The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от opennews (ok) on 30-Мрт-10, 15:12 
Несколько новых уязвимостей:

-  В bittorrent-клиенте Transmission (http://trac.transmissionbt.com/) 1.92 устранена уязвимость (http://secunia.com/advisories/39031/), позволяющая организовать выполнение кода злоумышленника при попытке открытия специально оформленной magnet-ссылки;

-  В браузерном движке QtWebKit, поставляемом в составе тулкита Qt, найдено (https://bugzilla.redhat.com/show_bug.cgi?id=570349#c8) две уязвимости: возможность выполнения кода злоумышленника при обработке специально оформленной web-страницы; утечка данных, связанных с другим доменом, при обработке специально оформленного CSS-блока. Уязвимости подвержены все браузеры, использующие движок QtWebKit, например, Rekonq или Arora;

-  В кодовой базе web-браузера Chromium исправлено 8 уязвимостей (http://googlechromereleases.blogspot.com/2010/03/stable-chan...), из которых 5 имеют высокую степень опасности;
-  В bluetooth-подсистеме Linux ядра найдена уязвимость, позволяющая инициировать крах ...

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=26006

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  –1 +/
Сообщение от VarLog email(ok) on 30-Мрт-10, 15:12 
ПАНИКА!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от www2 email(ok) on 30-Мрт-10, 15:49 
Да, особенно с Bluetooth-пакетами. Прошёлся этак мимо дома и позавешивал все Linux-компьютеры в нём.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от минона on 30-Мрт-10, 19:53 
угу. давай. жду.

зы:
а вот позавесить провов с цисками - это да. и бегать никуда не надо.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от Имени нету on 30-Мрт-10, 15:53 
Максимум все линукс-ноутбуки на которых в данный момент включена функция блютуза в принципе. Вобщем общее количество жертв явно стремится к нулю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от www2 email(ok) on 30-Мрт-10, 15:57 
>Максимум все линукс-ноутбуки на которых в данный момент включена функция блютуза в
>принципе. Вобщем общее количество жертв явно стремится к нулю.

Я бы так не сказал. Bluetooth довольно популярен. Обмен адресными книгами, аудиогарнитуры, выход в инет через мобильник - уже не мало. Есть ещё люди, которые поднимают Bluetooth-сетку дома вместо WiFi. Это бывает дешевле и проще, чем купить карточки WiFi и мучиться с проприетарными прошивками и драйверами, с которыми наверняка встретишься, т.к. нормальное железо часто не достать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +1 +/
Сообщение от Anon on 30-Мрт-10, 16:19 
>>Есть ещё люди, которые поднимают Bluetooth-сетку дома вместо WiFi.

Я один из них. :D

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от минона on 30-Мрт-10, 19:58 
ни разу не видел ни ноута, ни мат.платы, где бы wifi не было, а блютуз был.
блютуз включаю только если со старым телефоном что-то надо сделать, да и то в скрытом режиме. а на всех новых уже вайфай.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  –1 +/
Сообщение от iZEN (ok) on 30-Мрт-10, 20:08 
В современных телефонах стоимостью до 6 тысяч рублей нет Wi-Fi.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от минона on 30-Мрт-10, 20:55 
вот и я спрашиваю - при чём тут линух?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от Ананимуз on 30-Мрт-10, 21:13 
Хрен с ними, с теми которые до 6 тыр.
Мне интересно как себя андроиды при этом поведут.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от минона on 30-Мрт-10, 21:37 
а вот в андроидах как раз есть wifi.

другими словами, чтобы выполнить условия эксперимента:
>позволяющая инициировать крах ядра через отправку специально оформленного bluetooth-пакета.

нужно ещё постараться - включить блютус в нужном месте и в нужное время.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от User294 (ok) on 03-Апр-10, 03:17 
>В современных телефонах стоимостью до 6 тысяч рублей нет Wi-Fi.

Ну там и линуха как правило нет за редким исключением.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от User294 (ok) on 03-Апр-10, 03:16 
> поднимают Bluetooth-сетку дома вместо WiFi.

И довольствуются для LAN сети скоростью хреновее чем у самого первого 802.11b и архаичного 10 мбит эзернета? Самая скоростная инкарнация блутуса реально встречаемых в девайсах - выжимает около 3 мбит. Это паршивее чем выжимает архаичный 802.11b и в добрый десяток раз сливает 802.11g, про .n я и вовсе молчу. Не видел еще никого кто делал бы сеть так. Оно имхо имеет смысл только как линк между 2-я девайсами с батарейным питанием т.к. там кроме скорости еще батарейку жрать не стоит а блутус по идее несколько экономичнее ее жрет в силу устройства протокола.

> Это бывает дешевле и проще, чем купить карточки WiFi и мучиться
> с проприетарными прошивками и драйверами,

Ну вон какомунить атеросу ничего такого вроде не надо. А блутус модули в девайсах 1 фиг часто требуют проприетарных фирмварей или там чего еще, особенно сие касается мобильных девайсов где ситуация не лучше чем с вайфай. Алсо, в типичной блутусине сидит неслабая проприетарная фирмвара. Как минимум у CSR еще и обвешанная тонной недокументированных команд (а может и еще чего, кто ж проверит то, когда у большей части девайсов сие в внутричиповом ROM сидит).

> т.к. нормальное железо часто не достать.

Да ладно уж вам. Карт на атеросе например продается как грязи.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от www2 (??) on 31-Май-10, 20:57 
>> т.к. нормальное железо часто не достать.
>
>Да ладно уж вам. Карт на атеросе например продается как грязи.

Я живу в Уфе. Покажите мне эту грязь в ближайшем компьютерном магазине.

3 мегабит достаточно - у меня интернет дома мегабитный. Не потому что нет лучше или мне не хватает на него денег, просто мне больше не нужно.

По поводу проприетарных прошивок где-то в недрах блютуз-донглов - мне на них пох, пока я о них не знаю. Если мне их не нужно скачивать, соглашаться с какими-то лицензионными соглашениями, подгружать и обновлять - это приемлемо. Главная моя свобода соблюдается - своё устройство я могу использовать где угодно и как угодно, т.к. я за него заплатил.

Если заменить прошивку и микропроцессор на железную микросхему двоичной логики - для пользователя ничего не изменится. Ну цена будет повыше, а как я не имел исходников прошивки и возможность её поменять, так и не будет у меня схемы чипа и не будет возможности заменить чип. То есть открытые прошивки - это хорошо, но я не фанатик.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от User294 (ok) on 31-Май-10, 23:29 
>Я живу в Уфе. Покажите мне эту грязь в ближайшем компьютерном магазине.

Да собссно половина wi-fi карт в PCI слот или там куда еще - на атеросе, который достаточно популярный в общем то. И вайфай карты продаются в любом мало-мальски уважающем себя комповом магазине. Хотя если все настолько плохо (что врядли, вайфай карты в последнее время достаточно часто вижу в продаже) - можно и не на атеросе купить или заказать где-то с доставкой наконец. Если учесть что я ухитрился у себя под носом найти ажно MiniPCI атероса (вот это действительно не так уж просто - нишевая штука) - не вижу проблем. В совсем уж жопном случае - ну блин, на дворе 2010 год. Пэйпэл в России работает. Заплатили - получили. Подождать конечно придется, но я так себе и прикупил wi-fi антенны и пигтейлы, т.к. переплачивать местным жлобам в 10 раз не было никакого желания а время не жало. Точно так же можно купить хоть черта лысого, включая аццкую экзотику. Доставят обычной почтой России. Глобализация кроме минусов имеет и плюсы. В общем как кой-кто сказал, если есть желание - 1000 возможностей, а если нет - 1000 отмазок.

>3 мегабит достаточно - у меня интернет дома мегабитный. Не потому что
>нет лучше или мне не хватает на него денег, просто мне больше не нужно.

Ну у меня как бы скоростная LAN (100мбит) и меня ну совсем не устраивает слив файлов на 100-200 кил/сек на комп (3 мбит - абсолютный максимум в тепличных условиях, разумеется) вместо хотя-бы ~1000 кил/сек которые осиливает тот же n900 по вайфаю, не говоря уж о более мощных железяках/компах. Как бы ждать в разы больше мне сильно лениво. Ну тормоз блутус по сравнению с вайфаем, как ни крути.

>По поводу проприетарных прошивок где-то в недрах блютуз-донглов - мне на них
>пох, пока я о них не знаю. Если мне их не нужно скачивать, соглашаться с какими-то
>лицензионными соглашениями, подгружать и обновлять - это приемлемо.

Действительно. Меньше знаешь - крепче спишь. Вот только это все-таки проц. Память и прочая. Оно может работать на вас. А может и против вас. А хрен бы его знает какие там бакдоры засунуты, строго говоря. Может оно по трем зеленым свисткам вверх умеет ключи шифрования сливать например, мало ли? И как минимум CSRовских чипах есть стопицот недокументированных команд. Что как-то душу не греет: кроме заявленного функционала у приблуды есть и не заявленный. Типа секретный. И что там в него входит - а хрен бы его знает, строго говоря.

>Главная моя свобода соблюдается - своё устройство я могу
>использовать где угодно и как угодно, т.к. я за него заплатил.

Насчет как угодно - не факт. Фирмваре может иметь свое мнение о том что вам льзя или нельзя. Скажем в случае вайфай часто у фирмвари есть свое мнение насчет того какие пакеты вам слать льзя, а какие - нет. Фирмварь обладает своей логикой и вполне способна завернуть какие-то "неправильные" начинания.

>Если заменить прошивку и микропроцессор на железную микросхему двоичной логики - для
>пользователя ничего не изменится. Ну цена будет повыше,

С чего ради? Когда нечто штампуется миллионами - ASIC обычно дешевле чем general purpose проц и память. С другой стороны - какая там в него логика вшита тоже хрен бы его знает. Кстати CSR для удешевления сделал чуть иначе - проц с однократным ROM. Оно чуть дешевле флеша и что-то типа почти-жесткой-логики получается (правда все-равно может грузить код в оперативу вроде).

> а как я не имел исходников прошивки и возможность её поменять, так и не
>будет у меня схемы чипа и не будет возможности заменить чип.
>То есть открытые прошивки - это хорошо, но я не фанатик.

Ну вон в случае атероса обошлись аппаратной логикой + софтварной в драйвере вроде. Потому фирмвары вроде как вообще нигде нет (кто-то указывал на 64-байтный бинарь, но это всего лишь конфиг вроде) а драйвер может почти что угодно. А у некоторых есть вспомогательный проц с фирмварой. И фирмвару надо догружать и она может иметь свое мнение о том чего и кому можно. Например некоторые фирмвари активно обламывают отсылку сырых пакетов в произвольном виде. Очевидно пытаясь столь ламерским методом уменьшить взломы вайфая, что вообще-то редкостный идиотизм, который как бонус не позволяет продвинутые манипуляции с протоколом. Например насколько я знаю - некоторые конторки на основе wi-fi гоняют свои протоколы которые работают лучше файфая на длинных линках точка-точка, etc. Ессно порядочно перекроив протокол, хоть и юзая его "физику".

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

6. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +3 +/
Сообщение от EuPhobos (ok) on 30-Мрт-10, 16:25 
https://www.opennet.ru/opennews/art.shtml?num=25946
Ой-ой-ой.. так и знал что та тема тупая реклама хрома, и будет против неё тема тут.

Даже как-то злостно рад этой новости.

> Как и в прошлом году Google Chrome стал единственным браузером, против которого не проводились даже попытки взлома.

Идиоты.. Поэтому и не смогли сломать на конкурсе, потому что даже и не пытались.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +1 +/
Сообщение от szh (ok) on 30-Мрт-10, 16:58 
> Идиоты.. Поэтому и не смогли сломать на конкурсе, потому что даже и не пытались.

Эти дырки в хроме были закрыты до начала конкурса, читайте по ссылкам, умнее станете.
http://googlechromereleases.blogspot.com/2010/03/stable-chan...


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +1 +/
Сообщение от EuPhobos (ok) on 30-Мрт-10, 19:06 
> Эти дырки в хроме были закрыты до начала конкурса, читайте по ссылкам, умнее станете.

По этой ссылки читал подробно баги, на дату небыло смысла смотреть, ибо тут это "новость", оказывается новость противоречит наглухо хронологии, если и есть тут чей-то тупизм - то точно не мой.
Но и смысл моих слов от этого не очень то и меняется, выделяю для торм^Wособо не внимательных первые слова процитированной мною строки "Как и в прошлом году..."

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от User294 (ok) on 03-Апр-10, 03:19 
>Эти дырки в хроме были закрыты до начала конкурса, читайте по ссылкам,

Вы наверное хотели сказать "это было давно и неправда" :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +1 +/
Сообщение от VyacheslavS on 30-Мрт-10, 16:27 
>В bittorrent-клиенте Transmission 1.92 устранена уязвимость...

Так вроде уже давно на дворе 1.92 версия, две недели как выпущен релиз (2010/03/14).
Или уже в этой версии нашли уязвимость?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимости в Transmission, Qt WebKit, Chromium, Linux-ядре, ..."  +/
Сообщение от User294 (ok) on 01-Апр-10, 03:02 
В 1.92 это заметили и починили. Соответственно 1.92 без этой "фичи".
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру