The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.05.2018 08:50  Обновление Chrome 66 с устранением критической уязвимости

Доступно обновление браузера Chrome 66.0.3359.170, в котором устранено четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости пока не раскрываются (доступ к информации будет открыт после того, как большая часть пользователей установит обновление).

Остальные три проблемы помечены как опасные: CVE-2018-6121 позволяет повысить свои привилегии в дополнениях, CVE-2018-6122 связана с неверной интерпретацией типов в V8, CVE-2018-6120 приводит к переполнению буфера при открытии специально оформленных PDF-файлов в PDFium.

Дополнительно можно отметить, что в опубликованном 9 мая релизе Firefox 60 было устранено 54 уязвимости, из которых 30 помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 10 критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем опубликованы под CVE-2018-5151. Информация об уязвимостях была опубликована не сразу, а лишь через несколько часов после анонса, поэтому данные об уязвимостях не вошли в новость о выходе Firefox 60.

  1. Главная ссылка к новости (https://chromereleases.googleb...)
  2. OpenNews: Google официально представил поддержку Linux-приложений в Chrome OS
  3. OpenNews: Выпуск Chrome OS 66 с поддержкой виртуальной машины для приложений Linux
  4. OpenNews: В Chrome тестируют новое оформление интерфейса
  5. OpenNews: Релиз web-браузера Chrome 66
  6. OpenNews: Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 09:00, 11/05/2018 [ответить] [смотреть все]     [к модератору]
  • –1 +/
    Обновление Chrome 66 с устранением критической уязвимости - это перейти на F... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 09:03, 11/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Неплохой вариант для мазохистов, стремящихся, чтобы их взломали в опубликованн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, Аноним, 09:09, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вероятность взлома Firefox больше, чем скана от Chrome p s Хром с такими же уя... весь текст скрыт [показать]
     
     
  • 4.9, iPony, 10:12, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Ну да У Chrome традиционно более сильная песочница Практика по взломам на всяк... весь текст скрыт [показать]
     
     
  • 5.18, Папка Кун, 20:12, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    они платят за такое неплохие деньги особенно в chrome os но я на всякий случай ... весь текст скрыт [показать]
     
  • 4.10, Аноним, 10:30, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вот только все забывают упомянуть, что сканируются только загруженные через брау... весь текст скрыт [показать]
     
     
  • 5.12, Аноним, 13:06, 11/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Со мной не обсуждалась
     
  • 5.19, Аноним, 20:53, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сейчас бы из браузера делать сначала операционную систему, потом и вовсе десктоп... весь текст скрыт [показать]
     
  • 1.2, Анонимный Анонимус, 09:01, 11/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Вот ведь раньше жизнь была, что не релиз, так новые фичи, пачками, вагонами, на радость пользователям. Всевозможные свестоперделки на любой вкус и цвет.
    А сейчас каждая новость и разряда "Устранено 100500 уязвимостей и вкладки снова стали угловатые, в 3 раз, после круглых"
     
     
  • 2.5, Аноним, 09:33, 11/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Так ведь когда вышел FF с компонентами квантума и тучей новых фичей, все ныли, ч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, анонимно, 10:29, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >все ныли, что новый интерфейс овно, что дополнения не работают

    Но ведь так и есть. Интерфейс то еще убожество, а WebExtensions по возможностям уступает тому API, который был. Если взялись зарубить старый API, то вы либо выкатываете что-нибудь не уступающее по возможностям, либо катитесь на 3 веселых буквы.

     
  • 2.6, Аниним, 10:03, 11/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А что ещё дорабатывать Разработка завершена, теперь только сопровождение, обы... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Аноним, 10:10, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Внешний вид браузерных контролов, вроде input type range Туда бы направить эн... весь текст скрыт [показать]
     
  • 3.14, tonys, 14:22, 11/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Оптимизация кода с целью уменьшения потребления ресурсов, не?
     
  • 2.7, Аноним, 10:05, 11/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Вот например: https://www.opennet.ru/opennews/art.shtml?num=48312
     
  • 2.13, Аноним, 14:04, 11/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну почему же В 66 Хроме офигенная штука появилась WebAuthn стандарт без логино... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 18:44, 11/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это уже было в симпсонах в Firefox ... весь текст скрыт [показать]
     
  • 3.20, Kuromi, 21:08, 11/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Вы путаетесь, официальная поддержка WebAuthn в Хроме будет с Хром 67 - https://www.chromestatus.com/feature/5669923372138496

    Она, реально доступна и сейчас, только надо ручками включать через флаги.

    Что до простых юзеров, то для них проблема в тмо, что и Хром и Файрфокс в данный момент поддерживают USB U2F токены, а они не бесплатны. если покупать в РФ то это полторы тысячи рублей - https://cryptostore.ru/catalog/jacarta-u2f

    Раньше можно было задешево купить на Амазоне (там и сейчас предложений достаточно, а с распросранением WebAuthn станет только больше), но таких дешевых вариантов как раньше уже нет  -сам брал год назад токенHyperSecu HyperFIDO за 10$ включая доставку.

     
  • 1.11, Аноним, 10:40, 11/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Ого, несколько лет не слышал о критической в хроме Постоянно ведь это ... весь текст скрыт [показать]
     
  • 1.15, axredneck, 16:22, 11/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Хромиум тоже, или только Хром?
     
  • 1.16, Аноним, 18:40, 11/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    Кто пользуется этим шеретом в 2018? Сейчас безопасный квантум на расте в моде.
     
  • 1.21, Kuromi, 03:56, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    "10 критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем опубликованы под CVE-2018-5151."

    Исключительно ради проформы - не имеет смысла публиковать номера багов по безопасности, т.к. они их просмотр доступен только пользователям с специальными правами. Как минимум пока не разблокируют.

     
  • 1.22, Унтерофицер, 06:18, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Мне интересно, если Chrome огорожен с помощью Apparmor, то такая уязвимость сработает? Apparmor работает по принципу белого списка, стало быть, левой программе он не даст запуститься. А если запустится разрешёная програма (например, многие браузеры запрашиваю доступ к /bin/dash) с повышенными привилегиями, то всё равно в файловой системе не сможет выйти за пределы разрешённой области. Запись в исполняемые файлы также запрещена, привилегии суперпользователя не помогут...

    Я прав или нет?

     
     
  • 2.25, Аноним, 12:56, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Установи в формате snap и голову не морочь.
     
  • 1.23, 1244444566, 11:23, 12/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    а для него есть профили в убунту? я его поставил из гугловых реп, так что вряд ли ему это поможет.
     
     
  • 2.24, mikhailnov, 12:48, 12/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    В Ubuntu есть по умолчанию выключенный профиль AppArmor Chromium
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor