The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.08.2015 09:30  В Firefox устранена критическая 0-day уязвимость в PDF.js

Разработчики проекта Mozilla сообщили о выявлении критической уязвимости (CVE-2015-4495) в PDF-просмотрщике PDF.js, встроенном в браузер Firefox. Для устранения проблемы оперативно выпущены обновления Firefox 39.0.3 и 38.1.1 ESR. При этом сообщается, что ещё до выхода исправления в сети зафиксированы факты эксплуатации данной уязвимости через размещение вредоносных рекламных блоков на одном из российских новостных сайтов общей тематики.

Уязвимость позволяет атакующему обойти ограничения режима изоляции JavaScript-кода (same origin) и выйти за пределы браузерного окружения, что даёт возможность прочитать содержимое локальных файлов в окружении пользователя и осуществить выполнение JavaScript-кода в контексте локальных файлов. Например, используемый для атаки вредоносный код внедрялся в PDF.js и выполнял поиск файлов, содержащих персональные сведения пользователя, после чего загружал их на сервер злоумышленников. Поражались не только компьютеры с Windows, но и Linux-системы.

После эксплуатации в Windows осуществлялся поиск файлов конфигурации, которые могут содержать пароли, в том числе настройки subversion, s3browser, Filezilla, .purple, Psi+, популярных FTP-клиентов. В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек Remmina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов. Использование дополнений для блокирования рекламы могло защитить от выполнения эксплоита, в зависимости от вида используемых фильтров и блокировщиков.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google открыл исходный код PDF-движка Chrome
  3. OpenNews: Полноценная программа для чтения PDF, написанная целиком на JavaScript
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: firefox, pdf
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:24, 07/08/2015 [ответить] [смотреть все]
  • +24 +/
    Что за сайт? Зачем скрывать имя сайта?
     
  • 1.2, Аноним, 10:28, 07/08/2015 [ответить] [смотреть все]
  • –4 +/
    О, уже и 0 3 есть Решил установить Firefox в Gentoo Смотрю - последняя верс... весь текст скрыт [показать]
     
     
  • 2.15, Аноним, 11:28, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Назвался груздём, полезай в кузов Тебе же религия противоречит юзать бинарные, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Perl_Jam, 14:28, 07/08/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    www-client firefox-bin Available versions 31 7 0 ms 31 8 0 ms 38 1 0 ms ... весь текст скрыт [показать]
     
     
  • 4.129, Rekdo, 06:43, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Что-то мейнтейнеры тормозят с ебилдом для обновлённой лисы В Арче пакет собрали... весь текст скрыт [показать]
     
  • 4.154, XoRe, 13:44, 10/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Выше человек честно написал "теперь пересобирать, и ждать".
    Так что мимо.
     
  • 2.113, Аноним, 00:06, 08/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В манжаре тоже нету обнов
     
  • 1.3, Аноним, 10:28, 07/08/2015 [ответить] [смотреть все]  
  • +/
    Адблок бы спас или нет?
     
     
  • 2.9, Аноним22, 10:47, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пишут People who use ad-blocking software may have been protected from this exp... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Аноним, 12:58, 07/08/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    >по ссылке же все есть

    Прошу прощения, был взволнован.

     
  • 3.36, Аноним, 15:13, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А я уж точно был защищен от этого эксплойта - я этот тормозной и неюзабельный ши... весь текст скрыт [показать]
     
     
  • 4.134, XXasd, 20:36, 08/08/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Ох Святая наивность Я катаюсь со смеху В ней дыр наверняка в 1000-раз боль... весь текст скрыт [показать]
     
     
  • 5.135, Аноним, 22:29, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Во первых - покажи их Во вторых - для начала, авторы этой открывашки не били се... весь текст скрыт [показать]
     
     
  • 6.136, arisu, 22:42, 08/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    ты думаешь, он хоть слово понял?
     
  • 1.4, Аноним, 10:28, 07/08/2015 [ответить] [смотреть все]  
  • +3 +/
    about:config -> pdfjs.disabled = true

    не велика потеря, он медленный

     
     
  • 2.7, Читама, 10:39, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, быстрее Sumatra PDF ничего PDF не открывает Причем даже под wine он заметно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, anonymous, 14:01, 07/08/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    mupdf работает мгновенно, на моем опыте и компьютере ... весь текст скрыт [показать]
     
  • 3.29, Аноним, 15:02, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Не знаю кому там что забавно, а обычный evince открывает огроменные PDFники как ... весь текст скрыт [показать]
     
     
  • 4.38, www777, 15:23, 07/08/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Sumatra хорошая открывашка PDF для Windows Ну и для Linux, если пользователь из... весь текст скрыт [показать]
     
     
  • 5.42, Anonplus, 15:57, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Хорошая, но не очень фичастая Я предпочитаю PDF X-Change Viewer, который в бесп... весь текст скрыт [показать]
     
     
  • 6.130, Rekdo, 06:45, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Круто, надо будет попробовать, а то Okular что производительностью, что фичастос... весь текст скрыт [показать]
     
     
  • 7.131, arisu, 12:22, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    , сборище извращенцев вы где 8208 нибудь в интимном уголке не можете дели... весь текст скрыт [показать]
     
     
  • 8.149, Аноним, 22:57, 09/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    усира против свободы слова в интернете! как это прекрасно!
     
     
  • 9.150, arisu, 23:02, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    интересно, почему любой дегенерат 8212 вот наподобие тебя, например, 8212 ... весь текст скрыт [показать]
     
  • 5.44, Аноним, 17:06, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    только в ней редактирования (заполнения полей) нет, что как бы не вариант.
     
     
  • 6.47, Аноним, 18:48, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Поля заполнять нужно мне например намного реже, чем по быстрому просмотреть до... весь текст скрыт [показать]
     
  • 5.106, Ytch, 23:32, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Evince, кстати, тоже неплохая открывашка PDF и в windows-версии Причем оно там ... весь текст скрыт [показать]
     
  • 4.40, soarin, 15:43, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ага, а потом эта пушка с таким скрипом страницы перематывает, что ужос ... весь текст скрыт [показать]
     
     
  • 5.48, Crazy Alex, 18:50, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А чтобы потом вменяемо перемалывало - qpdfview - он, кажется, единственный, имее... весь текст скрыт [показать]
     
  • 5.51, Аноним, 19:24, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Хз, не заметил У меня оно довольно резво рендерит невъ е даташиты по 600 стра... весь текст скрыт [показать]
     
     
  • 6.64, soarin, 20:26, 07/08/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Фигня, от количества страниц не зависит Надо чтоб одна страница была крутой, на... весь текст скрыт [показать]
     
     
  • 7.70, Аноним, 20:52, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну я как-то обычно читаю более реалистичные и менее нутые документы Ну там д... весь текст скрыт [показать]
     
     
  • 8.85, Ан, 21:38, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    А зачем раскидывать ресурсы когда есть инструмент который их экономнее расходует... весь текст скрыт [показать]
     
     
  • 9.107, Аноним, 23:33, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Как известно, преждевременная оптимизация - корень всех зол ... весь текст скрыт [показать]
     
  • 8.158, iPony, 11:05, 11/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А чем тебе комиксы то в хайрезе не угодили Зайди на ту же comixology Реалистич... весь текст скрыт [показать]
     
  • 4.153, Аноним, 09:29, 10/08/2015 [^] [ответить] [смотреть все]  
  • +/
    QPdfView 162х страничный PDF за 2 секунды.
     
     
  • 5.155, Аноним, 13:45, 10/08/2015 [^] [ответить] [смотреть все]  
  • +/
    mupdf, открыть 1360-и страничный PDF Straustrup4th 8211 примерно половина с... весь текст скрыт [показать]
     
     
  • 6.156, Аноним, 14:01, 10/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Я раньше тоже mupdf пользовался, но больно не нравится мне его управление Так... весь текст скрыт [показать]
     
  • 3.45, Andrey Mitrofanov, 17:10, 07/08/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Суматра твоя сделана на рендерере MuPDF С нативным mupdf сравнивал Заметно б... весь текст скрыт [показать]
     
  • 3.46, Аноним, 18:37, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    столько ошибок в названии Zathura Пруф будет Скажем, zathura c плагином pdf... весь текст скрыт [показать]
     
     
  • 4.52, Аноним, 19:24, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А оно забавное, но какое-то совсем уж инопланетное по интерфейсу ... весь текст скрыт [показать]
     
     
  • 5.53, arisu, 19:32, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    vi же ... весь текст скрыт [показать]
     
     
  • 6.63, Аноним, 20:23, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну, понимаешь, кэп, у меня даже на ноуте раза в два-три больше кнопок чем на тех... весь текст скрыт [показать]
     
     
  • 7.65, arisu, 20:37, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    что смешно 8212 vi-like как раз потому продуктивней, что меньше разных кноп... весь текст скрыт [показать]
     
     
  • 8.72, Аноним, 20:55, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А у меня не один палец и поэтому вбахать какой-нибудь лобовой ctrl somthing или ... весь текст скрыт [показать]
     
  • 5.56, Аноним, 19:59, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    не забавнее суматры http www sumatrapdfreader org manual html ... весь текст скрыт [показать]
     
  • 2.11, Аноним, 11:03, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пока остается только верить в то что эта опция отключает pdfjs и спасает от уязв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 15:04, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Можно намного проще Preferences - Applications - Portable Document - меняем ... весь текст скрыт [показать]
     
     
  • 4.118, all_glory_to_the_hypnotoad, 00:42, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    это не помогает. Заюзать баг, афаик, можно просто из js кода
     
     
  • 5.123, Аноним, 03:33, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Насколько я понял, смысл атаки вроде как нечто типа такого 1 Подсовыаем лоху ... весь текст скрыт [показать]
     
     
  • 6.125, arisu, 03:53, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    собственно, оно даже не pdf как таковой подпихивает, object с нужным content-typ... весь текст скрыт [показать]
     
     
  • 7.137, Аноним, 22:50, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну да Главное чтобы левый код выполнился На самом деле он должен бы обломаться... весь текст скрыт [показать]
     
     
  • 8.141, arisu, 01:17, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    я имел в виду 171 если нет скриптодавилок 187 не преобразовывают, лажа не в... весь текст скрыт [показать]
     
  • 8.148, Аноним, 13:21, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Не пдф там выполняется PDF js 8212 название мозилловской смотрелки, она и вы... весь текст скрыт [показать]
     
  • 1.5, Ващенаглухо, 10:29, 07/08/2015 [ответить] [смотреть все]  
  • +2 +/
    Да, героев надо знать в лицо!
     
     
  • 2.31, Аноним, 15:06, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    > Да, героев надо знать в лицо!

    Самый угар что этот мегатормоз был написан на JS с аргументом что так безопаснее.

    Итог? Оно встает колом на пару минут на любом крупном PDF, валит браузер по OOM, а бонусом оказалось что слухи про безопасность были сильно преувеличены.

     
     
  • 3.43, Anonplus, 15:58, 07/08/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Почему преувеличены Оно не позволяет выполнять произвольный код, например В да... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 19:43, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то как раз позволяет JS который обходит разделение прав - пашет с правам... весь текст скрыт [показать]
     
     
  • 5.55, arisu, 19:53, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    да, фактически, с правами system principal можно всё, что может сишный софт во ... весь текст скрыт [показать]
     
     
  • 6.62, Аноним, 20:17, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Именно Какая мне разница, на чем написан софт который неконтролируемо шарится п... весь текст скрыт [показать]
     
     
  • 7.66, arisu, 20:38, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    мозилла тоже но то воркеры, а то код с system principal на самом деле всё в по... весь текст скрыт [показать]
     
     
  • 8.74, Аноним, 21:00, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    На самом деле у мозиллы дофига кода и половина работает с обычными правами польз... весь текст скрыт [показать]
     
     
  • 9.78, arisu, 21:15, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    ты путаешь две совершенно разные платформы mozilla platform 8212 очень интер... весь текст скрыт [показать]
     
     
  • 10.84, Аноним, 21:33, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Смотря что понимать под очень четким Все это крутится в одном процессе, а за ра... весь текст скрыт [показать]
     
     
  • 11.87, arisu, 21:48, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    а это как раз и относится к тому, что mozilla platform писали одни, а портят её ... весь текст скрыт [показать]
     
     
  • 12.108, Аноним, 23:39, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    И что хуже - отпускают заведомо ложные заявления А потом безопасный модуль du... весь текст скрыт [показать]
     
  • 11.88, arisu, 21:51, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    p s с таким повреждением мозгов, как у теперешней мозиллы, и e10s не спасёт су... весь текст скрыт [показать]
     
     
  • 12.109, Аноним, 23:40, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Если бы он крутился в отдельной _песочнице_ - duq бы упер сильно меньше данных н... весь текст скрыт [показать]
     
     
  • 13.114, arisu, 00:09, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    нет он написан такими же идиотами, как те, которые удивляются, зачем приличные ... весь текст скрыт [показать]
     
     
  • 14.119, Аноним, 00:55, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Там чисто технически тырились бы без проблем разве что сильно некоторые данные о... весь текст скрыт [показать]
     
     
  • 15.120, arisu, 01:09, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    ты снова ничего не понимаешь в архитектуре mozilla platform таки я тебе заново ... весь текст скрыт [показать]
     
     
  • 16.146, Аноним, 04:11, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Это был отсыл к архитектуре песочниц хрома Если уж они так хотят походить на хр... весь текст скрыт [показать]
     
     
  • 17.147, arisu, 04:51, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    старая добрая мозилла времён когда только начали сходить с ума, а потому ничего ... весь текст скрыт [показать]
     
  • 11.89, Аноним, 21:57, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    https marketplace firefox com оно ... весь текст скрыт [показать]
     
  • 7.67, Аноним, 20:41, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Можно же и сам фаерфокс запускать, скажем, от отдельного юзера Хотя бы ... весь текст скрыт [показать]
     
     
  • 8.69, arisu, 20:45, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    можно много чего сделать. но будет ли этим заморачиваться casual user?
     
  • 5.57, arisu, 20:04, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    p s а вообще 8212 конечно, всего лишь смогли спереть все пользовательские па... весь текст скрыт [показать]
     
  • 1.6, Аноним, 10:30, 07/08/2015 [ответить] [смотреть все]  
  • +4 +/
    Так что за сайт то? Как я узнаю заходил я туда или нет.
     
     
  • 2.16, vn971, 11:35, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    оставил комментарий с этим вопросом https blog mozilla org security 2015 08 0... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, РОСКОМУЗОР, 10:43, 07/08/2015 [ответить] [смотреть все]  
  • +/
    А что за помойка "общей тематики"?
     
  • 1.12, Аноним, 11:04, 07/08/2015 [ответить] [смотреть все]  
  • +/
    да скажите наконец то что за сайт
     
  • 1.13, Аноним, 11:20, 07/08/2015 [ответить] [смотреть все]  
  • +4 +/
    Мало того что сделали самый убогий pdf вьювер в мире, так ещё и умудрились такие... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 12:49, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Зато на javascript'e. Модно, стильно, молодежно.
     
  • 1.14, Kott, 11:28, 07/08/2015 [ответить] [смотреть все]  
  • +/
    действительно, сказали бы что за сайт
    надеюсь, ноускрипт тоже не пропускает тот блок
     
  • 1.17, vn971, 11:36, 07/08/2015 [ответить] [смотреть все]  
  • +/
    Многие тут спрашивают в комментах "что за сайт был". Задал этот вопрос здесь: https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild
     
  • 1.18, Аноним, 11:43, 07/08/2015 [ответить] [смотреть все]  
  • –1 +/
    39-я мобильная версия стабильно падает на newsru.com
     
     
  • 2.20, backbone, 12:55, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У меня 39-я мобильная падает постоянно и без pdf-ок на Nexus 4 и Nexus 7 с после... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, arisu, 14:36, 07/08/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    так падает же повторяемо? значит, стабильная версия со стабильными падениями.
     
     
  • 4.27, backbone, 14:43, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Не воспроизводимо, скорее почти случайно, Send Report или как её там несколько... весь текст скрыт [показать]
     
     
  • 5.28, arisu, 14:48, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    171 что 8208 то не то 187 с кодовой базой уже давно как её начали активно ... весь текст скрыт [показать]
     
     
  • 6.32, Аноним, 15:08, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ее начали реFUCKторить То вкладки переделают, то DRM запилят, то pocket завнедр... весь текст скрыт [показать]
     
     
  • 7.35, arisu, 15:12, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    они и внутри активно перетряхивают код, который до этого годами работал и каши н... весь текст скрыт [показать]
     
     
  • 8.121, Ytch, 02:06, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    И, насколько я помню, в той статье этот Джоэль писал в качестве реального и пок... весь текст скрыт [показать]
     
     
  • 9.122, arisu, 02:16, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    не менее смешно то, что сама мозилла родилась из фатального решения нетскейпа ... весь текст скрыт [показать]
     
     
  • 10.124, Ytch, 03:33, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Точно Джоэль-то и писал, вроде, о той самой версии netscape, которую переписыва... весь текст скрыт [показать]
     
     
  • 11.133, arisu, 17:08, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    а знаешь, что ещё дико смешно цитата из переписки с автором pale moon то бишь ... весь текст скрыт [показать]
     
     
  • 12.139, Аноним, 23:37, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Ух ты, а мозилла таки таланты Такие креативные баги сажать умеет далеко не кажд... весь текст скрыт [показать]
     
     
  • 13.140, arisu, 01:14, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    работают стараются улучшают безопасность и изоляцию ... весь текст скрыт [показать]
     
     
  • 14.157, Аноним, 19:59, 10/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Кого же мне это напоминает а, были там как-то перцы В 1986 году Ставили экс... весь текст скрыт [показать]
     
  • 12.142, Аноним, 03:19, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Подозреваю что они сделают "как в хроме". А до тех пор - вот вам франкенштейн.
     
  • 4.34, Аноним, 15:11, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Да у мозиллы вообще каждая версия все трэшовее и угарнее Стабильность - признак... весь текст скрыт [показать]
     
  • 1.22, Нанобот, 12:58, 07/08/2015 [ответить] [смотреть все]  
  • +10 +/
    раньше хакерам пришлось бы  подбирать адреса памяти и искать всякие там rop-гаджеты для каждой целевой платформы, теперь же всё просто - один эксплойт работает на всех платформах, вплоть до самых диковинных. кроссплатформенность, однако
     
  • 1.26, arisu, 14:37, 07/08/2015 [ответить] [смотреть все]  
  • +4 +/
    а ведь сколько говорят всяким идиотам: браузер — он для просмотра страниц. а не для всякой левой фигни (включая «уеб‐приложения»). казалось бы, до гусеницы уже дойти должно — но нет, люди тупее гусениц.
     
     
  • 2.33, Аноним, 15:09, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тут скорее мозилле отлилось ее бахвальство с тем что JS - это вам не сишечка, он... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, arisu, 15:19, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    js-то более 8208 менее безопасный, тут они правы если это сферический js в вак... весь текст скрыт [показать]
     
     
  • 4.58, Аноним, 20:09, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну так числокрушилка без IO - относительно безвредная штука А вот как только по... весь текст скрыт [показать]
     
  • 1.39, Аноним, 15:24, 07/08/2015 [ответить] [смотреть все]  
  • –1 +/
    А если кому-то из разработчиков АНБ проплатил небольшую ошибочку , то еще легче... весь текст скрыт [показать]
     
  • 1.41, Аноним, 15:55, 07/08/2015 [ответить] [смотреть все]  
  • +/
    Не зря я первым делом при свежей установке отключаю этот pdf js и прочие свистоп... весь текст скрыт [показать]
     
  • 1.49, iZEN, 18:57, 07/08/2015 [ответить] [смотреть все]  
  • –1 +/
    ===>>> The following actions will be taken if you choose to proceed:
    Upgrade firefox-39.0,1 to firefox-40.0,1
    Install databases/py-sqlite3
    Install devel/autoconf213
    Upgrade firefox-i18n-39.0 to firefox-i18n-40.0
     
     
  • 2.59, Аноним, 20:10, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Казалось бы, нафуя это файрфоксу Это в фрибзде такие нутые зависимости у пак... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, arisu, 20:12, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    ну, если оно ставит dev-окружение, то как минимум 213-е автотулзы да, потому что... весь текст скрыт [показать]
     
     
  • 4.76, Аноним, 21:08, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Я думал что изя хвастается бинарными пакетами А там какая-то бидонодрянь для ск... весь текст скрыт [показать]
     
     
  • 5.82, arisu, 21:27, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    213 8210 е автотулзы 8212 вполне себе стэндалон, могущий сосуществовать с др... весь текст скрыт [показать]
     
     
  • 6.110, Аноним, 23:43, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Ээээ насчет 213 не помню, но автотулсы вроде всегда хотели еще и m4, и даже чуть... весь текст скрыт [показать]
     
     
  • 7.116, arisu, 00:25, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    ну, m4 таки есть же, не думаю, что это первый собираемый из сырцов пакет да и г... весь текст скрыт [показать]
     
  • 3.61, Аноним, 20:17, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Какой пакет Что за мода, вопить не разобравшись http www freshports org www ... весь текст скрыт [показать]
     
  • 3.68, iZEN, 20:44, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Это - пакеты поддержки сборки Убунтятам не понять ... весь текст скрыт [показать]
     
     
  • 4.77, Аноним, 21:09, 07/08/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Лол, ты поставил пакетную систему чтобы самому один хрен все компилить Д... весь текст скрыт [показать]
     
  • 2.132, iZEN, 13:21, 08/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Compilation failed unexpectedly Try to set MAKE_JOBS_UNSAFE yes and rebuil... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.151, iZEN, 23:50, 09/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    % pkg info -x firefox
    firefox-40.0_1,1
    firefox-i18n-40.0

    Ух, отлегло...

     
  • 1.71, Inkelyad, 20:53, 07/08/2015 [ответить] [смотреть все]  
  • +/
    У меня, кажется, есть живой экземпляр. То ли самого зловреда, то ли нагрузки. Во всяком случае список файлов внутри очень описываемый похож. Куда сейчас принято подобное складывать/выкладывать и стоит ли?
     
     
  • 2.73, arisu, 20:58, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    на rghost. туда всю фигню складывают.
     
     
  • 3.75, Inkelyad, 21:01, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А дальше? Куда ссылку кидать? И, повторю - стоит ли?
     
     
  • 4.79, Аноним, 21:18, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Сюда же и кидай - тут в основном все-таки не секретарши А если кто скачает опас... весь текст скрыт [показать]
     
     
  • 5.83, Inkelyad, 21:28, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну хорошо http rghost net 6HTzsrdLR Но это, скорее всего, только нагрузка, в... весь текст скрыт [показать]
     
     
  • 6.86, arisu, 21:44, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    по первому взгляду 8212 это именно склееная нагрузка и пробивалка она таки п... весь текст скрыт [показать]
     
  • 6.90, Аноним, 22:06, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Действительно, по многим признакам это выглядит как агрессивная пакость, эксплуа... весь текст скрыт [показать]
     
     
  • 7.93, Аноним, 22:13, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А, да, админов нага пни что там у них идет такая атака Там половине сайта похож... весь текст скрыт [показать]
     
  • 7.94, Inkelyad, 22:13, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну в security мозилловское я уже файлик послал И касперским Я думаю, поделятьс... весь текст скрыт [показать]
     
     
  • 8.143, Аноним, 03:21, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Абсолютно не факт Думаешь, они в курсе о наге Тем более что наг - не антивирус... весь текст скрыт [показать]
     
  • 7.97, Аноним, 22:31, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Что оно там упереть-то пыталось, можно список, лол ... весь текст скрыт [показать]
     
     
  • 8.98, Inkelyad, 22:32, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Тут некоторые уже мой файлик скачать успели, пускай аккуратно и в правильных мес... весь текст скрыт [показать]
     
  • 8.104, arisu, 23:08, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    да примерно то, что в новости и написано кучки txt-файлов по маскам 171 pa... весь текст скрыт [показать]
     
  • 7.101, Аноним, 22:55, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Когда станут известны IP, куда уходила информация - опубликуйте их please, чтобы... весь текст скрыт [показать]
     
     
  • 8.111, Аноним, 23:50, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    А оно особо вроде и не прячется url http acintcdn net delivery php 3c7b... весь текст скрыт [показать]
     
  • 6.91, anonymous, 22:07, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    кинул сюда, но оперативно удалили https blog mozilla org security 2015 08 06 ... весь текст скрыт [показать]
     
     
  • 7.92, Inkelyad, 22:08, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Последую ка и я их примеру.
     
  • 7.95, anonymous, 22:15, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    > но оперативно удалили

    и вернули обратно.

     
     
  • 8.96, Inkelyad, 22:17, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    >> но оперативно удалили
    > и вернули обратно.

    Уже поздно. Я файлик снес.

     
     
  • 9.100, Аноним, 22:54, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Удалить что-то из интернета - не сильно просто Да и смысл В любом случае, лис... весь текст скрыт [показать]
     
     
  • 10.103, Inkelyad, 23:04, 07/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ссылка на страницы мозиллы появилась А у нее, предположительно, аудитория побол... весь текст скрыт [показать]
     
     
  • 11.112, Аноним, 23:57, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Судя по тому что я вижу - лучше пусть неумелые скриптокидозники заставят всех за... весь текст скрыт [показать]
     
  • 4.81, arisu, 21:21, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    сюда кидай, например прямо с предупреждением о том, что там а почему нет как ... весь текст скрыт [показать]
     
     
  • 5.99, Аноним, 22:52, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    По некоторым признакам смахивает на очередной модуль duq, кроссплатформенный и о... весь текст скрыт [показать]
     
     
  • 6.102, arisu, 23:03, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    вряд ли 8212 так глупо спалить такой вкусный сплоит 8230 ... весь текст скрыт [показать]
     
     
  • 7.105, arisu, 23:12, 07/08/2015 [^] [ответить] [смотреть все]  
  • +/
    хотя, возможно, просто слили отработаный материал, гыг чтобы при случае кивать ... весь текст скрыт [показать]
     
  • 7.115, Аноним, 00:10, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Они вроде как мониторят 0-day и агрессивно пользуются не только неизвестными дыр... весь текст скрыт [показать]
     
  • 2.80, anonymous, 21:20, 07/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    запаковать и на любой обменник через TOR.
     
  • 2.126, th3m3, 04:02, 08/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Этот скрипт может пробить связку uBlock+Ghostery+Reguest Policy+NoScript? Учитывая, что в NoScript может быть разрешение на скрипты на странице, не полная блокировка js.
     
     
  • 3.127, arisu, 04:07, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    мозг включаем, да. мы тут для кого, $#&%%@$, распинались, расписывая, как это работает?
     
     
  • 4.128, th3m3, 04:10, 08/08/2015 [^] [ответить] [смотреть все]  
  • +/
    В теории, если речь идёт о новостном сайте - то при блокировке рекламы, скрипт не должен срабатывать.
     
  • 3.144, Аноним, 03:36, 09/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Зависит от настроек связки и браузера Ты связку настраивал - себе и задай этот ... весь текст скрыт [показать]
     
  • 3.152, vn971, 00:32, 10/08/2015 [^] [ответить] [смотреть все]  
  • +/
    Зависит, думаю, от того где хостился этот эксплоит.

    Если в iframe и стороннем сайте, то это было вычищено RP-шкой. (Насколько я вычитал, именно так и было для того сайта где спалили проблему. Хотя могло быть по-другому для других сайтов.)
    Если эксплоит отдавался с того же домена, то всё выглядит не так удачным для вас..

    Кстати, это тот случай когда Policeman/uMatrix показывают свои плюсы по сравнению с RequestPolicyContinued.
    В этих плагинах реквесты распределяются по типам (scripts, images, frames,...). Дальше всё в ваших руках, но у меня, например, запрещаются скрипты (в отличии от same-domain стилей), а также запрещаются фрэймы (ибо это чаще всего хрень какая-то).

     
  • 2.138, Led, 23:07, 08/08/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вендузятник должен страдать.
     
     
  • 3.145, Аноним, 03:39, 09/08/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Прущая их всех щелей компетентность LED-а, как обычно Эта штука одинаково оп... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor