URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 43665
[ Назад ]

Исходное сообщение
"OpenNews: Уязвимость в первой публичной бета версии браузера Google Chrome"
Отправлено opennews , 03-Сен-08 20:44

"Google Chrome vulnerable to carpet-bombing flaw (http://blogs.zdnet.com/security/?p=1843)" - в первой публичной бета версии браузера Google Chrome обнаружена (http://blogs.zdnet.com/security/?p=1843) уязвимость (эксплоит (http://raffon.net/research/google/chrome/carpet.html)), позволяющая злоумышленнику организовать выполнение исполняемого файла, который пользователь самостоятельно попытается открыть перейдя по ссылке, без вывода предупреждающего сообщения. К слову, уязвимость не новая, она связанна с движком WebKit и некоторое время назад была исправлена в Safari 3.1.2, но в Chrome используется код WebKit из версии до момента исправления.

URL: http://blogs.zdnet.com/security/?p=1843
Новость: http://www.opennet.me/opennews/art.shtml?num=17708

Содержание

Уязвимость в первой публичной бета версии браузера Google Chrome,User294, 20:44 , 03-Сен-08
- Уязвимость в первой публичной бета версии браузера Google Ch...,lavalava, 22:02 , 03-Сен-08
- Уязвимость в первой публичной бета версии браузера Google Ch...,lavalava, 22:11 , 03-Сен-08
  - Уязвимость в первой публичной бета версии браузера Google Ch...,Аноним, 22:29 , 03-Сен-08
  - Уязвимость в первой публичной бета версии браузера Google Ch...,mma, 06:03 , 04-Сен-08
    - Уязвимость в первой публичной бета версии браузера Google Ch...,lavalava, 15:53 , 04-Сен-08

Сообщения в этом обсуждении

"Уязвимость в первой публичной бета версии браузера Google Chrome"
Отправлено User294 , 03-Сен-08 20:44

http://www.google.com/chrome/eula.html - пункт 11 тоже как-то подозрительно смотрится. У мозиллы такой наглежки вроде нет =)

"Уязвимость в первой публичной бета версии браузера Google Ch..."
Отправлено lavalava , 03-Сен-08 22:02

Если уж так хочется попробовать браузер от большого брата, берем исходники, выкидываем оттуда все средства, которые позволяют `воспроизведение, адаптацию, изменение, перевод, публикацию, публичное распространение, публичный показ и копирование любого Содержания' и радуемся жизни. На всякий случай навинчиваем еще dtrace, selinux и еще что угодно на выбор.
Или вы собираетесь серьезно относиться к EULA? Всю жизнь подтирались ей и будем подтираться. А предполагать наличие закладок нужно в любом ПО. В проприетарщине и продуктах /таких/ компаний - прежде всего.

"Уязвимость в первой публичной бета версии браузера Google Ch..."
Отправлено lavalava , 03-Сен-08 22:11

Кстати, ходили слухи что то ли в Opera, то ли в FF была отправка посещенных URL гуглу, так что потом частные сайты без ссылок на них снаружи потом попадали в поиск. Оперовскую eula я думаю тоже интересно почитать.
grep -Ri google <исходники мозиллы> вдумчиво читать и выборочно s/google/localhost/

"Уязвимость в первой публичной бета версии браузера Google Ch..."
Отправлено Аноним , 03-Сен-08 22:29

Это в Опере было

"Уязвимость в первой публичной бета версии браузера Google Ch..."
Отправлено mma , 04-Сен-08 06:03

>Кстати, ходили слухи что то ли в Opera, то ли в FF
>была отправка посещенных URL гуглу...
Ну было это, но оно отключается(FF), ниче плохого в этом нет кроме замалчивания от пользователя.
>grep -Ri google <исходники мозиллы> вдумчиво читать и выборочно s/google/localhost/
В исходниках этого не должно, хотя не удивилюсь - это все на уровне сборки должно делаться - интеграция с посиковиком.

"Уязвимость в первой публичной бета версии браузера Google Ch..."
Отправлено lavalava , 04-Сен-08 15:53

Да не только. Как минимум, еще safebrowsing. `Интеграции с поисковиком' там должно быть ровно один .xml файл.