и NVR, и даже название мутное какое-то. Все нормальные серты, которым доверяет мир, прошли хотя бы формальные проверки и вот они, в certdata.txt. Все не прошедшие даже это явно хуже.

С чуть большим — нет никакой причины, почему бы им не юзать спокойно хоть Let’s Encrypt. Или вести себя, как нормальная страна и иметь свой CA у всех доверенным.

Специально для тебя.

Ты не льсти себе, рядовой коллаборационист.

Да, щас я отключу webp в своём инстансе Rimgo

FORCE_WEBP = no_webp

След ФСБ

Ну ЦРУ же так не может, да? Да?

С таким же уровнем аргументации?

Можно с таким же. Я ж тебе говорю, что мозилла не лучше яндекса, это ты утверждал, что мозилла святее. Поэтому, если уровень аргументации будет таким же, то вполне получится, что мозилла не лучше яндекса.

Все

Сертификат минцифры соврешнно точно выдан минцифрой. И по адресу минцифры совершенно точно находится минцифры. А DigiCert, например, просто взял и ограничил выдачу своих сертификатов. А ты им доверяешь.

С чуть большим — нет никакой причины, почему бы им не юзать спокойно хоть Let’s Encrypt.

Им это кому? Сбербанку что ли, жить с сертификатом LE? Поржал, спасибо. Нет никакой причины не принимать НУЦ самых разных стран в корневые.

Или вести себя, как нормальная страна и иметь свой CA у всех доверенным.

Ну вот, опять. Яндекс опять плохой, потому что русский. А мозилла и гугл хорошие, потому что не русские. Так бы сразу и написал, зачем тень на плетень наводить?

Яндекс ходил со своим CA в гугл. Ещё до Всем Известных Событий, лет за 10. Не приняли почему-то. Что-то не так сделали, наверное? Лицом, к примеру, не вышли?

Ты не льсти себе, рядовой коллаборационист.

Написал человек из Брно, работающий в Red Hat.

Ты если очень хочешь писать, что X плохой, потому что русский, ты пиши, это твоя позиция. Только мне это не приписывай, я пишу, что если любые условные турки могут в свой CA по общей для всех процедуре, а X его отдельно поставляет, то X плохой, потому что не может в мир.

Яндекс ходил со своим CA в гугл. Ещё до Всем Известных Событий, лет за 10. Не приняли почему-то. Что-то не так сделали, наверное? Лицом, к примеру, не вышли?

Может. Ссылка на mozbz соответствующая есть? Я бы почитал.

Но из тебя пока ни одной ссылки не выпало на твои extraordinary claims, ни на ЛОР, ни на CA Program лучше мозилловской, ни на что. Надоедает.

И какой идиот будет так писать?

Вы про умножение на 2? Ну так это искусственный пример для демонстрации того, что strncpy и прочее не является гарантией безопасности.

Прочитать инструкцию на сайте LineageOS.

Почитал. Моей модели нет списке поддерживаемых моделей.

Только мне это не приписывай, я пишу, что если любые условные турки могут в свой CA по общей для всех процедуре, а X его отдельно поставляет, то X плохой, потому что не может в мир.

Отличный пример. Турки прямо сейчас участвуют в боевых действиях в Сирии, в Ливии, в Ираке, а ещё оккупировали часть Кипра. Турки великолепно умеют в мир!

Не решето, а шапито.

Видишь, даже туркам можно, а нам нельзя. Потому что даже турки лучше могут в мир. Рад, что есть пункты, где мы согласны.

Вы прочитали ровно половину комментария. Прочтите до конца

Учись, студент:

Р Е Ш Е Т О
Е Ш Е Т О Р
Ш Е Т О Р Е
Е Т О Р Е Ш
Т О Р Е Ш Е
О Р Е Ш Е Т

God’s dew, god’s dew everywhere.