URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 106805
[ Назад ]
Исходное сообщение
"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено opennews , 19-Фев-16 11:48 
Компания Google представила (http://googlechromereleases.blogspot.ru/2016/02/stable-chann...) корректирующий выпуск web-браузера Chrome 48.0.2564.116, в котором устранена уязвимость (CVE-2016-1629), которой присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и добиться выполнения кода в системе. Проблема проявляется благодаря комбинации ошибок в браузерном движке Blink и реализации механизма Sandbox. Доступ к детальному описанию проблемы ограничен до момента обновления основной массы пользователей Chrome. Выявившему уязвимость исследователю безопасности выплачена премия в размере 25633.7 долларов США.


URL: http://googlechromereleases.blogspot.ru/2016/02/stable-chann...
Новость: http://www.opennet.me/opennews/art.shtml?num=43905

Содержание
Сообщения в этом обсуждении
"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено РОСА , 19-Фев-16 11:48 
> присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и добиться выполнения кода в системе

Не хило…

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено слакваряв0д , 19-Фев-16 11:57 
70 центов ктот донакидал...
"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено РОСА , 19-Фев-16 22:18 
> 70 центов ктот донакидал...

Наоборот. 30 центов кто-то недодал.

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Аноним , 19-Фев-16 11:57 
в хромовых репах ничо нет, гугль написал ре⁠шето и кинул нас!
"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Аноним , 19-Фев-16 11:58 
отбой тревоги, оно ещё утром обновилось
"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено iv , 19-Фев-16 12:14 
> 25633.7

Что-то я не осилил прочитать. 2SBEET? Или теперь другая логика?

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Andrey Mitrofanov , 19-Фев-16 12:20 
>> 25633.7
> Что-то я не осилил прочитать. 2SBEET? Или теперь другая логика?

"too sweet"?..  =Мы тупо дадим меньше денег -- атож жЫрно будет.

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено АнонимХ , 19-Фев-16 14:03 
Туз бит!

Хакеры козырями зашли

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Аноним , 19-Фев-16 13:18 
Красиво обошли все уровни защиты? Наверное те кто писали защиту решили премию получить ;)
"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Нимано , 19-Фев-16 14:28 
> Проблема проявляется
> благодаря комбинации ошибок в браузерном движке Blink и реализации механизма Sandbox.

Вот  поэтому в огнелиса таки завезли поддержку W^X
https://www.marc.info/?t=144498542900004&r=1&w=2

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Andrey Mitrofanov , 19-Фев-16 14:48 
>> Проблема проявляется
>> благодаря комбинации ошибок в браузерном движке Blink и реализации механизма Sandbox.
> Вот  поэтому в огнелиса таки завезли поддержку W^X
> https://www.marc.info/?t=144498542900004&r=1&w=2

По ссылке: поддержку "завезли" в iOS, неожиданно.

ОБСдешники её включили (Тэо сказал - значит, включили!) в 41.чего.тотам с fallback-ом в виде "если у вас чего сломается, катитесь  на ff-esr [36.x, видимо?]".

Прродорлжай махать своим W^X в каждой новости  --  мы тебя тааак понимаем.

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Нимано , 19-Фев-16 15:01 
> По ссылке: поддержку "завезли" в iOS, неожиданно.
> ОБСдешники её включили (Тэо сказал - значит, включили!)

Да ну? А  прочитать более пары строчек не судьба, да?
https://www.marc.info/?l=openbsd-ports&m=145155249002188&w=2
> Just a heads up...
> W^X is now enabled on the Nightly channel, on all platforms.
> Assuming there are no bugs nor serious performance issues, this will
> ship in Firefox 46.

Ну или (кто бы мог подумать – там даже тайная ссылка на блог мозиллы была!)
http://jandemooij.nl/blog/2015/12/29/wx-jit-code-enabled-in-.../
> Back in June, I added an option to SpiderMonkey to enable W^X protection of JIT code.
>  The past weeks I've been working on fixing the remaining performance issues and
> yesterday I enabled W^X on the Nightly channel, on all platforms.

Это, если чо, Jan de Mooij, Software Engineer at Mozilla.

> Прродорлжай махать своим W^X в каждой новости  --  мы тебя
> тааак понимаем.

Завидуй молча. Ну или с чего там обычно громче всех кричат "ненужно" ...

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Andrey Mitrofanov , 19-Фев-16 15:18 
> Да ну? А  прочитать более пары строчек не судьба, да?
>> ship in Firefox 46.

Умыл, молодец. Я только на днях на LTS
    Mozilla/5.0 (X11; Linux i686 on x86_64; rv:38.0) Gecko/20100101 Firefox/38.0 Iceweasel/38.6.1
пересел, чуть не умер!, мне простительно :S  не разбираться в сортах и не вчитываться в то, на что отвечаю.

>>  The past weeks I've been working on fixing the remaining performance issues and
>> yesterday I enabled W^X on the Nightly channel, on all platforms.
> Это, если чо, Jan de Mooij, Software Engineer at Mozilla.

Ну, ОК, чо.

>> Прродорлжай махать своим W^X в каждой новости  --  мы тебя
>> тааак понимаем.
> Завидуй молча. Ну или с чего там обычно громче всех кричат "ненужно" ...

Я помолчу, как только напишу столько же мусора в каментах по этой теме, как ты -- с восторгами про W^X.   Таков мой таргет операнди.   Или ты против Свободы Слова?

"Обновление Chrome 48.0.2564.116 с устранением критической уя..."
Отправлено Омомом , 22-Фев-16 05:55 
Эх, а были же времена, самомодифицирующиеся программы считались чем-то прекрасным...