Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
Сообщение от opennews (??) on 16-Мрт-18, 19:15
Завершился (https://www.zerodayinitiative.com/blog/2018/3/15/pwn2own-201...) второй заключительный день соревнования Pwn2Own 2018, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы (https://www.zerodayinitiative.com/blog/2018/3/14/welcome-to-...) рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge и Safari (две разные атаки), которые привели к успешному выполнению кода атакующего в системе. Также частично проведена атака на VirtualBox, которая не была доведена до конца. Суммарный размер выплат составил 267 тысяч долларов (общий призовой фонд составляет 2 млн долларов). Номинации за взлом Chrome, nginx, Apache httpd, OpenSSL,  SMB-подсистемы Windows, vMware Workstation, Hyper-V Client, Adobe Reader, MS Office 365 ProPlus и MS Outlook остались невостребованными. Разработчики Mozilla уже сформировали (https://www.mozilla.org/en-US/firefox/59.0.1/releasenotes/) обновления Firefox 59.0.1 (https://www.mozilla.org/en-US/firefox/59.0.1/releasenotes/) и 52.7.2 (https://www.mozilla.org/en-US/firefox/52.7.2/releasenotes/), в которых устранена продемонстрированная в ходе соревнования уязвимость. Детали по уязвимости пока не обнародованы (https://www.mozilla.org/en-US/security/advisories/). URL: https://www.zerodayinitiative.com/blog/2018/3/15/pwn2own-201... Новость: https://www.opennet.ru/opennews/art.shtml?num=48272
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	–2 +/–
Сообщение от Аноним (??) on 16-Мрт-18, 19:15
> Номинации за взлом Chrome остались невостребованными. Хром уже никому не нужен после выхода божественного квантума.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	–5 +/–
	Сообщение от sadasd on 16-Мрт-18, 19:27
	FF как был тормознутым по части GUI, так и остался.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 16-Мрт-18, 19:43
	60.0beta The new CSS engine introduced in Firefox Quantum (57.0) is now used for the browser's user interface, in addition to web content.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	29. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 18-Мрт-18, 12:24
	Очередная версия мозиллаинноваций. Жаль что браузер угрохали - теперь он не настраиваемый и дополнения бесполезные. Ну и нахрен этот опенсорсный клон Edge нужен?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+3 +/–
	Сообщение от Аноним (??) on 16-Мрт-18, 19:43
	Не внедрили все фишки квантума ещё. Много кода старого, одна только фишка новая из множества добавлена. Терпение.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	11. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	–6 +/–
	Сообщение от panda (??) on 16-Мрт-18, 21:42
	> Не внедрили все фишки квантума ещё. Много кода старого, одна только фишка новая из множества добавлена. Терпение. а тоесть оно ещё больше ресурсов жрать будет да ещё и без альсы? ну нафик я на хромиум - он и альсу держит и флеш и девтулс в разы удобней
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	15. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+4 +/–
	Сообщение от A.Stahl (ok) on 16-Мрт-18, 23:19
	>я на хромиум Дверь только за собой закрой.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	16. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	–4 +/–
	Сообщение от panda (??) on 16-Мрт-18, 23:49
	>Дверь только за собой закрой. уберёшь тогда свой минусик? и друга не забудь;)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	27. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+1 +/–
	Сообщение от macfaq on 17-Мрт-18, 22:31
	Лови ещё один.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	31. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 18-Мрт-18, 13:27
	> Не внедрили все фишки квантума ещё. Много кода старого, одна только фишка > новая из множества добавлена. Терпение. Тоже мне, ждалкер и valve time в одном лице. А оно того стоит? Настроек меньше чем в хромиуме стало...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	35. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от count0krsk (ok) on 23-Мрт-18, 13:06
	> Тоже мне, ждалкер и valve time в одном лице. А оно того > стоит? Настроек меньше чем в хромиуме стало... Собственно запускаю icecat только ради Video Download helper.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	9. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+1 +/–
	Сообщение от Аноним (??) on 16-Мрт-18, 20:33
	На дебиане с amdgpu все отлично.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	17. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 17-Мрт-18, 00:07
	Божественная команда могильщиков тем временем https://dxr.mozilla.org/mozilla-beta/source/ipc/pull-chromiu...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	19. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 17-Мрт-18, 00:35
	Mozilla 65 будет на движке Blink ?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	28. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Kuromi (ok) on 17-Мрт-18, 23:50
	И что? Да, ФФ использует кусок хромиума дл IPC. Не одну версию и даже не один десяток версий уже, с тех пор как начали мультипроцессность делать. Причем этот их кусок кода - древний уже, так как они так сильно его изменили под свои нужды, что давно не синхронизировали с Хромиумом.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	32. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 18-Мрт-18, 13:33
	> И что? Да, ФФ использует кусок хромиума дл IPC. Так можно было взять хромиум целиком и делать к нему шкурку. Никто и не сомневается что они пытаются стать оперой номер два. Только они выбрали сложный и долгий путь к становлению оперой.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

5. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
Сообщение от Аноним (??) on 16-Мрт-18, 19:50
> Детали по уязвимости пока не обнародованы. А есть эти детали по другим уязимостям, пусть старым и исправленным? Мне просто очень интересно, как и каким местом надо писать код, чтобы браузер заэксплойтить. Это что-то уровня раскрашивания бордюрчиков таблиц в зеленый цвет, а в качестве фона установить картинку с расширением ехе?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 16-Мрт-18, 19:55
	>> Детали по уязвимости пока не обнародованы. > А есть эти детали по другим уязимостям, пусть старым и исправленным? Мне > просто очень интересно, как и каким местом надо писать код, чтобы > браузер заэксплойтить. Это что-то уровня раскрашивания бордюрчиков таблиц в зеленый цвет, > а в качестве фона установить картинку с расширением ехе? Достаточно включить скрипты. Это такие же программы как с расширением ехе.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	20. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+1 +/–
	Сообщение от Аноним (??) on 17-Мрт-18, 04:33
	>позволяют организовать запись данных за границу буфера при обработке специально оформленного звукового контента в формате Vorbis. Как видишь, не обязательно и скрипты включать для эксплоитов
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	7. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 16-Мрт-18, 20:05
	Все проще и прозаичнее, вот ошибки CVE-2018-5146: Out of bounds memory write in libvorbis CVE-2018-5147: Out of bounds memory write in libtremor из этого ясно, что для первой используется "кривой" специально подготовленный звуковой файл vorbis использующий отсутствие проверки буфера при декодировании, второй добавляет ogg. И никакого ехе или яваскрипта.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Ordu (ok) on 16-Мрт-18, 20:15
	Придётся растоманам и libvorbis на расте переписывать. Хы.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	12. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от panda (??) on 16-Мрт-18, 21:44
	> Придётся растоманам и небо и даже аллаха на расте переписывать. Хы.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Ordu (ok) on 16-Мрт-18, 22:10
	>> Придётся растоманам и небо и даже аллаха на расте переписывать. Хы. Да-да, я о том же. Этим всё и кончится.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	33. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 18-Мрт-18, 13:38
	> Да-да, я о том же. Этим всё и кончится. Примерно 20 лет назад что-то такое говорили про реактос. А еще раньше - про minix и hurd.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	34. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Ordu (ok) on 18-Мрт-18, 14:59
	>> Да-да, я о том же. Этим всё и кончится. > Примерно 20 лет назад что-то такое говорили про реактос. А еще раньше - про minix и hurd. Ты путаешь тёплое с мягким. Речь не об ОС, а о языке. ОСи и языки развиваются достаточно по-разному, чтобы их не стоило бы так смешивать в одну кучу. Я видел несколько языков, которые сподвигали своих апологетов переписывать всё на этом языке, например, Haskell и Lisp. Вплоть до написания ядер операционных систем, самостоятельной реализации X11 протокола, без использования xlib, создания (или попыток создания) графических тулкитов, да ещё и с самостоятельным рендерингом шрифтов, не полагаясь на freetype, сервера разной направленности, и так далее. Когда язык меняет в голове у программиста то, как тот думает о программе, это вызывает возбуждение и зуд что-нибудь написать, а поскольку написать что-то новое крайне сложно (попробуй придумай ещё что-нибудь новое, ещё никем не написано), такие программисты начинают писать велосипеды. И чем это закончится уже сильно зависит от многих факторов, и я бы на твоём месте не спешил бы экстраполировать тренды в данном случае. Прежде чем экстраполировать в подобных случаях, стоит хотя бы прочитать "Чёрного Лебедя" Талеба. А лучше, прочитав, подумать и прочитать ещё раз. Маловероятные события случаются, более того случаются события настолько маловероятные, что они априорно воспринимаются как невозможные. И если ты тупо экстраполируешь тренды, то рано или поздно случится маловероятное событие, и ты окажешься неправ. Хотя, конечно, экстраполировать проще всего -- можно не тратя никаких интеллектуальных ресурсов быть правым практически всегда. > Примерно 20 лет назад что-то такое говорили про реактос. Разве? Простите за оффтоп, но по-моему реактос никогда не выглядела сколь-нибудь перспективной поделкой, реактос никогда не привлекала многих разработчиков, и всегда была маргинальной. Кстати как и hurd. С minix история вышла несколько иная, но reactos и hurd никогда не могли привлечь внимания к себе широких слоёв программистов. По разным причинам -- reactos всегда была очень нишевым продуктом, мало кому нужным, а hurd потому что с самого начала у разработчиков исследовательский мотив доминировал над стремлением к завершённости.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	36. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от count0krsk (ok) on 23-Мрт-18, 13:43
	>>> попробуй придумай ещё что-нибудь новое, ещё никем не написано Ой да ладно! Я лично 2 проги сделал под линукс, аналогам которых нет. Берешь консольную утиль, делаешь к ней гуй. Профит. А сколько игр ещё не портировано... Сколько плагинов фотошопа под Гимп не переписано... Пиши хоть на лиспе, спасибо скажем если взлетит.
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

	10. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 16-Мрт-18, 20:40
	Ну почитай предыдущие. https://www.mozilla.org/en-US/security/advisories/mfsa2018-06/ В основном use-after-free, buffer overflow, memory corruption.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	21. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 17-Мрт-18, 06:19
	Это я видел, но я не очень понимаю как это эксплуатировать. Вот выше написали про Vorbis и OGG - тут понятно, проблема в том, что юзеру можно подсунуть кривой файл. Можно попробовать резать эти файлы или перекодировать на лету и я буду в безопасности, но как быть с остальными тысячами уязвимостей?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	22. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+1 +/–
	Сообщение от Аноним (??) on 17-Мрт-18, 06:20
	> Можно попробовать резать эти > файлы или перекодировать на лету и я буду в безопасности Даже иначе спрошу: а может быть можно можно резать как-то "полезную нагрузку", чтобы пытаться играть кривые файлы и тем самым все равно быть в безопасности?
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	23. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Аноним (??) on 17-Мрт-18, 09:20
	> Можно попробовать резать эти файлы или перекодировать на лету и я буду в безопасности, но как быть с остальными тысячами уязвимостей? а обязательно нужен именно обходной путь? или может просто обновишь софт?
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	24. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+1 +/–
	Сообщение от Аноним (??) on 17-Мрт-18, 14:07
	Обновить софт можно не всегда. Во-первых, о уязвимости ты должен знать и дырку должны залатать. Во вторых: https://a.uguu.se/VlpjZuzq22Ms_update.png
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	30. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
	Сообщение от Ordu (ok) on 18-Мрт-18, 12:46
	> Во вторых: https://a.uguu.se/VlpjZuzq22Ms_update.png Вендовозы должны страдать. Для них страдать от обновлений и малвари так же естественно как дышать. За 20 лет существования венды пора бы уж и привыкнуть.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	+/–
Сообщение от Аноним (??) on 17-Мрт-18, 14:18
Похоже, что хакеры уже не готовы рассказывать уязвимости в действительно важных проектах за эти смешные деньги. Наигрались. А студенты уже не могут ничего раскопать (дабы пропиариться и получить работу)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	26. "На соревновании Pwn2Own 2018 продемонстрированы взломы Firef..."	–1 +/–
	Сообщение от Аноним (??) on 17-Мрт-18, 15:24
	> Похоже, что хакеры уже не готовы рассказывать уязвимости в действительно важных проектах > за эти смешные деньги. Наигрались. > А студенты уже не могут ничего раскопать (дабы пропиариться и получить работу) Из всего списка важный проект только апач. Может им неинтересно ковырять сервер.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема