Завершился (https://www.zerodayinitiative.com/blog/2018/3/15/pwn2own-201...) второй заключительный день соревнования Pwn2Own 2018, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы (https://www.zerodayinitiative.com/blog/2018/3/14/welcome-to-...) рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge и Safari (две разные атаки), которые привели к успешному выполнению кода атакующего в системе. Также частично проведена атака на VirtualBox, которая не была доведена до конца. Суммарный размер выплат составил 267 тысяч долларов (общий призовой фонд составляет 2 млн долларов). Номинации за взлом Chrome, nginx, Apache httpd, OpenSSL, SMB-подсистемы Windows, vMware Workstation, Hyper-V Client, Adobe Reader, MS Office 365 ProPlus и MS Outlook остались невостребованными.
Разработчики Mozilla уже сформировали (https://www.mozilla.org/en-US/firefox/59.0.1/releasenotes/) обновления Firefox 59.0.1 (https://www.mozilla.org/en-US/firefox/59.0.1/releasenotes/) и 52.7.2 (https://www.mozilla.org/en-US/firefox/52.7.2/releasenotes/), в которых устранена продемонстрированная в ходе соревнования уязвимость. Детали по уязвимости пока не обнародованы (https://www.mozilla.org/en-US/security/advisories/).URL: https://www.zerodayinitiative.com/blog/2018/3/15/pwn2own-201...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48272
> Номинации за взлом Chrome остались невостребованными.Хром уже никому не нужен после выхода божественного квантума.
FF как был тормознутым по части GUI, так и остался.
60.0betaThe new CSS engine introduced in Firefox Quantum (57.0) is now used for the browser's user interface, in addition to web content.
Очередная версия мозиллаинноваций. Жаль что браузер угрохали - теперь он не настраиваемый и дополнения бесполезные. Ну и нахрен этот опенсорсный клон Edge нужен?
Не внедрили все фишки квантума ещё. Много кода старого, одна только фишка новая из множества добавлена. Терпение.
> Не внедрили все фишки квантума ещё. Много кода старого, одна только фишка новая из множества добавлена. Терпение.а тоесть оно ещё больше ресурсов жрать будет да ещё и без альсы? ну нафик я на хромиум - он и альсу держит и флеш и девтулс в разы удобней
>я на хромиумДверь только за собой закрой.
>Дверь только за собой закрой.уберёшь тогда свой минусик? и друга не забудь;)
Лови ещё один.
> Не внедрили все фишки квантума ещё. Много кода старого, одна только фишка
> новая из множества добавлена. Терпение.Тоже мне, ждалкер и valve time в одном лице. А оно того стоит? Настроек меньше чем в хромиуме стало...
> Тоже мне, ждалкер и valve time в одном лице. А оно того
> стоит? Настроек меньше чем в хромиуме стало...Собственно запускаю icecat только ради Video Download helper.
На дебиане с amdgpu все отлично.
Божественная команда могильщиков тем временем https://dxr.mozilla.org/mozilla-beta/source/ipc/pull-chromiu...
Mozilla 65 будет на движке Blink ?
И что? Да, ФФ использует кусок хромиума дл IPC. Не одну версию и даже не один десяток версий уже, с тех пор как начали мультипроцессность делать.
Причем этот их кусок кода - древний уже, так как они так сильно его изменили под свои нужды, что давно не синхронизировали с Хромиумом.
> И что? Да, ФФ использует кусок хромиума дл IPC.Так можно было взять хромиум целиком и делать к нему шкурку. Никто и не сомневается что они пытаются стать оперой номер два. Только они выбрали сложный и долгий путь к становлению оперой.
> Детали по уязвимости пока не обнародованы.А есть эти детали по другим уязимостям, пусть старым и исправленным? Мне просто очень интересно, как и каким местом надо писать код, чтобы браузер заэксплойтить. Это что-то уровня раскрашивания бордюрчиков таблиц в зеленый цвет, а в качестве фона установить картинку с расширением ехе?
>> Детали по уязвимости пока не обнародованы.
> А есть эти детали по другим уязимостям, пусть старым и исправленным? Мне
> просто очень интересно, как и каким местом надо писать код, чтобы
> браузер заэксплойтить. Это что-то уровня раскрашивания бордюрчиков таблиц в зеленый цвет,
> а в качестве фона установить картинку с расширением ехе?Достаточно включить скрипты. Это такие же программы как с расширением ехе.
>позволяют организовать запись данных за границу буфера при обработке специально оформленного звукового контента в формате Vorbis.Как видишь, не обязательно и скрипты включать для эксплоитов
Все проще и прозаичнее, вот ошибки
CVE-2018-5146: Out of bounds memory write in libvorbis
CVE-2018-5147: Out of bounds memory write in libtremor
из этого ясно, что для первой используется "кривой" специально подготовленный звуковой файл vorbis использующий отсутствие проверки буфера при декодировании, второй добавляет ogg. И никакого ехе или яваскрипта.
Придётся растоманам и libvorbis на расте переписывать. Хы.
> Придётся растоманам и небо и даже аллаха на расте переписывать. Хы.
>> Придётся растоманам и небо и даже аллаха на расте переписывать. Хы.Да-да, я о том же. Этим всё и кончится.
> Да-да, я о том же. Этим всё и кончится.Примерно 20 лет назад что-то такое говорили про реактос. А еще раньше - про minix и hurd.
>> Да-да, я о том же. Этим всё и кончится.
> Примерно 20 лет назад что-то такое говорили про реактос. А еще раньше - про minix и hurd.Ты путаешь тёплое с мягким. Речь не об ОС, а о языке. ОСи и языки развиваются достаточно по-разному, чтобы их не стоило бы так смешивать в одну кучу. Я видел несколько языков, которые сподвигали своих апологетов переписывать всё на этом языке, например, Haskell и Lisp. Вплоть до написания ядер операционных систем, самостоятельной реализации X11 протокола, без использования xlib, создания (или попыток создания) графических тулкитов, да ещё и с самостоятельным рендерингом шрифтов, не полагаясь на freetype, сервера разной направленности, и так далее. Когда язык меняет в голове у программиста то, как тот думает о программе, это вызывает возбуждение и зуд что-нибудь написать, а поскольку написать что-то новое крайне сложно (попробуй придумай ещё что-нибудь новое, ещё никем не написано), такие программисты начинают писать велосипеды. И чем это закончится уже сильно зависит от многих факторов, и я бы на твоём месте не спешил бы экстраполировать тренды в данном случае. Прежде чем экстраполировать в подобных случаях, стоит хотя бы прочитать "Чёрного Лебедя" Талеба. А лучше, прочитав, подумать и прочитать ещё раз. Маловероятные события случаются, более того случаются события настолько маловероятные, что они априорно воспринимаются как невозможные. И если ты тупо экстраполируешь тренды, то рано или поздно случится маловероятное событие, и ты окажешься неправ. Хотя, конечно, экстраполировать проще всего -- можно не тратя никаких интеллектуальных ресурсов быть правым практически всегда.
> Примерно 20 лет назад что-то такое говорили про реактос.
Разве? Простите за оффтоп, но по-моему реактос никогда не выглядела сколь-нибудь перспективной поделкой, реактос никогда не привлекала многих разработчиков, и всегда была маргинальной. Кстати как и hurd. С minix история вышла несколько иная, но reactos и hurd никогда не могли привлечь внимания к себе широких слоёв программистов. По разным причинам -- reactos всегда была очень нишевым продуктом, мало кому нужным, а hurd потому что с самого начала у разработчиков исследовательский мотив доминировал над стремлением к завершённости.
>>> попробуй придумай ещё что-нибудь новое, ещё никем не написаноОй да ладно! Я лично 2 проги сделал под линукс, аналогам которых нет. Берешь консольную утиль, делаешь к ней гуй. Профит.
А сколько игр ещё не портировано... Сколько плагинов фотошопа под Гимп не переписано...
Пиши хоть на лиспе, спасибо скажем если взлетит.
Ну почитай предыдущие.
https://www.mozilla.org/en-US/security/advisories/mfsa2018-06/
В основном use-after-free, buffer overflow, memory corruption.
Это я видел, но я не очень понимаю как это эксплуатировать. Вот выше написали про Vorbis и OGG - тут понятно, проблема в том, что юзеру можно подсунуть кривой файл. Можно попробовать резать эти файлы или перекодировать на лету и я буду в безопасности, но как быть с остальными тысячами уязвимостей?
> Можно попробовать резать эти
> файлы или перекодировать на лету и я буду в безопасностиДаже иначе спрошу: а может быть можно можно резать как-то "полезную нагрузку", чтобы пытаться играть кривые файлы и тем самым все равно быть в безопасности?
> Можно попробовать резать эти файлы или перекодировать на лету и я буду в безопасности, но как быть с остальными тысячами уязвимостей?а обязательно нужен именно обходной путь?
или может просто обновишь софт?
Обновить софт можно не всегда. Во-первых, о уязвимости ты должен знать и дырку должны залатать. Во вторых: https://a.uguu.se/VlpjZuzq22Ms_update.png
> Во вторых: https://a.uguu.se/VlpjZuzq22Ms_update.pngВендовозы должны страдать. Для них страдать от обновлений и малвари так же естественно как дышать. За 20 лет существования венды пора бы уж и привыкнуть.
Похоже, что хакеры уже не готовы рассказывать уязвимости в действительно важных проектах за эти смешные деньги. Наигрались.
А студенты уже не могут ничего раскопать (дабы пропиариться и получить работу)
> Похоже, что хакеры уже не готовы рассказывать уязвимости в действительно важных проектах
> за эти смешные деньги. Наигрались.
> А студенты уже не могут ничего раскопать (дабы пропиариться и получить работу)Из всего списка важный проект только апач. Может им неинтересно ковырять сервер.