Разработчики проекта Mozilla сообщили (https://blog.mozilla.org/security/2015/08/06/firefox-exploit.../) о выявлении критической уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/) (CVE-2015-4495) в PDF-просмотрщике PDF.js (https://github.com/mozilla/pdf.js/), встроенном в браузер Firefox. Для устранения проблемы оперативно выпущено обновление Firefox 39.0.3 (https://www.mozilla.org/en-US/firefox/39.0.3/releasenotes/). При этом сообщается, что ещё до выхода исправления в сети зафиксированы факты эксплуатации данной уязвимости через размещение вредоносных рекламных блоков на одном из российских новостных сайтов общей тематики.
Уязвимость позволяет атакующему обойти ограничения режима изоляции JavaScript-кода (same origin) и выйти за пределы браузерного окружения, что даёт возможность прочитать содержимое локальных файлов в окружении пользователя и осуществить выполнение JavaScript-кода в контексте локальных файлов. Например, используемый для атаки вредоносный код внедрялся в PDF.js и выполнял поиск файлов, содержащих персональные сведения пользователя, после чего загружал их на сервер злоумышленников. Поражались не только компьютеры с Windows, но и Linux-системы.
После эксплуатации в Windows осуществлялся поиск файлов конфигурации, которые могут содержать пароли, в том числе настройки subversion, s3browser, Filezilla, .purple, Psi+, популярных FTP-клиентов. В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек remina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов.
URL: https://blog.mozilla.org/security/2015/08/06/firefox-exploit.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=42743
Что за сайт? Зачем скрывать имя сайта?
О, уже и ".0.3" есть? Решил установить Firefox в Gentoo. Смотрю - последняя версия 39.0. "Релиз был 2 недели назад - неужели с тех пор не было минорных обновлений?". И установил. Оказывается что зря - теперь пересобирать, и ждать
Назвался груздём, полезай в кузов. Тебе же религия противоречит юзать бинарные, автоабновляющиеся собрки!
www-client/firefox-bin
Available versions: 31.7.0^ms 31.8.0^ms 38.1.0^ms (~)39.0^ms {selinux startup-notification LINGUAS="af ar as ast be bg bn_BD bn_IN br bs ca cs csb cy da de el en_GB en_ZA eo es_AR es_CL es_ES es_MX et eu fa fi fr fy_NL ga_IE gd gl gu_IN he hi_IN hr hu hy_AM id is it ja kk kn ko ku lt lv mai mk ml mr nb_NO nl nn_NO or pa_IN pl pt_BR pt_PT rm ro ru si sk sl son sq sr sv_SE ta te tr uk vi zh_CN zh_TW zu"}
Homepage: http://www.mozilla.com/firefox
Description: Firefox Web Browserпродолжать?
Что-то мейнтейнеры тормозят с ебилдом для обновлённой лисы. В Арче пакет собрали вчера. Остаётся только ждать или самому подправить ебилд и собрать.
Выше человек честно написал "теперь пересобирать, и ждать".
Так что мимо.
В манжаре тоже нету обнов
Адблок бы спас или нет?
Пишут: People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.
по ссылке же все есть
>по ссылке же все естьПрошу прощения, был взволнован.
> Пишут: People who use ad-blocking software may have been protected from this
> exploit depending on the softwareА я уж точно был защищен от этого эксплойта - я этот тормозной и неюзабельный шит заменил на системную открывашку. В ней дыры оперативно затыкает менеджер пакетов, да и пдф оно рендерит в 10 раз быстрее. И памяти трескает в 5 раз меньше.
> заменил на системную открывашку. В ней дыры оперативно затыкает менеджер пакетовОх.. Святая наивность! Я катаюсь со смеху!.. В ней дыр наверняка в 1000-раз больше..
А не закрывают их (оперативно), потомучто не так уж и много людей читают (часто) PDF-файлы.. Вероятность нарваться на вирус внутри PDF в этом случае оказывается минимальна :-)..
То есть вся "защита" этих native-просмоторщиков строиться на основе принципа Неуловимого Джо :-D ..
А ты как идиот можно сказать голой жопой выставил себя к интернет-хакерам -- в момент когда поставил этот Native-просмоторщик в браузер в режим поумолчанию (вместо очевидно более безопасного Pdf.js) .
> Ох.. Святая наивность! Я катаюсь со смеху!.. В ней дыр наверняка в 1000-раз больше..Во первых - покажи их.
Во вторых - для начала, авторы этой открывашки не били себя пяткой в грудь насчет секурити.
В третьих - открывашка в убунте лишний раз шевельнуться не может, ей apparmor-ом порезано все что можно.> А не закрывают их (оперативно), потомучто не так уж и много людей
> читают (часто) PDF-файлы..А вот duq почему-то не в курсе этой фигни и умыкнул туеву хучу информации у технарей, програмеров, хацкеров и прочая. Не каждый эксплойт столько урона наносит - это будет использовано для более прицельных атак. Тем паче что там еще и кренделя уперли на некоторые программы.
> То есть вся "защита" этих native-просмоторщиков строиться на основе принципа
> Неуловимого Джо :-D ..Кроме неуловимости есть еще урезание ему прав и прочая. Браузер штука более фичастая и универсальная. Ему права урезать сложнее. Скажем, вьюшке пдф вообще выход в сеть ни к чему - файло вьюшке скачает другая прога. А вот браузеру выход в сеть не зарежешь...
> -- в момент когда поставил этот Native-просмоторщик в браузер в режим поумолчанию
Для начала - в отличие от суперсекурной дырени от тормозилы меня СПРАШИВАЮТ - а хочу ли я вообще это запустить. Ну то-есть есть явное действие - скачка файла. И вопрос что с ним делать. В отличие от этого бюро медвежьх услуг имени мозиллы.
> (вместо очевидно более безопасного Pdf.js) .
Через этот пиндец-безопасный-просмотрщик duq натырил уйму кренделей и информации для таргетировани атак на интересных личностей, прикинь? В общем прикольное выгораживание мозиллы и скрипткидозников, конечно. Но - не прокатит. GTFO, литл ламо.
ты думаешь, он хоть слово понял?
about:config -> pdfjs.disabled = trueне велика потеря, он медленный
Да, быстрее Sumatra PDF ничего PDF не открывает. Причем даже под wine он заметно быстрее программ под linux (я не о консольных).
Так забавно! Программа основанная на ядре программы-обработчики PDF портированном из Linux под wine работает быстрее, чем native программы.
> Да, быстрее Sumatra PDF ничего PDF не открывает. Причем даже под wine
> он заметно быстрее программ под linux (я не о консольных).
> Так забавно! Программа основанная на ядре программы-обработчики PDF портированном из Linux
> под wine работает быстрее, чем native программы.mupdf работает мгновенно, на моем опыте и компьютере.
Не знаю кому там что забавно, а обычный evince открывает огроменные PDFники как из пушки. И при этом совершенно не обязательно сношаться с какими-то wine и мутными программами - эта штука в половине дистров из коробки есть.Хотя, возможно, это просто был гнилой пиар какой-то левой программы?
Sumatra хорошая открывашка PDF для Windows. Ну и для Linux, если пользователь изравщенец!!!
Хорошая, но не очень фичастая. Я предпочитаю PDF X-Change Viewer, который в бесплатной версии умеет OCR. Иногда это очень полезно, если PDF сделана из изображений и скопировать оттуда текс, просто выделив его, не выходит.
> Я предпочитаю PDF X-Change Viewer, который в бесплатной версии умеет OCRКруто, надо будет попробовать, а то Okular что производительностью, что фичастостью, не впечатляет.
$#:#%, сборище извращенцев. вы где‐нибудь в интимном уголке не можете делиться своими пикантными увлечениями, обязательно на людях надо?
усира против свободы слова в интернете! как это прекрасно!
интересно, почему любой дегенерат — вот наподобие тебя, например, — уверен, что свобода слова — это когда он, дегенерат, приходит туда, где нормальные люди беседуют, несёт чушь, а все остальные должны эту чушь слушать?впрочем, что взять с дегенератов — было бы удивительно, если бы они понимали даже простейшие вещи.
только в ней редактирования (заполнения полей) нет, что как бы не вариант.
> только в ней редактирования (заполнения полей) нет, что как бы не вариант.Поля заполнять нужно (мне) например намного реже, чем по быстрому просмотреть документ ;)
И вообще - я могу себе позволить держать в системе сразу несколько программулин под это дело: для быстрого просмотра zathura на движке mupdf, для вдумчивого действа окуляр. Ну и для всякой экзотики типа заполнения полей -- адобщину в виртуалочке ;)
Evince, кстати, тоже неплохая открывашка PDF и в windows-версии. Причем оно там не блокирует pdf-файл (его можно перезаписать не закрывая просмотра). И если pdf-файл будет перезаписан, то evince аккуратно перечитает и перерисует оставив вид, по возможности, на том же месте. Иногда очень полезно. Не буду утверждать что это прям уникальная фишка только evince, но так умеют далеко не все pdf-смотрелки (особенно под виндами).
> а обычный evince открывает огроменные PDFники как из пушкиАга, а потом эта "пушка" с таким скрипом страницы перематывает, что ужос...
А чтобы потом вменяемо перемалывало - qpdfview - он, кажется, единственный, имеет вменяемое (в т.ч. настраиваемое) кэширование рендерённых страниц. Да и в самом рендеринге вполне шутср - правда, что за движок использует не помню.Вообще - странно как-то, что так мало софта нормально реализует кэширование.
> Ага, а потом эта "пушка" с таким скрипом страницы перематывает, что ужос...Хз, не заметил. У меня оно довольно резво рендерит невъ...е даташиты по 600 страниц. Даже на умеренном по ресурсам ноуте. В более-менее свежих версиях оно вроде как на 1-2 страницы вперед рендерит и при обычном чтении - процесс рендера мне вообще не видно.
Вот файрфокс - этот да, будет 5 минут истошно рендерить даташит, а потом с вероятностью 50% или сдохнет по OOM, выжрав несколько гигз памяти, или просто не зарендерит половину. Зачем в него такой сблюв добавили, да еще с аргументами про безопасность, весьма забавными в свете сабжа - загадка природы. А кедах еще Okular есть. Хорошая смотрелка, но правда кедоспецифичная. И потому даром не упавшая мне в XFCE. Вкрячивать ради одной смотрелки весь kdecore5 мне как-то сильно обломно.
> даташиты по 600 страницФигня, от количества страниц не зависит. Надо чтоб одна страница была крутой, например комиксы в 4K разрешении. Вот тогда сразу видно как evince тормозит на машинке, которая GTA5 потянула бы без проблем.
PS: упомянутый qpdfview нормально справляется
> Надо чтоб одна страница была крутой, например комиксы в 4K разрешении.Ну я как-то обычно читаю более реалистичные и менее #%%нутые документы. Ну там даташит на проц о 600 страницах, например. И схем навороченых - там хоть отбавляй. Тормозить оно будет если быстро скроллить - оно при этом истошно рендерит контент. А при нормальном темпе чтения оно заранее рендерит и процесс рендера вообще не попадается на глаза.
> которая GTA5 потянула бы без проблем.
Ну окей, пусть эти извращенцы с комиксами в 4К и ищут себе читалку, если им делать больше совсем не...й.
> PS: упомянутый qpdfview нормально справляется
Да и фиг с ним. У меня нет комиксов в 4К. У меня и дисплея то в 4К нет, для начала, самый край 2560х1440, но там и проц и видяха под стать.
А зачем раскидывать ресурсы когда есть инструмент который их экономнее расходует?
> А зачем раскидывать ресурсы когда есть инструмент который их экономнее расходует?Как известно, преждевременная оптимизация - корень всех зол.
> более реалистичныеА чем тебе комиксы то в хайрезе не угодили? Зайди на ту же comixology. Реалистичнее не куда. https://www.comixology.com/My-Little-Pony-Friendship-Is-Magi...
QPdfView 162х страничный PDF за 2 секунды.
> QPdfView 162х страничный PDF за 2 секунды.mupdf, открыть 1360-и страничный PDF (Straustrup4th) – примерно половина секунды, если не меньше ;)
Скроллит примерно со скоростью страниц 30 в секунду (думаю, зависит от настроек автоповтора клавиш), при этом _отображая_ страницы. Насколько я помню, сама программка - демка движка и никаких кэшей или особых хитростий типа "prefetch" там нет, просто "тупoй" рендеринг нужной странички в иксовый буфер.QPdfView открывает тот же документ секунды три и при скроллинге видны только пустые листы. Да и prefetch нужно листов на 8 выставлять, чтобы при беглом просмотре не видеть иногда пустой лист с пиктограммой часов на нем. Ну и памяти жрет примерно раз в десять больше (т.е. где-то 240MБ).
>> mupdf, открыть 1360-и страничный PDF (Straustrup4th) – примерно половина секунды,
>> если не меньше ;)Я раньше тоже mupdf пользовался, но больно не нравится мне его управление... Так бы обратно перешёл.
Отрыл этот же документ QPdfView - действительно тормоз, и памяти у меня отожрал 150Мб, при том, что MuPDF отожрал всего 20МбЗ.Ы. Страуструп монстр, 1361 страница Оо
> Да, быстрее Sumatra PDF ничего PDF не открывает.Суматра твоя сделана на рендерере MuPDF.
> Причем даже под wine он заметно быстрее программ под linux
С нативным mupdf сравнивал? "Заметно быстрее"?
>основанная на ядре программы-обработчики PDF портированном из Linux
> под wine работает быстрее, чем native программы.Закусывать надо. Ещё про скорость, удобство и передовость-и-прорывность win10 рассажи.
> быстрее Sumatra PDFстолько ошибок в названии "Zathura"!
> Причем даже под wine он заметно быстрее программ под linuxПруф будет? Скажем, zathura c плагином "pdf-mupdf" (или просто mupdf) против винутой суматры.
> столько ошибок в названии "Zathura"!А оно забавное, но какое-то совсем уж инопланетное по интерфейсу.
>> столько ошибок в названии "Zathura"!
> А оно забавное, но какое-то совсем уж инопланетное по интерфейсу.vi же.
> vi же.Ну, понимаешь, кэп, у меня даже на ноуте раза в два-три больше кнопок чем на тех дубовых педально-релейных терминалах под которые такие варварские шорткаты делались. Не понимаю нафига себя обрубать до уровня релейных терминалов в 2015 году.
что смешно — vi-like как раз потому продуктивней, что меньше *разных* кнопок использует, ограничиваясь тем, что было на старых терминалах. можно не снимать руки с main row вообще.
> меньше *разных* кнопок использует,А у меня не один палец и поэтому вбахать какой-нибудь лобовой ctrl+somthing или alt+something мне как-то быстрее и проще чем эти каракули.
> руки с main row вообще.
Там всяко shift используется, IIRC. А мне один хрен - shift жать или ctrl/alt/super. Я пальцы для этого никуда и не снимаю.
> А оно забавное, но какое-то совсем уж инопланетное по интерфейсу.не забавнее суматры ;)
http://www.sumatrapdfreader.org/manual.html
> about:config -> pdfjs.disabled = trueПока остается только верить в то что эта опция отключает pdfjs и спасает от уязвимости. Как бы протестировать ее..
> Пока остается только верить в то что эта опция отключает pdfjsМожно намного проще: Preferences -> Applications -> Portable Document -> меняем открывашку на, допустим, always ask.
P.S. ну что, жо...^W мозилла, довертелись с хвастовством что ваш JS - такой из себя безопасный? :)
это не помогает. Заюзать баг, афаик, можно просто из js кода
> это не помогает. Заюзать баг, афаик, можно просто из js кодаНасколько я понял, смысл атаки вроде как нечто типа такого:
1) Подсовыаем лоху "типа, PDF".
2) Лис пытается этот "типа, PDF" посмотреть. С настройками по дефолту - прямо в текущем окне браузера. Дефолтная реакция у него такая на пдфники - смотреть в своей вьюшке, не задавая никаких вопросов.
3) Поскольку "типа, PDF" рендерился упырями из мозиллы в JS, а в "специально скомпонованом PDF" заранее подпиханы данные, которые далее будут ошибочно поняты лисой как свой же JS - фокс начинает лихо выполнять при попытке "просмотра PDF" вражеский JS код из "якобы PDFника". Далее этот код может шариться по системе.Или я чего-то не понял в механизме атаки? Если оно работает вот так - оно, по идее, завалится на шаге 2. А так у мозиллы очень галимо написано описание. Точнее говоря его почти нет. За такое описание проблемы безопасности, при том что боевые сплойты во всю летают - мозилле вообще факофф!
собственно, оно даже не pdf как таковой подпихивает, object с нужным content-type, потом ловит активацию PDF.js (вот тут без PDF.js пункт 2 и обламывается), а потом манипулирует окном PDF.js, добираясь до API, который вывалили в sandbox.и всё было бы совершенно нестрашно, если бы рукожопые дауны из мозиллы выполняли PDF.js в правильно созданой песочнице… но увы. «ведь у нас безопасный жабоскрип, и мы дадим ему полный доступ к системному API. разве может что‐нибудь пойти не так?»
p.s. ну ладно, не полный доступ. частичный. возможность:
1. открыть окно с любым url (уже смешно, да?), и
2. спокойно пошариться по содержимому этого окна.а что делает Ff, когда открывается окно с путём типа «file:///home/petenka/»? ну да, показывает список файлов. а когда «file:///home/petenka/mybankpassword.txt»?
я не разбирался детально, но Суть(tm) эксплойта именно в этом. то есть, даже XPCOM нафиг не упёрся, просто песочница создана с дурацким principal и зачем‐то доступным API на смену location.
> собственно, оно даже не pdf как таковой подпихивает, object с нужным content-type,Ну да. Главное чтобы левый код выполнился.
> потом ловит активацию PDF.js (вот тут без PDF.js пункт 2 и обламывается),
На самом деле он должен бы обломаться раньше, из-за uBlock, который 99% JS просто давит еще на подлете. Но вообще - довольно стремный баг. Так, глядя на то какие экспонаты раздают.
> выполняли PDF.js в правильно созданой песочнице…
Ну для начала "выполнять пдф" звучит довольно странно.
> разве может что‐нибудь пойти не так?»
Действительно. Валидация входных данных? Разделение привилегий? Гадские хипстеры не слышали. Они вообще привыкли что рантайм - безопасный. И подумает за них. Вон тут Xasd меня опять лечить пытается.
> я не разбирался детально, но Суть(tm) эксплойта именно в этом.
Как я понял - он вообще по вилдкардам ищет интересные файлы по всей ФС и гребет лопатой на свой сервак все что минимально интересно. Ну там логины и пароли от ряда программ, а также просто файлы с типовыми названиями от Капитана Очевидность.
Таргетируется оно в основном на технарей и разработчиков, админов, кулхаксоров, кардеров и прочая. Ну то-есть вон та штука на наге - явно не любителями котят интересуется. И даже не их аккаунтами вконтактика и фэйсбучика.
> и зачем‐то доступным API на смену location.
По большому счету имхо там факапнуто вообще все. ПДФ в массе своей "пассивные" данные. Зачем их преобразоывать в код и выполнять - я вообще не понял. Еще менее я понял зачем все это должно быть на JS и в браузере. И еще менее понятно зачем пдфнику уметь вообще хоть что-то кроме как отображаться на экран. В следующий раз мозилла сопрет у меня все файлы когда я открою JPG, который им припрет в JS перегнать?
> На самом деле он должен бы обломаться раньше, из-за uBlock, который 99%
> JS просто давит еще на подлете.я имел в виду «если нет скриптодавилок».
> По большому счету имхо там факапнуто вообще все. ПДФ в массе своей
> "пассивные" данные. Зачем их преобразоывать в код и выполнять - я
> вообще не понял.не преобразовывают, лажа не в этом. лажа в том, что не асилили полностью провалидатить данные, и поэтому стало возможным впихнуть в песочницу свой скрипт. с самим PDF.js всё нормально (ну, насколько с ним вообще может быть нормально), пробив происходит чуть‐чуть в другом месте, ещё до него, фактически.
Не пдф там выполняется. PDF.js — название мозилловской смотрелки, она и выполняется.
Да, героев надо знать в лицо!
> Да, героев надо знать в лицо!Самый угар что этот мегатормоз был написан на JS с аргументом что так безопаснее.
Итог? Оно встает колом на пару минут на любом крупном PDF, валит браузер по OOM, а бонусом оказалось что слухи про безопасность были сильно преувеличены.
>> Да, героев надо знать в лицо!
> Самый угар что этот мегатормоз был написан на JS с аргументом что
> так безопаснее.
> Итог? Оно встает колом на пару минут на любом крупном PDF, валит
> браузер по OOM, а бонусом оказалось что слухи про безопасность были
> сильно преувеличены.Почему преувеличены? Оно не позволяет выполнять произвольный код, например. В данном случае было лишь чтение пользовательских файлов.
> Почему преувеличены? Оно не позволяет выполнять произвольный код, например.Вообще-то как раз позволяет: JS который обходит разделение прав - пашет с правами процесса браузера. И потому способен шариться по всей системе и делать все что пожелает. И там вполне себе будет произвольный код на JS, вгруженный ремотой. Потому и критичная дыра, собссно.
> В данном случае было лишь чтение пользовательских файлов.
Нифига себе "лишь". Если на то пошло - сишная программа от лица непривилегированного пользователя может не сильно больше.
Если кто не понял, проблема не в том на си оно или на JS, а в том что ремота может инициировать вредное для пользователя действие. А на каком это языке - дело десятое. Вон в BfW от питона в аддонах отказались, потому что там нельзя изолировать скрипт от системы. А аддон разламывающий пользователю систему - это не есть правильно. Вот они и перешли на Lua. Где прежде всего всякие там файловые операции и оторваны на корню, как наиболее проблемные.
>> В данном случае было лишь чтение пользовательских файлов.
> Нифига себе "лишь". Если на то пошло - сишная программа от лица
> непривилегированного пользователя может не сильно больше.да, фактически, с правами system principal можно всё, что может сишный софт. во‐первых, в mozilla platform куча всяких интересных компонентов «для всего», а во‐вторых, можно даже пнуть компилятор и запустить его выхлоп, если в системе компилятор есть, гыг. вся мощь XPCOM под рукой, чо.
и всё это с правами пользователя, так как браузер обычно запускают без песочниц. в том числе, например, файрвол будет считать, что это браузер инициирует соединения, так что их можно спокойно пропускать. красота! и никакого инжекта странного бинарного кода — наконец‐то, как тут в комментариях где‐то написали, сплойты действительно стали кроссплатформенными!
> да, фактически, с правами system principal можно всё, что может сишный софт.Именно. Какая мне разница, на чем написан софт который неконтролируемо шарится по моей системе.
> во‐первых, в mozilla platform куча всяких интересных компонентов «для всего»,
А учитывая что браузер зачастую главная мишень где есть чем поживиться, пожалуй JS еще и в плюсе окажется - можно удобно доступиться к куче требухи в браузере.
> а во‐вторых, можно даже пнуть компилятор и запустить его выхлоп,
Или просто наэхать батник/шелскрипт, записать файл с программой, пропатчить стартовый скрипт гденить, etc.
> так как браузер обычно запускают без песочниц.
Ну это где как, на самом деле. Хром какой-нибудь воркеров в песочницы загоняет.
> в том числе, например, файрвол будет считать, что это браузер
> инициирует соединения,Потому что это - "браузер инициирует соединения". Просто браузером теперь ремотно рулит ремота и это вообще-то довольно большое попадание.
>> так как браузер обычно запускают без песочниц.
> Ну это где как, на самом деле. Хром какой-нибудь воркеров в песочницы
> загоняет.мозилла тоже. но то воркеры, а то код с system principal. на самом деле всё в порядке у мозиллы с js sandboxing — но облажаться это никак не мешает, тупо где‐то забыв сделать песочницу или высунув в песочницу один лишний API.
> самом деле всё в порядке у мозиллы с js sandboxing —На самом деле у мозиллы дофига кода и половина работает с обычными правами пользователя. Из каких-то таких соображений гугель и отпилил наиболее увесистых воркеров в песочницы "дополнительно" - там даже если вышла лажа, брать в абсолютно пустом контейнере совершенно нечего.
Я кстати ни разу не видел сплойт на хромого с обходом этих песочниц. Обычно обход все и вся делают для виндовой версии - как там песочницы сделаны я не знаю. В лине это обычный clone() c флагами новых namespaces в запускаче браузера. Дешево и сердито.
ты путаешь две совершенно разные платформы. mozilla platform — очень интересный зверёк, но она ж не хром. она изначально задумана в таком виде — как набор компонентов, склеиваемый при помощи js. а ты зачем‐то смешиваешь в кучу xre сотоварищи и js-код из веба, хотя внутри mozilla platform разделение очень чёткое, и вебовый код рассажен по песочницам.проблема‐то не в том, куда воркеров прятать, проблема в том, что браузер нагружают вещами, которые он делать вовсе не должен. ну, создавали бы песочницы из c++ — точно так же могли бы прохлопать.
оригинал‐то был сделан умно: UI js отдельно, страницы отдельно, и код со страниц хоть лопнет, а в UI не попадёт, если в песочницу специально API не высунули. никто ж не думал, что мир сойдёт с ума, и то, что следует делать если и не отдельным приложением, то как максимум — отдельным бинарным XPCOM-компонентом, будут на чистом js шуровать.
cама по себе mozilla platform не виновата в том, что её пытаются использовать не так и не для того, для чего она задумывалась.
> mozilla platform разделение очень чёткое, и вебовый код рассажен по песочницам.Смотря что понимать под очень четким. Все это крутится в одном процессе, а за разделение прав там нынче отвечают стремноватого вида хипстеры. Я им тут как-то репортнул что в всегда-приватном режиме, если разрешить прием кук - их не видно в манагере кук (используется временный стораж, а просмотрщик кук в него не умеет), но реально куки ЕСТЬ и даже ШЛЮТСЯ НА СЕРВЕР. И их невозможно снести, хе-хе. Это при том что юзер приватный режим запросил (!!!) и мозила-тормозила что-то там вякала про поддержку Tor (с такими багами то?). И вот это они не починили .. ну хз, полгода точно. А может и год. Если не два. Если они такую жирную логическую плюху подставляющую юзерей не могут столько времени починить - я как-то совсем не буду уверен в их способности хорошо управляться с разделением привилегий. Пусть этим кто покомпетентнее занимается. Да и с учетом rowhammer, идея запускать хоть какой-то код снаружи лишний раз - выглядит довольно на любителя.... любителя носить винчи на программатор, супер-руткиты вышибать :)
> проблема‐то не в том, куда воркеров прятать, проблема в том, что браузер
> нагружают вещами, которые он делать вовсе не должен.Ну и это тоже. Вон свежий пример с rowhammer@js в соседней новости висит :)
> cама по себе mozilla platform не виновата в том, что её пытаются
> использовать не так и не для того, для чего она задумывалась.Да там у них в целом разработчики долбанулись на почве маркетоидов. Они наверняка хотят себе свою "экосистему" с "магазином приложений". Ну так, на почве файрфоксоса головного мозга.
> а за разделение прав там нынче отвечают стремноватого вида хипстеры.а это как раз и относится к тому, что mozilla platform писали одни, а портят её другие. вдобавок, третьи (или те же вторые) ещё и «рефакторят» её, зачастую ломая то, в чём не очень понимают.
> Да там у них в целом разработчики долбанулись на почве маркетоидов. Они
> наверняка хотят себе свою "экосистему" с "магазином приложений". Ну так, на
> почве файрфоксоса головного мозга.карго‐культ как он есть. «у гуглехрома сработало, у огрызка сработало — надо скопировать, авось и у нас сработает!» вообще без понимания, что мозилла изначально была совсем не о том.
> ещё и «рефакторят» её, зачастую ломая то, в чём не очень понимают.И что хуже - отпускают заведомо ложные заявления. А потом "безопасный" модуль duq пи...т у юзерья все ценное файло на системе. Безопаснее некуда. Да это вообще одна из самых крутых атак на лису за всю историю вообще на моей памяти.
> карго‐культ как он есть. «у гуглехрома сработало, у огрызка сработало —
> надо скопировать, авось и у нас сработает!»Сработало: большому кораблю - большая торпеда!
p.s. с таким повреждением мозгов, как у теперешней мозиллы, и e10s не спасёт. судя по эксплоиту — дубокодеры не провалидатили толком контент, поступающий на вход PDF.js. ну, крутился бы PDF.js в отдельном процессе — это неважно, всё равно внедряется код с правами system principal, и дальше уже пофигу, e10s это или что‐то другое.
> на вход PDF.js. ну, крутился бы PDF.js в отдельном процессе —Если бы он крутился в отдельной _песочнице_ - duq бы упер сильно меньше данных на пожевать.
>> на вход PDF.js. ну, крутился бы PDF.js в отдельном процессе —
> Если бы он крутился в отдельной _песочнице_ - duq бы упер сильно
> меньше данных на пожевать.нет. он написан такими же идиотами, как те, которые удивляются, зачем приличные демоны, если запущены от рута, первым делом скидывают с себя рутовые привилегии, становясь каким‐нибудь очень ограниченым чуть ли не nobody. от разрухи в голове никакие песочницы не спасут, будь то js-песочницы, или песочницы процессов.
изолировать PDF.js внутри `Cu.Sandbox()` можно и без разнесения по процессам, и никто не мешал так и сделать, не пропихивая в песочницу вообще никакого API, кроме «вот тебе открытый поток с pdf-файлом, и вот тебе окно с DOM, в котором кроме DOM-манипуляторов никаких больше апей нет; и вообще, мы вам весь доступ в интернеты зарубили на уровне necko». всё, при таких раскладах даже если какой‐то дурак и пробьётся в эту камеру — он не то, что произвольный файл открыть не сможет, он даже картинку откуда‐то из внешнего источника не получит. причём делать это надо сразу как только вызвался обработчик pdf, и только потом уже пихать в него «data:».
но так бы сделали нормальные инженеры, а не хипстота из тормозиллы.
> нет. он написан такими же идиoтами, как те, которые удивляются, зачем приличные
> демоны, если запущены от рута, первым делом скидывают с себя рутовые привилегии,Там чисто технически тырились бы без проблем разве что сильно некоторые данные одного таба. Не больно какая добыча. А разнос контейнеров требует уже ядро системы сломать. Это конечно тоже теоретически возможно, но там все-таки профессиональные ядерщики играют. И обыграть их на их же поле - сложнее чем кучу мягкотелой хипстоты. Да, я качеству кода майнлайна доверяю сильно больше чем файрфоксохипстоте с их "JS нас спасет от всех проблем".
> в голове никакие песочницы не спасут, будь то js-песочницы, или песочницы процессов.
Все так. Но чем больше барьеров на пути взломщика - тем меньше взломщиков доберется до финиша.
> изолировать PDF.js внутри `Cu.Sandbox()` можно и без разнесения по процессам,
Там скорее смысл в изоляции данных. В контейнере с пустой ФС и пустым списком процессов просто нечего грабить, так что даже если все профакапилось, толку с этого вот так с наскока - мало. А данные из основной системы оно получает через пипетку в виде RPC-апи с мастер-процессом, весьма дозированно. Так что процесс-вкладка хрома чисто технически испытывает большие сложности с тем чтобы что-нибудь ценное упереть из системы. Поломать clone()-овские контейнеры наверное можно. Но это целый большой, отдельный и не менее эпичный взлом...
> не сможет, он даже картинку откуда‐то из внешнего источника не получит.
Если честно, сама по себе идея конвертить пдфник в js видится мне достаточно спорной.
> но так бы сделали нормальные инженеры, а не хипстота из тормoзиллы.
Нормальные инженеры не стали бы такии изврaтом как pdf.js заниматься вообще, имхо. И не занимались, что характерно.
>> нет. он написан такими же идиoтами, как те, которые удивляются, зачем приличные
>> демоны, если запущены от рута, первым делом скидывают с себя рутовые привилегии,
> Там чисто технически тырились бы без проблем разве что сильно некоторые данные
> одного таба.ты снова ничего не понимаешь в архитектуре mozilla platform. таки я тебе заново скажу, что никакой разницы вообще, отдельный это процесс или нет. ну нельзя сейчас обрубать доступ к XPCOM процессам, нельзя. технически — можно, а практически — надо всю платформу переписывать. не чинить, а переписывать нафиг. и, главное, совершенно зря, потому что у платформы есть все необходимые средства для организации песочниц, просто у кого‐то руки из задницы растут.
да, они пытаются сделать в e10s строгий message passing. налазит, как пилотка на слона. зато платформу при этом доламывают с завидным залихватством.
>> в голове никакие песочницы не спасут, будь то js-песочницы, или песочницы процессов.
> Все так. Но чем больше барьеров на пути взломщика - тем меньше
> взломщиков доберется до финиша.чем больше барьеров — тем больше в них дырок. просто по правилу: «больше кода — больше багов». есть уже все нужные механизмы, много лет как есть. не надо ничего нового там делать, особенно не надо теперешним мозиллакодерам.
>> изолировать PDF.js внутри `Cu.Sandbox()` можно и без разнесения по процессам,
> Там скорее смысл в изоляции данных. В контейнере с пустой ФС и
> пустым списком процессов просто нечего грабить, так что даже если все
> профакапилось, толку с этого вот так с наскока - мало.изоляция данных достигается в mozilla platform очень просто: не высоваванием в sandbox API, при помощи которого можно эти данные получить. всё. реализованой технологии сто лет в обед. и она *ничем* не хуже хромога, она просто *другая*. но дебилы из тормозиллы не умеют её использовать.
>> не сможет, он даже картинку откуда‐то из внешнего источника не получит.
> Если честно, сама по себе идея конвертить пдфник в js видится мне
> достаточно спорной.а это уже совсем другая история. предположим, что всё‐таки захотелось. :-)
>> но так бы сделали нормальные инженеры, а не хипстота из тормoзиллы.
> Нормальные инженеры не стали бы такии изврaтом как pdf.js заниматься вообще, имхо.
> И не занимались, что характерно.опять же: предположим — умственного эксперимента для — что занялись. мой спич о том, что если бы занялись — то сделали бы нормально, потому что все нужные механизмы в платформе есть, отлаженые и работающие. и никакого — совершенно никакого — смысла *в* *данном* *случае* тормозить тормозиллу ещё больше, обёртывая это в message passing, нет.
поверь уж мне на слово: я с некоторых пор весьма увлечённо копаюсь в коде pale moon, и сейчас вовсе не теорезирую, а как раз по свежей памяти пишу.
> ты снова ничего не понимаешь в архитектуре mozilla platform.Это был отсыл к архитектуре песочниц хрома. Если уж они так хотят походить на хром...
> заново скажу, что никакой разницы вообще, отдельный это процесс или нет.
Если сделано как в хроме - разница огромная: процессы-вкладки хрома отделены в отдельные пустые контейнеры, средствами OS (в линухе - вызовом clone(), в новые namespace). И даже в самом плохом случае, когда в браузере всё прошибли - хацкер попадает не в настоящую ОС, а в пустой скучный контейнер. Где грабить нечего.
> ну нельзя сейчас обрубать доступ к XPCOM процессам, нельзя. технически —
> можно, а практически — надо всю платформу переписывать.Просто если уж они взялись electrolisys пилить - наверное логично было бы нормально это делать. А пока там получается франкенштейн.
> все необходимые средства для организации песочниц, просто у кого‐то руки из
> зaдницы растут.Я просто к тому что если уж они хотят многопроцессность - гугл уже показал как ее делать нормально. С OS-level изоляцией процессов друг от друга. А мозилла пока рискует продолбаться, наломать дров и сделать "ни два, ни полтора". Особенно с своими хипстерами-маковиндyзoдами.
> да, они пытаются сделать в e10s строгий message passing.
Наверное посмотерли как это делать не через ж... на примере гуглохрома. Захотелось так же. Только фокс всегда делался под другие реалии. Вот и учат ежа летать.
> чем больше барьеров — тем больше в них дырок.
Ну да. Но другой стороны - вероятность обойти ВСЕ барьеры, если их много - стремится к нулю. Особенно для автоматики, типа того что тут летала. А выделять на каждого скрипткидя по крутому хакеру для детального анализа конфиги и ручной персонализации - не по зубам даже самым-самым атакующим. Это вообше tarpit получается. Думаешь, у какого-нибудь xasd есть чего-то ценное на его машине? :)
> «больше кода — больше багов».
С другой стороны есть еще квалификация спецов, качество кода и вероятность успешного взлома. Если взломщику приходится сталкиваться с кучей барьеров в разных системах - сложность взлома растет, шансы на успех падают. И какой-нибудь линуксовый кернель с динамичным развитием - неудобная мишень. Часто меняется, куча разных ядер в ходу, при неуспехе срабатывания - с высокой вероятностью окажется технарь который быстренько трейс посмотрит и сделает выводы. В общем неудобненько получается. Хоть и не панацея.
> надо теперешним мозиллакодерам.
Этим вообще лучше всего выращивать рассаду, имхо.
> API, при помощи которого можно эти данные получить.
По большому счету я бы пожалуй предпочел изоляцию по отдельным процессам а-ля хром. При условии что процессы отрезаны в отдельные контейнеры.
Это из вот каких соображений: чтобы жевать все эти HTML и JS надо хучу кода. И багов там тоже хуча. Поэтому было бы логично если бы арбитраж, message passing и прочая делал бы простой и легкий процесс (без багов). А тяжелые и забагованные были бы отрезаны в отдельные OS-level песочницы. Где брать нечего.
> сто лет в обед. и она *ничем* не хуже хромoга,
Мне не нравится что все и вся делает один большой процесс с кучей кода. У гугли вред от багов в парсере хтмл и прочих JS - минимизируется контейнерами. Даже если что-то прошибли - ок, процесс работал только со своими данными страницы откуда это прилетело.
И кроме того - этот код у меня в системе всяко есть в кернеле. Я нахожу глупым что он не работает на мое благо. Ну да, гугл может позволить себе сделать браузер не через ж... и даже поюзать os-specific улучшения если это укрепляет браузер. А виндозно-макосная хипстoта в мозилле нынче может только портить то что создано до них.
> она просто *другая*. но дeбилы из тoрмoзиллы не умеют её использовать.
Ну это то понятно, НО мысль вынести всякие там тяжелые и бажные вещи типа парсера хтмыла и JS в отдельный процесс и зарубить ему выход в оновную систему имхо имеет некий пойнт.
Из недостатков - гaдит в список процессов и прожорливое.
> а это уже совсем другая история. предположим, что всё‐таки захотелось. :-)
Ну я вот не фанат таких хотелок.
> о том, что если бы занялись — то сделали бы нормально,
Ну да.
> потому что все нужные механизмы в платформе есть,
Это из разряда "в WinXP есть все нужные механизмы для того чтобы не сидеть под админом" :)
> и никакого — совершенно никакого — смысла *в* *данном* *случае* тормозить
> тoрмoзиллу ещё больше, обёртывая это в message passing, нет.Они наверное хотят постепенно сделать все "совсем как в хроме". А это просто промежуточная стадия эволюции, а потому - франкенштейн. Правда на их месте я бы тогда просто взял двигун хрома. Ну раз уж им так нравится как все в хроме сделано, начиная от формы вкладок...
> в коде pale moon, и сейчас вовсе не теорезирую, а как раз по свежей памяти пишу.
Хм, забавно. И что скажешь про код этой штуки? И, главное про PaleMoon как таковой? Насколько авторы внушают доверие vs мозилла? Насколько там всякие брендинговые подляны случаются? Ну и все такое прочее.
>> в коде pale moon, и сейчас вовсе не теорезирую, а как раз по свежей памяти пишу.
> Хм, забавно. И что скажешь про код этой штуки?старая добрая мозилла времён когда только начали сходить с ума, а потому ничего сильно попортить ещё не успели. автор PM от мозиллохипстеров тоже плюётся и говорит, что хромиум скачивают на сайте хромиума, если уж так хочется.
за кодом автор следит, нужные фичи потихоньку пилит, ненужные не пилит. в целом — подход у него очень здравый, мне нравится. взаимодействовать легко, на вопросы отвечает внятно и приятно.
нет, код не «протухший». к уязвимостям относится внимательно, за тормозилловыми следит (как ни забавно, кучи новых уязвимостей в PM попросту нет — потому что вовремя отфоркались).
пилить всякие e10s автор не желает, потому что см. про хромиум. также считает, что браузер — он чтобы браузить, а всякие пыдыфыжысы, уебрэтэцэ, социалочки и прочая чушь к браузингу не относится. кому надо — пусть расширения пилят.
в общем — взят за основу стабильный код мозиллы времён «ещё не начали крушить». действительно стабильный: у меня git HEAD неделями не падает, память не выжирает дурниной.
интерфейс никто в угоду моднявости ломать не собирается, овцтралис тем более не будут делать.
> И, главное про
> PaleMoon как таковой? Насколько авторы внушают доверие vs мозилла? Насколько там
> всякие брендинговые подляны случаются? Ну и все такое прочее.пока что никакого западла от автора не видел. автор активно общается с пользователями на форуме, слушает их, и — по нынешним временам чудо — слышит. в добавлении модных хипстерских фич не замечен. в выкидывании фич просто так, потому что «а чего оно тут» — тоже. разве что девконсоль хотел выкинуть, но и то не стал, потому что юзеры завозмущались и сказали, что пусть будет в коробке: оно хоть и куцее, а полезное.
из добавленого «отпечатка» — по‐умолчанию поисковиком стоит ddg, отправляющий токен «я ищу из pale moon». про это открыто написано на форуме, и если не нравится — можно ddg выкинуть и добавить свой. в следующей версии, видимо, будет нормальный изкоробочный редактор поисковых движков, а не куцее окно «назначить алиас», и можно будет спокойно отредактировать, не лазя даже в xml. ну, если жаба давит хоть так автора отблагодарить. :-)
синкается тоже с сервером PM, если синк включен. можно не включать, и синкать любым аддоном для синков, делов‐то.
также периодически ходит на сервер PM за списком заблоченых аддонов. блочат обычно то, что совсем уже никак нормально не работает. тормозилла тоже так делала всегда, ничего нового. я вообще это отключил у себя нафиг (как и полагается — extensions.blocklist.enabled, никакого шаманства).
так называемым «fraud protection» не страдает, никакие «хэши адресов» никуда не шлёт. автор считает, что задача браузера — отображать контент, а не водить идиотов за ручку. но при этом в недавнем релизе слабые ssl-шифры по‐умолчанию отключены, например (отчего на форуме юзеры иногда бугуртят). понятно, можно включить взад.
автор утверждает, что «монетизировать» PM в новомодных тенденциях не собирается, и что много денег, конечно, взял бы — но только на своих условиях. в условия важным пунктом входит «браузер должен подчиняться юзеру, а не наоборот». и «браузер для браузинга, свистелки и перделки добавляйте расширениями, если хочется».
в общем, резюме: пока что автор ни разу не наврал, в западле замечен не был, от декларированых принципов не отступал, и принципы эти мне нравятся. настолько, что я уже не пользователь оперы. совсем. возможно, даже буду контрибутором PM, ежели время и лень позволят.
как‐то так.
p.s. и нет, это не «сборка Ff», это давно уже полноценный форк. :-)
>Они наверняка хотят себе свою "экосистему" с "магазином приложений".
> > так как браузер обычно запускают без песочниц.
> Ну это где как, на самом деле. Хром какой-нибудь воркеров в песочницы загоняет.Можно же и сам фаерфокс запускать, скажем, от отдельного юзера. Хотя бы.
можно много чего сделать. но будет ли этим заморачиваться casual user?
p.s. а вообще — конечно, всего лишь смогли спереть все пользовательские пароли и ssh-ключи. подумаешь, мелочь какая.
Так что за сайт то? Как я узнаю заходил я туда или нет.
оставил комментарий с этим вопросом:
https://blog.mozilla.org/security/2015/08/06/firefox-exploit...
А что за помойка "общей тематики"?
да скажите наконец то что за сайт
Мало того что сделали самый убогий pdf вьювер в мире, так ещё и умудрились такие косяки наделать.
Зато на javascript'e. Модно, стильно, молодежно.
действительно, сказали бы что за сайт
надеюсь, ноускрипт тоже не пропускает тот блок
Многие тут спрашивают в комментах "что за сайт был". Задал этот вопрос здесь: https://blog.mozilla.org/security/2015/08/06/firefox-exploit...
39-я мобильная версия стабильно падает на newsru.com
> 39-я мобильная версия стабильно падает на newsru.comУ меня 39-я мобильная падает постоянно и без pdf-ок на Nexus 4 и Nexus 7 с последними ночными CyanogenMod. С предыдущими версиями FF такого не замечал. На десктопе всё стабильно.
так падает же повторяемо? значит, стабильная версия со стабильными падениями.
> так падает же повторяемо? значит, стабильная версия со стабильными падениями.Не воспроизводимо, скорее почти случайно, [Send Report] или как её там несколько раз нажимал, надеюсь пофиксят. Может и не в FF дело, а в CM что-нибудь поломали, пока лень разбираться... Когда Лису только портировали на Android стабильнее было, что-то с 39-ой версией не то, имхо.
«что‐то не то» с кодовой базой уже давно: как её начали активно «рефакторить», а сверху добавили «rapid releases» — так и. тут не до стабильности, тут релизы клепать надо!
Ее начали реFUCKторить. То вкладки переделают, то DRM запилят, то pocket завнедрячат, то рекламу в новых вкладках, то оказывается что рекламу отключают - срочно приходится выпиливать настройку страницы в новых вкладках, иначе рекламу никто не смотрит. Когда уж тут нормальные продукты то кодить? С продажниками все время занято маркетинговым булшитом.
они и внутри активно перетряхивают код, который до этого годами работал и каши не просил. причём зачастую без особого смысла, просто чтобы «украсивить и поменять». старый код уже немодный, а глупый Джоэль со своей статьёй про «не надо переписывать с нуля» очевидно же ерунду пишет.
> ...а глупый Джоэль со своей статьёй про «не надо переписывать с нуля» очевидно же ерунду пишет.И, насколько я помню, в той статье этот Джоэль писал (в качестве реального и показательного примера)... про браузер!!! Уж и места-то не оставил для толкований и сомнений типа "подходит ли для нашего случая?" и "у нас же совсем другой тип продукта - к нам неприменимо!" ))
не менее смешно то, что сама мозилла родилась из фатального решения нетскейпа «а давайте теперь весь браузер перепишем иначе!» даже как‐то неудобно напоминать, где теперь netscape navigator, и сколько понадобилось пыхтеть, чтобы выпустить первый рабочий релиз самой мозиллы…
> не менее смешно то, что сама мозилла родилась из фатального решения нетскейпа
> «а давайте теперь весь браузер перепишем иначе!» даже как‐то неудобно
> напоминать, где теперь netscape navigator, и сколько понадобилось пыхтеть, чтобы выпустить
> первый рабочий релиз самой мозиллы…Точно! Джоэль-то и писал, вроде, о той самой версии netscape, которую переписывали как раз на новом модном коде mozilla! Вот уж воистину "Кто не помнит своего прошлого..."
а знаешь, что ещё дико смешно? цитата из переписки с автором pale moon:> Pale Moon doesn't use expanded principals because it doesn't need them (it's an e10s requirement, I think).
то бишь. эксплоит пользуется дыркой, которая возникла именно потому, что мозилловцы решили разнести Ff на кучу независимых процессов, и поэтому PDF.js в Ff требуется principal с расширеными привилегиями. в версиях без e10s расширеный principal был не нужен, и потому они не имеют уязвимости.
ну чо, отлично, ящитаю, так держать. безопасность во все поля, изолированые процессы жы!
Ух ты, а мозилла таки таланты. Такие креативные баги сажать умеет далеко не каждый первый.
> Ух ты, а мозилла таки таланты. Такие креативные баги сажать умеет далеко
> не каждый первый.работают. стараются. улучшают безопасность и изоляцию.
> работают. стараются. улучшают безопасность и изоляцию.Кого же мне это напоминает... а, были там как-то перцы. В 1986 году. Ставили эксперимент - "для улучшения безопасности".
Подозреваю что они сделают "как в хроме". А до тех пор - вот вам франкенштейн.
> так падает же повторяемо? значит, стабильная версия со стабильными падениями.Да у мозиллы вообще каждая версия все трэшовее и угарнее. Стабильность - признак мастерства!
раньше хакерам пришлось бы подбирать адреса памяти и искать всякие там rop-гаджеты для каждой целевой платформы, теперь же всё просто - один эксплойт работает на всех платформах, вплоть до самых диковинных. кроссплатформенность, однако
а ведь сколько говорят всяким идиотам: браузер — он для просмотра страниц. а не для всякой левой фигни (включая «уеб‐приложения»). казалось бы, до гусеницы уже дойти должно — но нет, люди тупее гусениц.
Тут скорее мозилле отлилось ее бахвальство с тем что JS - это вам не сишечка, он безопасный, типа. Вот как-то и получается что у DJB его программы на си сломать не могут, а у мозиллы и на JS даже ломают. Потому что понабрали всяких хиптоу...нов и маркетоидов по объявлению.
js-то более‐менее безопасный, тут они правы. если это сферический js в вакууме. а когда у вас весь браузер на JS (ну ладно, не весь, кроме низкоуровневых подсистем, которые всё равно тупо набор компонентов), то облажаться с изоляцией становится значительно легче. пропустил какую‐нибудь мелочь — и ФИГАК! левый js-код работает с правами system principal.
> js-то более‐менее безопасный, тут они правы. если это сферический js в вакууме.Ну так числокрушилка без IO - относительно безвредная штука. А вот как только появляется IO во внешний мир, так у левого кода появляется и возможность его нецелевого использования.
> облажаться с изоляцией становится значительно легче.
Вот именно.
А если кому-то из разработчиков АНБ проплатил небольшую "ошибочку", то еще легче...
Не зря я первым делом при свежей установке отключаю этот pdf.js и прочие свистоперделки, которыми раздули лисицу.Полный список свистоперделок тут: https://github.com/The-OP/Fox/tree/master/prefs
===>>> The following actions will be taken if you choose to proceed:
Upgrade firefox-39.0,1 to firefox-40.0,1
Install databases/py-sqlite3
Install devel/autoconf213
Upgrade firefox-i18n-39.0 to firefox-i18n-40.0
> Install databases/py-sqlite3
> Install devel/autoconf213Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у пакета?
> Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у
> пакета?ну, если оно ставит dev-окружение, то как минимум 213-е автотулзы да, потому что мозилла для сборки требует именно их.
> ну, если оно ставит dev-окружение, то как минимум 213-е автотулзы да, потому
> что мозилла для сборки требует именно их.Я думал что изя хвастается бинарными пакетами. А там какая-то бидонодрянь для скулайта, никуда не впершаяся лисе и какие-то автотулсы. У автотулсов, btw, вообще довольно много зависимостей, даром не впершихся простому юзвергу. А что изен делает с автотулсами - для меня вообще загадка природы...
213‒е автотулзы — вполне себе стэндалон, могущий сосуществовать с другими. в частности и потому, что они нужны для сборки всякого типа мозиллы, которая категорически не работает с автотулзами других версий.а вот зачем там питонячий скулит — этого не знаю. pale moon его для сборки не требует. хотя питон таки нужен, на нём написано немного клея.
> 213‒е автотулзы — вполне себе стэндалон,Ээээ насчет 213 не помню, но автотулсы вроде всегда хотели еще и m4, и даже чуть ли не перловку. Интересно, а у бояздэшников "мягкие" зависимости типа suggests/recommends - есть?
> а вот зачем там питонячий скулит — этого не знаю.
Вот я тоже думаю - он вообще к чему. Майнтайнер писал зависимости пакета с бодунища?
> написано немного клея.
Повбывав бы.
>> 213‒е автотулзы — вполне себе стэндалон,
> Ээээ насчет 213 не помню, но автотулсы вроде всегда хотели еще и
> m4, и даже чуть ли не перловку.ну, m4 таки есть же, не думаю, что это первый собираемый из сырцов пакет. да и готовый конфигур в дереве мозиллы лежит. но тем не менее, сборка отказывается работать, если не находит 213-е. ну, вот так вот сделано.
>> написано немного клея.
> Повбывав бы.да какая разница. ну, накидали быстрогенераторы всякой фигни — как раз самое применение для. тут пофигу, какой язык брать, лишь бы батареек много было, чтобы не заниматься изобретением с нуля того, что нужно один раз при сборке.
>> Install databases/py-sqlite3
>> Install devel/autoconf213
> Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у
> пакета?Какой пакет? Что за мода, вопить не разобравшись?
http://www.freshports.org/www/firefox/ см. build-deps
Это для сборки. И что-то мне кажется, что это не отсебятина мейнтейнера порта.
>> Install databases/py-sqlite3
>> Install devel/autoconf213
> Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у пакета?Это - пакеты поддержки сборки. Убунтятам не понять.
> Это - пакеты поддержки сборки.Лол, ты поставил пакетную систему чтобы ... самому один хрен все компилить? :)
> Убунтятам не понять.
Действительно - инопланетная логика.
===> Compilation failed unexpectedly.
Try to set MAKE_JOBS_UNSAFE=yes and rebuild before reporting the failure to
the maintainer.
*** Error code 1Stop.
make[1]: stopped in /usr/ports/www/firefox
*** Error code 1Stop.
make: stopped in /usr/ports/www/firefox===>>> make build failed for www/firefox
===>>> Aborting update===>>> Update for www/firefox failed
===>>> Aborting update===>>> The following actions were performed:
Installation of devel/gettext-tools (gettext-tools-0.19.4)
Installation of devel/gmake (gmake-4.1_2)
Installation of devel/pkgconf (pkgconf-0.9.12)
Installation of multimedia/v4l_compat (v4l_compat-1.6.3)
Installation of devel/xorg-macros (xorg-macros-1.19.0)
Installation of x11/glproto (glproto-1.4.17)===>>> Deleting installed build-only dependencies
Updating database digests format: 100%
Checking integrity... done (0 conflicting)
Deinstallation has been requested for the following 6 packages (of 0 packages in the universe):Installed packages to be REMOVED:
gettext-tools-0.19.4
gmake-4.1_2
pkgconf-0.9.12
v4l_compat-1.6.3
xorg-macros-1.19.0
glproto-1.4.17The operation will free 10 MiB.
[1/6] Deinstalling gettext-tools-0.19.4...
[1/6] Deleting files for gettext-tools-0.19.4: 100%
[2/6] Deinstalling gmake-4.1_2...
[2/6] Deleting files for gmake-4.1_2: 100%
[3/6] Deinstalling pkgconf-0.9.12...
[3/6] Deleting files for pkgconf-0.9.12: 100%
[4/6] Deinstalling v4l_compat-1.6.3...
[4/6] Deleting files for v4l_compat-1.6.3: 100%
[5/6] Deinstalling xorg-macros-1.19.0...
[5/6] Deleting files for xorg-macros-1.19.0: 100%
[6/6] Deinstalling glproto-1.4.17...
[6/6] Deleting files for glproto-1.4.17: 100%
===>>> You can restart from the point of failure with this command line:
portmaster <flags> www/firefox www/firefox-i18nНе выходит каменный цветок.
% pkg info -x firefox
firefox-40.0_1,1
firefox-i18n-40.0Ух, отлегло...
У меня, кажется, есть живой экземпляр. То ли самого зловреда, то ли нагрузки. Во всяком случае список файлов внутри очень описываемый похож. Куда сейчас принято подобное складывать/выкладывать и стоит ли?
на rghost. туда всю фигню складывают.
А дальше? Куда ссылку кидать? И, повторю - стоит ли?
> А дальше? Куда ссылку кидать?Сюда же и кидай - тут в основном все-таки не секретарши. А если кто скачает опасный экспонат, не умея им пользоваться - так ему и надо! Пусть вообще в саперы идет с такой самоуверенностью. Можешь еще антивирусникам разослать на анализ. Правда, глядя на хабрахабре как каспер инжектит на все страницы свое спайваре - большой вопрос кто хуже: вирусы или антивирусы ;)
> И, повторю - стоит ли?
Учитывая что оно летает по всему интернету настолько что это заметила мозилла - врядли ты откроешь америку.
>> А дальше? Куда ссылку кидать?Ну хорошо. http://rghost.net/6HTzsrdLR
Но это, скорее всего, только нагрузка, всю цепочку у меня развернуть умения не хватает.Кто хочет весь комлект - поймано на forum.nag.ru Оно там, кажется, все еще активно.
по первому взгляду — это именно склееная нагрузка и пробивалка: она таки пытается «data:application/x-moz-playpreview-pdfjs» формировать.
Действительно, по многим признакам это выглядит как агрессивная пакость, эксплуатирующая сабжевый баг.Насколько я понимаю - оно пытается собирать данные для проведения дальнейших атак на иные ресурсы (возможно что наг для атак выбран не случайно: там сетевиков много, у них много интересных доступов -> ожидайте интересных взломов инфраструктуры).
Win, Mac и Linux каждому уделено персональное внимание, с отдельным списком потенциально интересных файлов и программ которые можно упереть в каждой из ОС.
Так что если у кого были какие-то приватные ключи ssh, без пароля, на одном юзере с лисой - поздравляю, быстренько бегите рекеить машины. Иначе там скоро поселятся подозрительные личности, используя ваши же ключи. Если еще не. Это же касается и файлов с паролями - типовые глупые имена файлов там как раз прописаны. Это конечно глуповатый data harvesting, но будучи произведеным на nag.ru а не вконтакте - он может дать и довольно интересный результат.
При том некоторые куски этой штуки наводят меня на мысль что это, возможно, какой-то родственник (или просто очередной модуль) небезызвестного dq (duq) или как там его правильно. Ну в общем того большого комплекса боевого ПО, сделанного кучей профи. Некоторые подходы и обозначения - напоминают именно этих субъектов.
Так что отправляй как это антивирусникам на анализ. Их кажется ждет интересное приключение в мире кибервойн.
А, да, админов нага пни что там у них идет такая атака. Там половине сайта похоже надо в темпе вальса менять кренделя и ключи, если они не хотят чтобы им всю инфраструктуру расфигарили. В целом похоже на относительно таргетированную атаку, если проявить пессимизм - возможно атакующих интересует масштабное закрепление на всяких околосетевых сущностях.
> Так что отправляй как это антивирусникам на анализ. Их кажется ждет интересное
> приключение в мире кибервойн.Ну в security мозилловское я уже файлик послал. И касперским. Я думаю, поделяться друг с другом.
> поделяться друг с другом.Абсолютно не факт. Думаешь, они в курсе о наге? Тем более что наг - не антивирусники и даже безопасники там относительно местами.
>>Win, Mac и Linux каждому уделено персональное внимание, с отдельным списком потенциально интересных файлов и программ которые можно упереть в каждой из ОС.Что оно там упереть-то пыталось, можно список, лол.
> Что оно там упереть-то пыталось, можно список, лол.Тут некоторые уже мой файлик скачать успели, пускай аккуратно и в правильных местах делятся.
> Что оно там упереть-то пыталось, можно список, лол.да примерно то, что в новости и написано. кучки txt-файлов по маскам
«*parol*.txt»,
«*парол*.txt»,
«*доступ*.txt»,
«*сервер*.txt»,
«*акк*.txt»,
«*эккаунт*.txt»,
…
«*account*.txt»,
«access.txt»,
«acces.txt»,
«*mail*.txt»,
«*database*.txt»,
«*todo*.txt»,
…
и много ещё. пароли из FileZilla, SmartFTP. истории от баша и других.фигачит это на скрипт в acintcdn.net.
но ты же не думаешь, что это единственный экземпляр? скорее всего, их много разных in the wild.
Когда станут известны IP, куда уходила информация - опубликуйте их please,
чтобы по логам netflow посмотреть, были ли у кого в сети проблемы...И хорошо бы понять, насколько давно этот подарочек "in the wild".
> Когда станут известны IP, куда уходила информация - опубликуйте их please,
> чтобы по логам netflow посмотреть, были ли у кого в сети проблемы...А оно особо вроде и не прячется:
...
url="http://acintcdn.net/delivery.php?3c7b880351c3f55a92fd3a2be3c...
(далее вычисляемый кусок URL)Вот только если это и правда duq - у него таких серверов больше чем у дypaка фантиков и это - лишь один из over 9000.
> И хорошо бы понять, насколько давно этот подарочек "in the wild".
Duq - гуляет весьма давно. А к нему до кучи модули на всякие 0-day забабахивают. Вот это похоже на очередной модуль этой штуки.
кинул сюда, но оперативно удалили: https://blog.mozilla.org/security/2015/08/06/firefox-exploit...
Последую ка и я их примеру.
> но оперативно удалилии вернули обратно.
>> но оперативно удалили
> и вернули обратно.Уже поздно. Я файлик снес.
> Уже поздно. Я файлик снес.Удалить что-то из интернета - не сильно просто. Да и смысл?
В любом случае, лисоводы: UPDATE NOW! Duq - это вам не фунт изюма.
> Удалить что-то из интернета - не сильно просто. Да и смысл?Ссылка на страницы мозиллы появилась. А у нее, предположительно, аудитория побольше будет. Незачем слишком большой аудитории пример использования показывать. Пусть пока браузыры пообновляются.
> Незачем слишком большой аудитории пример использования показывать.Судя по тому что я вижу - лучше пусть неумелые скриптокидозники заставят всех заапдейтиться, чем убер-профессионалы тихой сапой закрепятся в инфраструктуре. Надолго и всерьез. Устроив потом крутые, прицельные и профессиональные адресные атаки на тех кто дал слабину, имея доступ к ценным ресурсам.
> Пусть пока браузыры пообновляются.
У большинства автоапдейт, уже должно было разлететься.
> А дальше? Куда ссылку кидать?сюда кидай, например. прямо с предупреждением о том, что там.
> И, повторю - стоит ли?
а почему нет? как видим, у плохих парней оно всё равно есть уже. если кто‐то сможет скачать и адаптировать под себя… ну и что? сам по себе эксплоит бесполезен, для его успешного использования нужна инфраструктура: сервера, каналы распространения «плохого» контента, etc. если у кого‐то такая инфраструктура есть, то он пойдёт в даркнет и купит эксплоит там, делов‐то.
> сюда кидай, например. прямо с предупреждением о том, что там.По некоторым признакам смахивает на очередной модуль duq, кроссплатформенный и ориентированный на прощупывание. Возможно всего лишь присказка.
> а почему нет? как видим, у плохих парней оно всё равно есть
При том если это именно те плохие парни - у них много чего более интересного есть.
> инфраструктура: сервера, каналы распространения «плохого» контента, etc.
Если это именно хозяева duq проводят "разведку боем" - у них инфраструктуры хоть отбавляй. А наиболее интересные target'ы могут и модуль для прошивки HDD отхватить.
> и купит эксплоит там, делов‐то.
Я бы на месте снобья из нага боялся куда более интересных вещей - apt. Не тот который get.
> Если это именно хозяева duq проводят "разведку боем"вряд ли — так глупо спалить такой вкусный сплоит…
хотя, возможно, просто слили отработаный материал, гыг. чтобы при случае кивать на «злобную киберпреступность — вот они, они это, а не мы!»
> вряд ли — так глупо спалить такой вкусный сплоит…Они вроде как мониторят 0-day и агрессивно пользуются не только неизвестными дырами, но и относительно общеизвестными, покуда это работает. А какая им разница - известная дыра или нет. Чтобы в инфраструктуру вломиться и там позакрепляться это пофигу. А потом - да удачи их оттуда выколупать.
А вот тайминги "в пятницу вечером", на ресурсе с сетевиками, с свеженьмим 0-day - ну не знаю, как-то слишком уж хорошая координация параметров для рядовых кульхацкеров, чтоли. У тех обычно ума не хватает так хорошо оркестрировать. Ну и начинка этой штуки в паре мест очень уж на описалово duq'а от каспера смахивает. Я допускаю что кто-то может просто мимикрировать под них. Но зачем? Чтобы аверы типа каспера в 10 раз серьезнее изучали? :)
запаковать и на любой обменник через TOR.
Этот скрипт может пробить связку uBlock+Ghostery+Reguest Policy+NoScript? Учитывая, что в NoScript может быть разрешение на скрипты на странице, не полная блокировка js.
мозг включаем, да. мы тут для кого, $#&%%@$, распинались, расписывая, как это работает?
В теории, если речь идёт о новостном сайте - то при блокировке рекламы, скрипт не должен срабатывать.
> Этот скрипт может пробить связкуЗависит от настроек связки и браузера. Ты связку настраивал - себе и задай этот вопрос.
Зависит, думаю, от того где хостился этот эксплоит.Если в iframe и стороннем сайте, то это было вычищено RP-шкой. (Насколько я вычитал, именно так и было для того сайта где спалили проблему. Хотя могло быть по-другому для других сайтов.)
Если эксплоит отдавался с того же домена, то всё выглядит не так удачным для вас..Кстати, это тот случай когда Policeman/uMatrix показывают свои плюсы по сравнению с RequestPolicyContinued.
В этих плагинах реквесты распределяются по типам (scripts, images, frames,...). Дальше всё в ваших руках, но у меня, например, запрещаются скрипты (в отличии от same-domain стилей), а также запрещаются фрэймы (ибо это чаще всего хрень какая-то).
Вендузятник должен страдать.
> Вендузятник должен страдать.Прущая их всех щелей компетентность LED-а, как обычно :\. Эта штука одинаково опасна для юзеров винды, макоси и линуха. Оно даже всякие там /etc/passwd и прочие known_hosts вполне адресно тырит у линуксоидов.