Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость во FreeType, эксплуатируемая через TTF-шрифт"	+/–
Сообщение от opennews (??), 20-Окт-20, 06:58
Вернер Лемберг (Werner Lemberg), ключевой разработчик библиотеки рендеринга шрифтов FreeType, предупредил пользователей о выявлении уязвимости (CVE-2020-15999), которая позволяет выполнить свой код при обработке специально оформленных TTF-файлов с PNG sbit глифами. Имеются сведения, что уязвимость уже активно эксплуатируется злоумышленниками. Проблема вызвана переполнением буфера, возникающим при обработке глифов с битовыми картами очень большого размера... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53922
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 20-Окт-20, 06:58	+2 +/–
Через Web Font в браузуре или встроенный в документ шрифт в офисном пакете эксплуатировать можно? Или там свои движки отрисовки шрифтов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 20-Окт-20, 07:26	–66 +/–
>PNG PNG уже давно пора на помойку истории. Есть же например JPG и TIFF
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #8, #10, #35, #37, #120, #170, #180

3. Сообщение от timur.davletshin (ok), 20-Окт-20, 07:28	–1 +/–
Можно наверняка, судя по описанию. Другой вопрос, можно ли выйти на пределы песочницы браузера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

4. Сообщение от timur.davletshin (ok), 20-Окт-20, 07:29	+8 +/–
TIFF - это контейнер. А PNG тот же всеми установленный Noto Color Emoji использует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #139

5. Сообщение от Lex (??), 20-Окт-20, 07:45	+/–
А с чего бы нельзя, если речь о выполнении кода злоумышленника в обычном потоке ? Песочница - она обычно только для жс и его подобий( и то, скорее, в виде некоторых ограничений и нюансов при JIT'е )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

6. Сообщение от timur.davletshin (ok), 20-Окт-20, 07:47	+/–
Эх, тестовый шрифт что-то у меня отказался крашится на Debian Stable.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

7. Сообщение от m.makhno (ok), 20-Окт-20, 07:48	+16 +/–
А JPG у нас разве многослойный формат? В PNG то есть альфа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от Аноним (8), 20-Окт-20, 07:51	+10 +/–
>jpg жпег - лосси, пнг - нет >tiff контейнер еще варианты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #23, #68, #140

9. Сообщение от timur.davletshin (ok), 20-Окт-20, 07:55	+1 +/–
Level 4 песочниц FF для этого и придуман же - от уязвимостей через Xorg, шрифтов и некоторых видеодрайверов. Именно он у подавляющего кол-ва пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от bergentroll (ok), 20-Окт-20, 07:56	–2 +/–
JPEG вообще PNG не заменяет. PNG позволяет компактно хранить примитивные изображения (типа блок-схем) без потери качества. TIFF — проприетарный формат, старше PNG.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11

11. Сообщение от timur.davletshin (ok), 20-Окт-20, 08:01	+1 +/–
Побойтесь Бога, панове! Какая проприетарщина и формат? В tiff и факсы с 2-мя кодеками шлют и JPG туда можно жать, и PNG, и RLE, и голый deflate/zlib поток, и, о боже мой, проприетарные форматы большинства цифровых фотоаппаратов (выше уровня "мыльница"), тоже tiff'ом являются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #67

12. Сообщение от timur.davletshin (ok), 20-Окт-20, 08:05	+/–
https://savannah.nongnu.org/bugs/?59308 — тестовый файлик отсюда у кого свалился вообще? Или у меня просто старый фритайп.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 20-Окт-20, 08:06	+/–
В HarfBuzz такой ошибки нет?
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Fracta1L (ok), 20-Окт-20, 08:11	+1 +/–
> Проблема вызвана переполнением буфера Ахахахахахахахаха
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #33, #41, #95, #104

15. Сообщение от Fracta1L (ok), 20-Окт-20, 08:11	–12 +/–
Ждём традиционных даунских комментов в стиле "это всё программисты виноваты, надо просто нормальный код писать!!"111" )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #17, #51

16. Сообщение от Аноним (23), 20-Окт-20, 08:23	+/–
Ребята, не переживайте, в генту уже приложили патч к ебилду и теперь мы все защищены в будущем (в теории, все эти сляпанные на коленке патчи рулетка ещё та). Но тестовый шрифт что-то не работает, могли бы и тестовое демо замутить. К слову, ublock origin блокирует удалённые шрифты по-умолчанию, в результате чего атака может производиться только через любимые сайты с красивыми шрифтами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #30, #103

17. Сообщение от i (??), 20-Окт-20, 08:24	–6 +/–
Скорее на нормальном расте или питоне, которые байдизайн такого не позволяют, ага
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #26, #49

19. Сообщение от ryoken (ok), 20-Окт-20, 08:30	+4 +/–
Кто-то ещё использует шрифты сайтов, а не свои, в браузерах? Ну тогда - ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #105

20. Сообщение от Иваня (?), 20-Окт-20, 08:32	–3 +/–
Эх, кто бы переписал на Rust или на Go лучше?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #100, #106

21. Сообщение от Аноним (23), 20-Окт-20, 08:35	–1 +/–
А, я наверное понял, почему не работает. У меня freetype без png. И без harfbuzz.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от Иваня (?), 20-Окт-20, 08:38	–1 +/–
Чёрт, в Android ещё не пофиксили https://android.googlesource.com/platform/external/freetype/... 😢
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #38, #43

23. Сообщение от Аноним (23), 20-Окт-20, 08:42	–5 +/–
Только tga, всё остальное хлам (я проверял). Png вроде тоже лосси может быть, но действительно, распространение у него примерно такое же, что и у lossless webp (даже меньше, и по-моему он вовсе не lossless), а артефакты выедают глаза. Бтв, вроде именно png мы обязаны за существование zlib сегодня -- это свободная реализация алгоритмов zip. Так что теперь каждый раз, когда ты жмёшь свой файлик в gzip, думай о великом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #25, #52

24. Сообщение от Иваня (?), 20-Окт-20, 08:43	–1 +/–
А нет, пофиксили и уже давно https://android.googlesource.com/platform/external/freetype/...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #32

25. Сообщение от timur.davletshin (ok), 20-Окт-20, 08:44	+/–
> Только tga, всё остальное хлам (я проверял). Png вроде тоже лосси может > быть, но действительно, распространение у него примерно такое же, что и > у lossless webp (даже меньше, и по-моему он вовсе не lossless), > а артефакты выедают глаза. Бтв, вроде именно png мы обязаны за > существование zlib сегодня -- это свободная реализация алгоритмов zip. Так что > теперь каждый раз, когда ты жмёшь свой файлик в gzip, думай > о великом. Там же deflate... Ладно, на самом деле они с zlib только заголовком отличаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (26), 20-Окт-20, 08:46	–1 +/–
на ниме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27

27. Сообщение от Fracta1L (ok), 20-Окт-20, 08:47	–3 +/–
В Ниме же вроде нет проверок как в Расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от timur.davletshin (ok), 20-Окт-20, 08:49	+2 +/–
> Кто-то ещё использует шрифты сайтов, а не свои, в браузерах? Ну тогда > - ССЗБ. Было бы всё классно, если бы добрая часть вебдизайнеров не использовала кастомные шрифты для элементов интерфейса вроде всяких там иконок. Нафейхоа? Ну используй ты стандартные из символьных шрифтов. Нет же, надо очередную лупу засунуть в fontforge в webfont в 3 форматах, залить сомнительной надёжности заголовок (чтобы каждому браузеру его любимый формат отдавать) из статьи на каком-нибудь ресурсе по обмену премудростями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #53

30. Сообщение от timur.davletshin (ok), 20-Окт-20, 08:51	–1 +/–
> Ребята, не переживайте, в генту уже приложили патч к ебилду и теперь > мы все защищены в будущем (в теории, все эти сляпанные на > коленке патчи рулетка ещё та). Но тестовый шрифт что-то не работает, > могли бы и тестовое демо замутить. К слову, ublock origin блокирует > удалённые шрифты по-умолчанию, в результате чего атака может производиться только через > любимые сайты с красивыми шрифтами. По-умолчанию юблок ничего из шрифтов не блокирует, не выдумывай. Но пунктик есть для тех, кто в about:config ленится лезть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #31, #50, #66, #152

31. Сообщение от Аноним (23), 20-Окт-20, 08:54	–1 +/–
Не по-умолчанию? Я сколько ни ставил его, всегда казалось, что по-умолчанию это как раз включено в настройках. Может, поменяли дефолты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #34

32. Сообщение от Аноним (1), 20-Окт-20, 09:00	+1 +/–
> А нет, пофиксили и уже давно https://android.googlesource.com/platform/external/freetype/... Нет не пофиксили, там не в том месте проверка. См исходный патч https://git.savannah.gnu.org/cgit/freetype/freetype2.git/com... Вероятно в 2014 без лишней огласки пытались устранить эту дыру, но добавили проверку размера не в то место.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #36

33. Сообщение от YetAnotherOnanym (ok), 20-Окт-20, 09:07	–1 +/–
Щястье-то какое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

34. Сообщение от timur.davletshin (ok), 20-Окт-20, 09:25	–1 +/–
У тебя просто настройки из учётки FF автоматом грузятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от б.б. (?), 20-Окт-20, 09:28	+3 +/–
правильно, все на PCX
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #40

36. Сообщение от Аноним (36), 20-Окт-20, 09:29	+/–
Да нет, пофиксили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

37. Сообщение от fooser (?), 20-Окт-20, 09:31	+3 +/–
толсто же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

38. Сообщение от Аноним (36), 20-Окт-20, 09:31	+4 +/–
А ничего, что большинство вендоров Android не обновляет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #39, #60, #166

39. Сообщение от timur.davletshin (ok), 20-Окт-20, 09:44	+/–
Андроид давно стал самой перспективной для дыр платформой. Практически все китаефоны не получат обновлений после продажи, сосунги тоже весьма условно поддерживают около года или чуть больше. Топовые модели ещё иногда фиксы получают, ширпотреб нет. Другой совсем вопрос, что selinux и песочницы очень сильно урезают шансы фейлов из разряда "лбом в штангу со всего размаху".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #56, #63, #129

40. Сообщение от Онаним (?), 20-Окт-20, 09:44	+/–
Или на TGA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Аноним (41), 20-Окт-20, 09:59	–1 +/–
И то, что ФФ на расте, не помогло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #46, #58

42. Сообщение от Аноним (42), 20-Окт-20, 10:00	+3 +/–
Вот поэтому я и отключаю внешние шрифты в браузере (browser.display.use_document_fonts). PDF и офисные документы особенно опасны в этом плане.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76, #80, #121

43. Сообщение от Аноним (41), 20-Окт-20, 10:01	+1 +/–
Поэтому я не ставлю банковские клиенты на свой рутованый древний кастом. И AWFall обязательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #61, #141

45. Сообщение от Аноним (46), 20-Окт-20, 10:11	+2 +/–
- хей, бро, тебя как взламали? - через шрифты...
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Аноним (46), 20-Окт-20, 10:13	+1 +/–
ты уверено, что этот кусок кода написан именно на расте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #57

48. Сообщение от Moomintroll (ok), 20-Окт-20, 10:23	+1 +/–
Уже выпустили 2.10.4 с фиксом
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

49. Сообщение от Аноним (49), 20-Окт-20, 10:38	–1 +/–
Сотни языков такое не позволяют бай десигн
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

50. Сообщение от Аноним (50), 20-Окт-20, 10:45	+1 +/–
NoScript зато блокирует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

51. Сообщение от Аноним (51), 20-Окт-20, 10:56	+/–
Ты так говоришь как будто они не виноваты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #65, #71

52. Сообщение от Аноним (52), 20-Окт-20, 10:57	+2 +/–
> Png вроде тоже лосси может быть Не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #54

53. Сообщение от Аноним (52), 20-Окт-20, 11:00	–3 +/–
Потому что ожидать, что у всех будет символьный шрифт с нужным тебе символом это сомнительное удовольствие. Продвигайте какой-нибудь во все ОС или браузеры (второе проще и быстрее).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #99, #118

54. Сообщение от Аноним (23), 20-Окт-20, 11:05	–5 +/–
Я сейчас проверил, и, видимо, именно поэтому первая ссылка в выдаче сообщает, что png может быть lossy. На самом деле все ссылки говорят, что может. Где ты взял свою информацию? Просто, я-то исхожу из личного опыта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #69

55. Сообщение от Zenitur (ok), 20-Окт-20, 11:16	–1 +/–
Я думал, что когда изобретали TTF, никаких PNG не было. Впервые TTF я увидел в Windows 3.1, а PNG - в Windows 2000.
Ответить | Правка | Наверх | Cообщить модератору

56. Сообщение от Аноним (56), 20-Окт-20, 11:16	–2 +/–
В 10ом гугль сам обновляет блоки, которые не зависят от вендора. Наступает эра модульности андроида, потому все меньше кастома у того же Xiaomi в их MIUI остается. Скоро будут только нескучные обои.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #90

57. Сообщение от Аноним (41), 20-Окт-20, 11:23	+1 +/–
Про то, что растоманы всё равно используют крестовые и сишные либы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

58. Сообщение от Аноним (58), 20-Окт-20, 11:32	+2 +/–
https://wiki.mozilla.org/Oxidation Здесь перечислены компонены лисы, которые написали или переписали на rust. С указанием мотивов зачем так сделали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

60. Сообщение от deb (?), 20-Окт-20, 12:15	+1 +/–
>Покупать телефон без LineageOS Что тут еще сказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

61. Сообщение от deb (?), 20-Окт-20, 12:21	+1 +/–
Банковские зонды с рекламой и пуш уведомлениями о новых условиях епотеки ты хотел сказать? Зачем это вообще ставить если есть браузер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #64

62. Сообщение от TormoZilla (?), 20-Окт-20, 12:23	+/–
Как отключить поддержку шрифтов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #145

63. Сообщение от Аноним (63), 20-Окт-20, 12:40	–1 +/–
Самсунги получают 2 глобальных обновления андроида и ещё год фиксов после этого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #83

64. Сообщение от zzz (??), 20-Окт-20, 12:46	+/–
А это уже к Вашему банку вопросы - мне не шлют и даже всё работает без доступа к камере, контактам и смс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #87

65. Сообщение от Аноньимъ (?), 20-Окт-20, 12:47	+2 +/–
Виноваты тем что пишут на си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #89

66. Сообщение от Аноним (13), 20-Окт-20, 12:48	+/–
О, спасибо, поставил галочку. Пару байт сэкономлю, пару мс отрисовки надеюсь тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #94

67. Сообщение от llolik (ok), 20-Окт-20, 12:56	+/–
> тоже tiff'ом являются Так TIFF в общем-то, если уж совсем упрощённо, набор меток, который, согласно заранее определённому "соглашению", позволяет разобрать упакованый blob. Есть базовый стандартный набор меток, который все понимают, а уж в расширенных вот там уже кто что и как в тот blob наскладывал - NRG, CDR и прочие RAW-ы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #92

68. Сообщение от Чума (?), 20-Окт-20, 12:57	+/–
bmp.gz
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

69. Сообщение от Аноним (69), 20-Окт-20, 13:00	–1 +/–
http://www.libpng.org/pub/png/book/chapter09.html#png.ch09.d... >The PNG specification defines a single compression method, the deflate algorithm, for all image types.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #70

70. Сообщение от Аноним (23), 20-Окт-20, 13:04	–4 +/–
Это так, но можно удалить часть информации незаметно для глаза, восстановив её уже при открытии. Собственно, это именно то, чем лосси и является.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #72, #73

71. Сообщение от Ordu (ok), 20-Окт-20, 13:16	+2 +/–
Тебе не приходилось задумываться о концепции вины, зачем она нужна вообще? Зачем искать виноватых? Хомячки это делают по фану. Чиновники ради того, чтоб их самих не назначили виновными. Но это же всё явный асоциальный бред, и явно вину придумали не для этого. Зачем? В международной практике расследования инцидентов в гражданской авиации уже как несколько десятилетий забанена причина "ошибка пилота". То есть расследование столкнётся с большими проблемами, если оно попытается выдать ошибку пилота за результат расследования. Как ты думаешь, почему так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #85, #88

72. Сообщение от Аноним (72), 20-Окт-20, 13:29	+1 +/–
Лосси это когда фотку сжал, расжал, а расжатая фотка отличается. То, что ты описад - просто метод сжатия типа RLE. Учи матчасть!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #74

73. Сообщение от Аноним (69), 20-Окт-20, 13:30	+4 +/–
> удалить часть информации > восстановив её уже при открытии Это лосслесс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #75

74. Сообщение от Аноним (23), 20-Окт-20, 13:33	–4 +/–
Не вижу смысла это обсуждать, это точно такой же препроцессинг с потерями как у лосси, и отличается он от лосслесс только (фактической) необратимостью изменений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

75. Сообщение от Аноним (23), 20-Окт-20, 13:34	–2 +/–
Вернуть всё никто не обещал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

76. Сообщение от пох. (?), 20-Окт-20, 13:46	+/–
И вместо ВСЕЙ модной-современной навигации - разглядываешь рядок одинаковых квадратиков? А ты, смотрю, остороооожный! (зачем делать навигацию дерьмошрифтами вместо обычных картинок, которые ТОЧНО ТАК ЖЕ (ибо и шрифт, ну кто бы мог подумать и было ли чем - тоже набор картинок) - ну потому что их в дизайнерском ПТУ так учили.) P.S. ну нет, не совсем так - конечно для открытия кнопки "profile" надо использовать не шрифт, а картику 16x16px с gravatar. Во-первых так моднявее, во-вторых может еще какие собиратели бигдейты не в курсе интимных подробностей жизни посетителя твоего сайта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #81, #177

77. Сообщение от Анонимно (ok), 20-Окт-20, 14:01	+/–
Патч может уже прилетел? Под Linux Mint патч присутствует, видимо портирован с Debian или Ubuntu
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #98

78. Сообщение от Аноним (23), 20-Окт-20, 14:11	+/–
Поэтому, бандленные либы -- зло, передаю привет пользователям void linux (или кто там статические экзешники делал).
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от Растишка (?), 20-Окт-20, 14:20	+/–
Уже: https://github.com/mooman219/fontdue https://github.com/raphlinus/font-rs https://gitlab.redox-os.org/redox-os/rusttype
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #101

80. Сообщение от Аноним (82), 20-Окт-20, 14:27	+/–
3/4 популярных сайтов ломаются полностью без кастомных шрифтов, ибо навигация сделана через них. Удачи. // b.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #131, #137, #149

81. Сообщение от Дон Ягон (ok), 20-Окт-20, 14:32	+/–
>  И вместо ВСЕЙ модной-современной навигации - разглядываешь рядок одинаковых квадратиков? А ты, смотрю, остороооожный! Я тоже режу сторонние шрифты (umatrix'ом/ublock'ом). И, честно говоря, не наблюдал квадратиков на посещаемых мной сайтах. Для понимания, можно пример сайта, который у меня, вероятно, сломается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #82

82. Сообщение от Аноним (82), 20-Окт-20, 14:34	+/–
gsmarena.com навигация исчезает полностью
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #93

83. Сообщение от Аноним (56), 20-Окт-20, 14:41	+/–
Все современные вендоры должны делать минимум два глобальных обновления делать, такова политика гугля. Иначе заберет лицензию на гапсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #91

84. Сообщение от Аноним (84), 20-Окт-20, 14:47	+/–
Почему это в мининовостях, если затрагивает вообще всех, независимо от браузера и того, используется ли в браузере системный фритайп?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

85. Сообщение от эти ваши интернеты (?), 20-Окт-20, 14:47	+1 +/–
потому что пилот уже не управляет самолетом. Пилот - это оператор бортового компьютера самолета. Видимо, ты хотел сказать, что расследование должно проводиться для выявления и устранения уязвимостей, а не для наказания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #110

87. Сообщение от deb (?), 20-Окт-20, 14:51	–1 +/–
Держите в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

88. Сообщение от Аноним (51), 20-Окт-20, 15:04	–1 +/–
> уже как несколько десятилетий забанена причина "ошибка пилота" Что за чушь? А «человеческий фактор», это не вина пилота что ли? Погугли «МАК назвал причиной крушения Як-42 действия экипажа» и не пиши больше такую ерунду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #113

89. Сообщение от Аноним (51), 20-Окт-20, 15:06	–2 +/–
Виноваты тем что не читали документацию, не прошли обучение, не использовали современные подходы при разработке ПО и как итог — не проверили размер буфера при копировании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #126

90. Сообщение от timur.davletshin (ok), 20-Окт-20, 15:07	+/–
Какие он там блоки и как обновляет? А то у меня десятка и ещё не получил обновки фритайпа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

91. Сообщение от timur.davletshin (ok), 20-Окт-20, 15:08	+1 +/–
> Все современные вендоры должны делать минимум два глобальных обновления делать, такова > политика гугля. Иначе заберет лицензию на гапсы. Сказки венского леса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #102

92. Сообщение от timur.davletshin (ok), 20-Окт-20, 15:10	+/–
Т.е. TIFF :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

93. Сообщение от Дон Ягон (ok), 20-Окт-20, 15:10	+/–
Подтверждаю, спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

94. Сообщение от timur.davletshin (ok), 20-Окт-20, 15:15	+/–
> О, спасибо, поставил галочку. Пару байт сэкономлю, пару мс отрисовки надеюсь тоже. Оно экономит значительно больше. Там обычно запрос идёт на какой-нибудь левый сервис веб-шрифтов вроде гугловского, что занимает несколько десятков мс на резолвинг имени. Потом скачивание нескольких сотен килобайт шрифтов. Рендеринг осуществляется асинхронно, поэтому сначала рисуется системными шрифтами, а потом делает reflow, который сам по себе очень дорогостоящий и в итоге даже в лучшем случае это хозяйство занимает пару-тройку сотен миллисекунд. Порнография натуральная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

95. Сообщение от Аноним (51), 20-Окт-20, 15:20	+/–
Когда тебя забанят?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #115

96. Сообщение от Аноним (104), 20-Окт-20, 15:20	–1 +/–
> Проблема вызвана переполнением буфера > уязвимость может быть эксплуатирована в Chrome/Chromium и Firefox Все что исполняется никогда не должно изменятся, а все что изменяется никогда не должно исполнятся!!! Соблюдение этого правила дает гарантию защиты от переполнения буфера. JIT ненужен, все программы которые используют JIT, включая бровзеры необходимо выкинуть с вашей системы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109

97. Сообщение от Аноним (104), 20-Окт-20, 15:22	+/–
Не всех, а только тех кто разрешает исполнятся изменяемому коду. Используете нормальные дистрибутивы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #144, #150

98. Сообщение от timur.davletshin (ok), 20-Окт-20, 15:24	+/–
Не было никаких патчей давно на него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

99. Сообщение от Аноним (51), 20-Окт-20, 15:24	+/–
В общераспространённых шрифтах вполне достаточно символов для любых нужд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

100. Сообщение от Аноним (104), 20-Окт-20, 15:28	+2 +/–
Раст с го ненужны. Необходимо соблюдать элементарные правила которые нам деды с 1960-тых завещали: https://www.opennet.ru/openforum/vsluhforumID3/122156.html#96
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #107

101. Сообщение от Аноним (51), 20-Окт-20, 15:31	+/–
> There is an optional SIMD module for cumulative sum, currently written in C SSE3 intrinsics. > The code isn't well organized, and it's basically not ready for prime time. However, it runs well enough to run benchmarks > does not support > Font hinting. > Ligatures of any kind. Нет, всё ещё нет. Плюс непонятно как это использовать из других языков, где .so, где .h?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

102. Сообщение от Аноним (56), 20-Окт-20, 15:34	+/–
Google требует двухлетний цикл с двумя крупными обновлениями для смартфонов, которвые вышли с Android 10, иначе потеряешь лицензию на гапсы. Под это требование были сделаны Project Treble и Project Mainline. Какбы давно не новость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

103. Сообщение от Аноним (104), 20-Окт-20, 15:37	+3 +/–
> генту уже приложили патч к ебилду С генты жидо-масоны выкинули hardened-sources который защищал от ВСЕХ уязвимостей переполнения буфера и СМЕНИЛИ сами цели Hardened projects! Выкинули binutils необходимых версий для правильной линковки hardened-sources. Микрософт похерил Python чтобы его невозможно было без патчей сорцов использовать со строгой настройкой hardened-sources. ..... Вселенная в опасности!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #111

104. Сообщение от Аноним (104), 20-Окт-20, 15:40	+2 +/–
https://www.opennet.ru/openforum/vsluhforumID3/122156.html#100
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

105. Сообщение от Аноним (105), 20-Окт-20, 15:51	+/–
Кто-то ещё замарачивается шрифтами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #119

106. Сообщение от Аноним (105), 20-Окт-20, 15:52	+/–
Ничего бы это не дало. Да ещё и не работало бы от слова совсем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

107. Сообщение от Andrii (?), 20-Окт-20, 15:55	+1 +/–
Да, раст не нужен. Просто нужно не делать ошибок при программировании которые приводят к переполнению буфера!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #108, #182

108. Сообщение от Аноним (108), 20-Окт-20, 16:06	+2 +/–
Нет! Ошибки приводящие к переполнения буфера были есть и будут. Дело в ядре OS которое должно давать гарантии невозможности эксплуатации переполнения буфера: https://www.opennet.ru/openforum/vsluhforumID3/122116.html#89 https://www.opennet.ru/openforum/vsluhforumID3/122116.html#90 https://www.opennet.ru/openforum/vsluhforumID3/122119.html#96
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #134

109. Сообщение от Аноним (84), 20-Окт-20, 16:08	+/–
JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона. Поэтому идея W^X, будучи весьма здравой, все же нуждается в своем дальнейшем развитии. (wxallowed пока выглядит как грубейший workaround).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #114

110. Сообщение от Ordu (ok), 20-Окт-20, 16:12	+1 +/–
> потому что пилот уже не управляет самолетом. Пилот - это оператор бортового > компьютера самолета. И да, и нет. Пилот может и оператор, но он остаётся человеком, то есть ему может моча в голову ударить, и он будет бухать за штурвалом, или суицидально направит самолёт в склон горы, или посадит своего ребёнка за штурвал, чтобы тот мог поиграть в пилота. Даже в этих ситуациях ответ "ошибка пилота" будет большой проблемой. Почему? > Видимо, ты хотел сказать, что расследование должно проводиться для выявления и устранения > уязвимостей, а не для наказания. Нет, ты не угадал. Я б сказал, что у тебя подход к поиску ответа неверный -- ты пытаешься найти ответ в стиле, подходящим для школьного экзамена, то есть такой, который можно сформулировать в двух предложениях. Но это реальный мир, в нём таких ответов не бывает. В реальном мире ответом будет ментальная модель проблемы, которая позволяет рассуждать об этой проблеме. Расследование проводится с целью найти причину. А причина нужна для того, чтобы воздействуя на неё, воздействовать на следствие. Это звучит просто, но дальше начинаются проблемы. Первая проблема -- следствие уже наступило, оно уже вытекло из причины. И причина и следствие уже в прошлом и недоступны для нас, мы не можем на них воздействовать. Уязвимые системы уже эксплуатируют, самолёт уже разбился. С этой причиной борятся обобщением: выполняют переход от конкретного события к классу событий, например к пьянке за штурвалом, к безответственности, к классу ошибок use-after-free, buffer-overflow или к чему-нибудь подобному. Этот этап часто игнорируют, и перескакивают от конкретного случая к классу неосознанно, но он тем не менее очень важен, и неосознанно нельзя его проходить. Вторая проблема -- неоднозначность причины: в реальном мире можно найти тысячу разных причин. Пилот бухал за штурвалом? Причиной можно назначить какое-нибудь свойство пилота -- несознательность, депрессию, алкоголизм, ... Можно назначить причиной какое-нибудь свойство второго пилота -- страх перед первым пилотом, или дружеские отношения с ним и нежелание его подставлять. Можно назначить причиной доступность алкоголя в кабине пилота -- ведь если бы алкоголь был бы недоступен пилоту, никакой алкоголизм не смог бы заставить его выпить, потому что пить нечего, если шмонать пилотов при входе в кабину, можно гарантировать отсутствие алкоголя. Можно назначить причиной главного пилота компании, который позволил экипажу вылететь, несмотря на бухого пилота. Можно назначить причиной врача, который не диагностировал алкоголизм пилота. Можно назначить причиной того, кто писал правила, и не вписал туда запрет на алкоголизм у пилотов, и требование врачам компании проводить диагностику алкоголизма. Это можно продолжать довольно долго, и добраться до CEO, который недостаточно пинал своих подчинённых, чтобы те разработали бы правила и процессы, которые бы исключали возможность пьянства за штурвалом. Я отмечу, что эта вторая проблема становится только хуже от первой: потому что избранный способ классифицировать причину/следствие будет влиять на содержание списка возможных причин. Ища причину, ты начнёшь с физической причины -- с изучения траектории движения самолёта, которая привела к столкновению со склоном горы, а закончишь политической. В процессе ты переберёшь причины биологические, психологические, технологические, социальные и экономические. И... ты обрати внимание, что может называться причиной, а что нет определяется тем, какие способы воздействия у нас есть. Способов этих вагон и маленькая тележка -- способы ограничены только изобретательностью. Но выбор способа воздействия зависит от выбранной причины. Причина зависит от способа, а способ от причины. Тут всё очень непросто. Короче, я выше предпринял усилия вогнать тебя в непонятки и спровоцировать процесс мышления на включение. Если мне это не удалось, но тебе всё же хочется понять, в чём проблема, я могу предложить тебе включить мышление силой воли и самостоятельно поискать проблемы в идее весь мир описывать в терминах причин и следствий, которые смогут тебя озадачить. Это единственный способ понять. (Точнее расширить границы своего непонимания и осознанно НЕ понимать большее количество вещей)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #127

111. Сообщение от Аноним (23), 20-Окт-20, 16:15	+/–
У меня были проблемы с java и wine на hardened. И с nvidia-drivers. Шутки ради накатил на несколько инстансов vpsок, некритичных к версиям и процессу обновления. Количество проблем со всякими перлами мне не понравилось. Хороший проект запороли, конечно, но что-то уже взяли в ядро из grsecurity. Пока МС не пришёл, всем было наплевать на безопасность и не брали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #112, #123

112. Сообщение от Аноним (23), 20-Окт-20, 16:16	+/–
А, ещё для адоб флеша приходилось отключать. Как можно пользоваться ПК без адоб флеша в наше время, сегодня… А хотя да, сегодня уже электрон в моде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

113. Сообщение от Ordu (ok), 20-Окт-20, 16:34	+/–
>> уже как несколько десятилетий забанена причина "ошибка пилота" > Что за чушь? А «человеческий фактор», это не вина пилота что ли? > Погугли «МАК назвал причиной крушения Як-42 действия экипажа» и не пиши > больше такую ерунду. Я б рекомендовал тебе не делать поспешных выводов на основании cherry-picked результатах расследований.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

114. Сообщение от Аноним (114), 20-Окт-20, 16:37	+/–
JIT, и все программы которые эту технологию используют не нужны, даже java, firefox, js, ... В 1960-тых когда деды-математики закладывали основы матмоделей безопасности, установили режимы доступа RWX, и сказали WX одновременно - нельзя категорически. https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... 1.1.1.1 Executable code and read-only data must not be writable Any areas of the kernel with executable memory must not be writable. While this obviously includes the kernel text itself, we must consider all additional places too: kernel modules, JIT memory, etc. (There are temporary exceptions to this rule to support things like instruction alternatives, breakpoints, kprobes, etc. If these must exist in a kernel, they are implemented in a way where the memory is temporarily made writable during the update, and then returned to the original permissions.) In support of this are ``CONFIG_STRICT_KERNEL_RWX`` and ``CONFIG_STRICT_MODULE_RWX``, which seek to make sure that code is not writable, data is not executable, and read-only data is neither writable nor executable. Most architectures have these options on by default and not user selectable. For some architectures like arm that wish to have these be selectable, the architecture Kconfig can select ARCH_OPTIONAL_KERNEL_RWX to enable a Kconfig prompt. ``CONFIG_ARCH_OPTIONAL_KERNEL_RWX_DEFAULT`` determines the default setting when ARCH_OPTIONAL_KERNEL_RWX is enabled.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #116

115. Сообщение от Fracta1L (ok), 20-Окт-20, 16:39	+1 +/–
Когда вы перестанете полыхать и примете факт дырявости сишки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #117

116. Сообщение от Аноним (84), 20-Окт-20, 16:47	+/–
JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #122, #151

117. Сообщение от Аноним (51), 20-Окт-20, 17:45	+2 +/–
Ты пишешь заведомо не полную информацию то есть лжёшь, провоцируешь тем самым окружающих на спор с тобой, это называется «троллинг», это очевидное нарушение правила ресурса, но тебя не банят. Почему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #128

118. Сообщение от timur.davletshin (ok), 20-Окт-20, 17:47	+/–
В твоём линуксе есть, инфа 100%.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #136

119. Сообщение от timur.davletshin (ok), 20-Окт-20, 17:51	+1 +/–
Практически все. Вот какой резон новостному ресурсу использовать кастомный шрифт? И ладно, если это что-то приличное, заточенное под экранное отображение, так дебилы везде тулят thin начертания или какой-нибудь кастом, обработанный ttfautohint'ом, чтобы глаза совсем уж не текли у пользователей. Задолбали вообще уже этими ресурсами и JS библиотеками, подгружающимися с левых серверов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

120. Сообщение от Аноним (120), 20-Окт-20, 17:51	+/–
ты что наркоман или прикидываешься? PNG и на помойку? Да я тебя...!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

121. Сообщение от timur.davletshin (ok), 20-Окт-20, 17:55	+/–
pdf в браузере не опаснее обычного веба, а не в браузере у многих смотрелкам хотелки apparmor'ом порезаны. В Debian и Ubuntu например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #142

122. Сообщение от Аноним (123), 20-Окт-20, 17:59	+/–
1. JIT нужен ТОЛЬКО для того, чтобы обеспечить возможность эксплуатации уязвимостей переполнения буфера. 2. Чтобы сохранять уязвимость ваших систем вам пытаются навязать ошибочное мнение, что без JIT на надцатиядерниках с несколькими гигагерцами у вас будут тормоза. И код для вас специально пишут так, чтобы он тормозил и возникала ложная необходимость в JIT.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #125

123. Сообщение от Аноним (123), 20-Окт-20, 18:07	+/–
> но что-то уже взяли в ядро из grsecurity. Ты посмотри реализации и сравни. В GrSecurity строгая, бескомпромиссная реализация, а в Linux дыряво пишут: https://www.linux.org.ru/news/security/15947216?cid=15954516
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

124. Сообщение от Kuromi (ok), 20-Окт-20, 18:14	+/–
"Firefox также использует FreeType, а последнее изменение файла, в котором присутствует уязвимость, было произведено в мае." Tue, 20 Oct 2020 14:56:07 +0300 - уже поправили походу, обновляйтесь до ночнушки и будет вам радость. А вообще - gfx.downloadable_fonts.enabled переключите
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #173

125. Сообщение от Аноним (84), 20-Окт-20, 18:33	+2 +/–
3. JIT придуман инопланетянами для установления контроля над человечеством посредством эксплуатации важных человеческих систем. 4. Эксплуатация будет вестись непосредственно из планеты Нибиру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

126. Сообщение от Аноньимъ (?), 20-Окт-20, 18:45	+/–
> Виноваты тем что не читали документацию, не прошли обучение, не использовали современные > подходы при разработке ПО и как итог — не проверили размер > буфера при копировании. Ниже некий анонимный господин расписал для умственно неполноценных подробно в чем дело. Советую прочитать его комментарий. Там о самолетах и вине пилота.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

127. Сообщение от Аноньимъ (?), 20-Окт-20, 18:53	+1 +/–
Вы какой-то запредельный уровень демонстрируете для этого места. А комментарий ваш я пожалуй зацитирую. Да, всё верно, проблемы существуют на разных уровнях сложности, причем одновременно. Ошибка пилота - нерешаемая, через прямое воздействие на пилота, задача. Пилот, человек, сам-то очень мало контроля над своими действия имеет, потому как живет и управляется сложнейшей системой культуры, религии, общества, близкого круга общения и социальных обстоятельств.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #138

128. Сообщение от Аноньимъ (?), 20-Окт-20, 18:55	+/–
> Ты пишешь заведомо не полную информацию то есть лжёшь, провоцируешь тем самым > окружающих на спор с тобой, это называется «троллинг», это очевидное нарушение > правила ресурса, но тебя не банят. 1. В чем лож то? 2. Если не банят, то может не нарушает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #163, #184

129. Сообщение от Kuromi (ok), 20-Окт-20, 19:06	+/–
Китаефоны получают обычно одно мажорное обновление ОС, с мелкими обновлениями и обновлениями безопасности обычно хуже, но так чтобы вообще без обновлений - это совсем дно. С "ретейловыми" девайсами обычно все зависит от производителя. Скажем Lenovo кидает пару мелких обнов и быстро забивает, может даже без мажорного апгрейда оставить, по опыту телефоны они сопровождают лучше чем планшеты, а Motorola, которая как бы подразделение Lenovo - очень даже активно делает обновления безопасности для своих устройств. Самсунг у меня с Андроид 8 получал обновления до 9 и 10.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

130. Сообщение от Аноним (130), 20-Окт-20, 19:43	+/–
Tor подвержен уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #133, #135

131. Сообщение от пох. (?), 20-Окт-20, 19:47	+1 +/–
> 3/4 популярных сайтов ломаются полностью без кастомных шрифтов, ибо навигация сделана через > них. ну не полностью, квадратики-то останутся. Можешь их наугад тыкать, так даже интереснее ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

132. Сообщение от annual slayer (?), 20-Окт-20, 20:09	+/–
как всегда, NoScript рулит
Ответить | Правка | Наверх | Cообщить модератору

133. Сообщение от annual slayer (?), 20-Окт-20, 20:10	+/–
только если NoScript по-умолчанию UnTrusted для всех (я не помню какие там дефолтные настройки в тор-браузере)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

134. Сообщение от Аноним (50), 20-Окт-20, 20:18	+/–
Да хватит уже своей панацеей торговать. Прочитал древнюю статейку и возомнил себя самым умным? ROP давным-давно придумали, чтобы таких хитрых иметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #159

135. Сообщение от анон111 (?), 20-Окт-20, 21:05	+/–
gfx.downloadable_fonts.enabled;false gfx.downloadable_fonts.woff2.enabled;false browser.display.use_document_fonts  set to 0 настройки для анонов с торбраузером пока не выпустят обнову или нет возможности обновить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

136. Сообщение от Аноним (52), 20-Окт-20, 21:35	+/–
В моём линуксе и Noto Color Emoji есть, но всё-таки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #155

137. Сообщение от онанимуз (?), 20-Окт-20, 21:48	+/–
даже плагины umatrix и ublock квадратики показывают) благо есть всплывающие подсказки при наведкнии курсора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

138. Сообщение от Ordu (ok), 20-Окт-20, 22:32	+/–
> Вы какой-то запредельный уровень демонстрируете для этого места. Это сезонное. Осенняя депрессия. Заносит на поворотах. Сорри.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

139. Сообщение от Аноним (139), 20-Окт-20, 22:36	+/–
> А PNG тот же всеми установленный Noto Color Emoji использует. Если проверенный TTF-шрифт установлен в девайс, то и узвимости нет. Другой вопрос, как предотвратить подгрузку TTF-шрифтов на Android-девайс ('без root'), для которых обновлений безопасности уже не выпускают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

140. Сообщение от Аноним (139), 20-Окт-20, 22:38	+1 +/–
> еще варианты? Жил, GIF и будет GIF
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

141. Сообщение от Аноним (139), 20-Окт-20, 23:19	+/–
> И AWFall обязательно. Каким образом это поможет тебе уберечь твой смарт от данной уязвимости? Разве что на твоем девайсе FreeType не обновлялся после версии 2.6 - https://sourceforge.net/projects/freetype/files/freetype2/2....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

142. Сообщение от Аноним (139), 20-Окт-20, 23:22	+/–
> pdf в браузере не опаснее обычного веба Да, как же быстро время идет... Люди уже и о SHAttered стали забывать - https://shattered.io
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #154

143. Сообщение от Аноним (139), 20-Окт-20, 23:26	+/–
И? В большинстве реп самых популярных дистров обновлений все еще нет - https://repology.org/project/freetype/versions
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

144. Сообщение от Аноним (144), 20-Окт-20, 23:33	+/–
это вы про какие?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #146

145. Сообщение от Аноним (139), 20-Окт-20, 23:43	+2 +/–
$ sudo apt-get remove --purge libfreetype6
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

146. Сообщение от Аноним (139), 20-Окт-20, 23:46	+/–
См. дистры в репах которых уже есть FreeType 2.10.4 - https://repology.org/project/freetype/versions
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

147. Сообщение от Аноним (144), 20-Окт-20, 23:50	+/–
Какие версии FreeType уязвимы?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #156

148. Сообщение от макароновирус (?), 21-Окт-20, 00:05	+/–
В убунте уже. freetype (2.6.1-0.1ubuntu2.5) xenial-security; urgency=medium   * SECURITY UPDATE: heap buffer overflow via integer truncation in     Load_SBit_Png     - debian/patches-freetype/CVE-2020-15999.patch: Update       src/sfnt/pngshim.c to test and reject invalid bitmap size earlier in       Load_SBit_Png. Based on upstream patch.     - CVE-2020-15999 -- Alex Murray <alex.murray@canonical.com>  Tue, 20 Oct 2020 12:53:06 +1030
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #157

149. Сообщение от fuggy (ok), 21-Окт-20, 01:35	+/–
Иконочные шрифты должны уже давно умереть, как вёрстка таблицами. SVG иконки и удобнее, и весят меньше, и перекрасить легко. Да просто через userstyles подключаешь свой проверенный локальный шрифт или используешь unicode emoji вместо (чего хипстеры там любят использовать?) font awersome. А остальные запрещаешь через ublock и настройки браузера, и к тебе больше ни какие левые шрифты не загрузятся. Будет быстрее — не надо ждать ответа от CDN. В большинстве случаев даже по квадратикам можно понять кнопки. Ещё бы они писали подсказки и проблем бы не было, для тех кому совсем не нравятся иконочные шрифты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #183

150. Сообщение от Карабьян (?), 21-Окт-20, 02:40	+/–
> Не всех, а только тех кто разрешает исполнятся изменяемому коду. Используете нормальные > дистрибутивы. Это вы про нетбсд опять? Вы бы лучше написали бы, как в обычном линуксе все это настроить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

151. Сообщение от Карабьян (?), 21-Окт-20, 02:44	+/–
> JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона. Сколько разновидностей джаваскрипт машин осталось? Единый байт код на все не поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

152. Сообщение от Карабьян (?), 21-Окт-20, 02:52	+/–
Интересно, как в хроме настраивают это все? У них вроде about:congig нету
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

153. Сообщение от Аноним (153), 21-Окт-20, 04:54	+/–
Говорила мама не смотри на всяких левых сайтах порношрифты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #158

154. Сообщение от timur.davletshin (ok), 21-Окт-20, 05:05	+/–
Какое отношение коллизия имеет к безопасности? Ляпнул вообще не в ту корзину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #160

155. Сообщение от timur.davletshin (ok), 21-Окт-20, 05:08	+/–
Тогда у тебя есть Opensymbol и Noto Symbols/Noto Symbols 2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #164

156. Сообщение от Аноним (139), 21-Окт-20, 07:00	+/–
> Какие версии FreeType уязвимы? Конкретно к этому CVE уязвимы версии после 2.6. Ранние версии имеют свои CVE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147

157. Сообщение от Аноним (139), 21-Окт-20, 07:05	+/–
> В убунте уже. Да, они молодцы - http://changelogs.ubuntu.com/changelogs/pool/main/f/freetype... ; А в Debian (ни в buster, ни в sid) все еще нет патчей - https://metadata.ftp-master.debian.org/changelogs//main/f/fr...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #162

158. Сообщение от Аноним (139), 21-Окт-20, 07:08	+/–
> не смотри на всяких левых сайтах порношрифты. MyFonts, Open Font Library, вот это все
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

159. Сообщение от Карабьян (?), 21-Окт-20, 07:48	+/–
> Да хватит уже своей панацеей торговать. Прочитал древнюю статейку и возомнил себя > самым умным? ROP давным-давно придумали, чтобы таких хитрых иметь. Один про сишные дыры орет, второй про якобы панацею от них, называя при том почему-то словом, исторически означающим совсем иное (DAC)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

160. Сообщение от Аноним (139), 21-Окт-20, 09:39	+/–
> Какое отношение коллизия имеет к безопасности? Как рендерятся в браузере шрифты встроенные в PDF?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #161

161. Сообщение от timur.davletshin (ok), 21-Окт-20, 10:19	+/–
Поглифно рисуются при помощи https://github.com/mozilla/pdf.js/blob/master/src/core/font_... С учётом того, что делается это в песочнице, про выход из которой нет сообщений, то твои инсинуации напрасны. Ещё вопросы? Ды, ты так и не ответил, какое отношение твоя ссылка про коллизии в SHA1 имеет к шрифтам и PDF...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

162. Сообщение от timur.davletshin (ok), 21-Окт-20, 10:23	+/–
>> В убунте уже. > Да, они молодцы - http://changelogs.ubuntu.com/changelogs/pool/main/f/freetype... > ; А в Debian (ни в buster, ни в sid) все > еще нет патчей - https://metadata.ftp-master.debian.org/changelogs//main/f/fr... В Дебиан оно банально не работает. ХЗ, почему, но у меня тот шрифт не вызывает никаких описанных в отчёте проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #171

163. Сообщение от Аноним (51), 21-Окт-20, 11:07	–2 +/–
https://ru.wikipedia.org/wiki/%D0%9B%D0%... Изучай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #167

164. Сообщение от Аноним (164), 21-Окт-20, 11:20	+/–
Я тонко намекаю, что мой локалхост ≠ локалхосту пользователей всех времён и народов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #165

165. Сообщение от timur.davletshin (ok), 21-Окт-20, 11:26	+/–
> Я тонко намекаю, что мой локалхост ≠ локалхосту пользователей всех времён и > народов. Ты переоцениваешь свою уникальность. Символьные шрифты есть на всех десктопах. Если это только не гентовод или арче...чер, пытающиеся собрать минимальную систему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #168

166. Сообщение от Аноним (166), 21-Окт-20, 11:31	+/–
1. Андроидный ВебВью обновляется из плеймаркета вместе с хромом? 2. Он таскает с собой свой собственный ФриТайп?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

167. Сообщение от Аноньимъ (?), 21-Окт-20, 12:35	+/–
> https://ru.wikipedia.org/wiki/%D0%9B%D0%... > Изучай. Ложь заключается в странице википедии о лжи? С вами всё в порядке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163

168. Сообщение от Аноним (164), 21-Окт-20, 12:40	+/–
Символьные шрифты, в которых есть все символы, которые тебе понадобятся? Евгений Ваганыч, не признал вас в гриме, богатым будете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #169

169. Сообщение от timur.davletshin (ok), 21-Окт-20, 12:47	+1 +/–
Чо ты чешешь? Какие там тебе глифы нужны, которых нет в дефолтной поставке любого десктопного линукса? Кнопочек play или поисковой лупы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

170. Сообщение от Аноним (170), 21-Окт-20, 22:01	+/–
Ээ, почему именно  jpg и tiff? Почему не webp, не av1?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

171. Сообщение от Аноним (139), 22-Окт-20, 11:15	+/–
> В Дебиан оно банально не работает. Не знаю как у тебя, но Дебиан вчера накатил security патч в авральном режиме (но чейнджлога все еще нет) https://packages.debian.org/stable/source/freetype
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162 Ответы: #172

172. Сообщение от timur.davletshin (ok), 22-Окт-20, 11:47	+/–
Да, прилетел, но тесткейс у меня и до этого не работал и после него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

173. Сообщение от Аноним (173), 22-Окт-20, 12:01	+/–
В ESR ещё не пофиксили, даже в 78.4
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #174

174. Сообщение от Kuromi (ok), 22-Окт-20, 17:01	+/–
> В ESR ещё не пофиксили, даже в 78.4 Честно говоря не понимаю почему. Смотрю по багам закрытым в последних билдах нчонушки (после релиза 82) - там идет вал того что отложили до перехода 83 из ночнушки в бету. Сейчас, в начале цикла там вообще все что угодно можно делать. Поправка - вчера пофиксили, https://hg.mozilla.org/mozilla-central/log/tip/modules/freet... Bug 1672223 - [sfnt] Fix heap buffer overflow.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173

175. Сообщение от Kuromi (ok), 22-Окт-20, 17:08	+/–
В Firefox Nightly уже прилетел фикс, Bug 1672223 - [sfnt] Fix heap buffer overflow.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #178

176. Сообщение от Аноним (176), 22-Окт-20, 17:59	–1 +/–
Я открыл этот шрифт и линукс завис намертво
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #181

177. Сообщение от Аноним (42), 22-Окт-20, 22:52	+/–
Да хрен с ними со шрифтами - в них иконки специально пихают, чтобы вынудить нас позволить себя ломать полностью. Хорошо что хоть по тексту URL всё нужное видно. А на GitLabе я и так помню что где.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

178. Сообщение от Аноним (42), 22-Окт-20, 22:57	–1 +/–
Зато в дропнутую ведроверсию он не прилетит никогда. Желаю корпорацие Мозилла обанкротиться поскорее. Тогда с с мозилловой версией Firefox конкурировать будет не надо, авось кто-нибудь и возьмётся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #179

179. Сообщение от Kuromi (ok), 23-Окт-20, 23:02	+/–
> Зато в дропнутую ведроверсию он не прилетит никогда. Желаю корпорацие Мозилла обанкротиться > поскорее. Тогда с с мозилловой версией Firefox конкурировать будет не надо, > авось кто-нибудь и возьмётся. Не знаю что вы так цепляетесь за нее. Да, конечно переход на новую версию прошел не очень гладко и в очередной раз пользователи потеряли тонну аддонов (мозилла как будто не замечает, что с каждым таким "переписыванием" аддонов становится все меньше), но вцелом - нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178

180. Сообщение от Олег (??), 24-Окт-20, 23:14	+/–
Как это можно сравнивать :-D? png сжимать картинку без потерь, в отличии от jpeg. png умеет прозрачность, в отличии от jpeg. Png не заменить в web jpeg'ом. И уж если на свалку и гнать кого, так jpeg.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

181. Сообщение от Аноним (42), 25-Окт-20, 21:17	+1 +/–
А брат жив?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176

182. Сообщение от Аноним (182), 26-Окт-20, 23:13	+/–
Задрали тупые программисты, и зачем же эти кретины делают ошибки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

183. Сообщение от Аноним (182), 26-Окт-20, 23:18	+/–
Круче PostScript иконки, чем SVG.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

184. Сообщение от Michael Shigorin (ok), 29-Окт-20, 19:50	+/–
> 2. Если не банят, то может не нарушает? Чтобы добиться технического бана на опеннете, надо быть куда более ушибленым (видал N малое прецедентов).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

185. Сообщение от ыы (?), 31-Окт-20, 16:57	+/–
Запрошенный font.ttf не является файлом шрифтов... Упс...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема