The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Chrome 66 с устранением критической уязвимости "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от opennews (??) on 11-Май-18, 09:00 
Доступно (https://chromereleases.googleblog.com/2018/05/stable-channel...) обновление браузера Chrome 66.0.3359.170, в котором устранено четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости пока не раскрываются (https://bugs.chromium.org/p/chromium/issues/detail?id=835887) (доступ к информации будет открыт после того, как большая часть пользователей установит обновление).


Остальные три проблемы помечены как опасные: CVE-2018-6121 позволяет повысить свои привилегии в дополнениях, CVE-2018-6122 связана с неверной интерпретацией типов в V8, CVE-2018-6120 приводит к переполнению буфера при открытии специально оформленных PDF-файлов в PDFium.

Дополнительно можно отметить, что в опубликованном 9 мая релизе Firefox 60 было устранено (https://www.mozilla.org/en-US/security/advisories/mfsa2018-11/) 54 уязвимости, из которых 30 помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 10 (https://bugzilla.mozilla.org/buglist.cgi?bug_id=1388020%...) критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем (https://bugzilla.mozilla.org/buglist.cgi?bug_id=1445234%...) опубликованы под CVE-2018-5151. Информация об уязвимостях была опубликована не сразу, а лишь через несколько часов после анонса, поэтому данные об уязвимостях не вошли в новость о выходе Firefox 60.

URL: https://chromereleases.googleblog.com/2018/05/stable-channel...
Новость: https://www.opennet.me/opennews/art.shtml?num=48580

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от Аноним (??) on 11-Май-18, 09:00 
""Обновление Chrome 66 с устранением критической уязвимости"" - это перейти на Firefox.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Chrome 66 с устранением критической уязвимости "  +2 +/
Сообщение от Аноним (??) on 11-Май-18, 09:03 
> "Обновление Chrome 66 с устранением критической уязвимости"" - это перейти на Firefox.

Неплохой вариант для мазохистов, стремящихся, чтобы их взломали.

"в опубликованном 9 мая релизе Firefox 60 было устранено 54 уязвимости, из которых 30 помечены как критические".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от Аноним (??) on 11-Май-18, 09:09 
Вероятность взлома Firefox больше, чем скана от Chrome? p.s. Хром с такими же уязвимостями.
https://geektimes.com/post/299633/
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Обновление Chrome 66 с устранением критической уязвимости "  +5 +/
Сообщение от iPony on 11-Май-18, 10:12 
> Вероятность взлома Firefox больше, чем скана от Chrome?

Ну да. У Chrome традиционно более сильная песочница. Практика по взломам на всяких соревнований это хорошо показывает

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от Папка Кун email on 11-Май-18, 20:12 
они платят за такое неплохие деньги особенно в chrome os. но я на всякий случай самой новой у меня сейчас Версия 68.0.3409.2 (Официальная сборка), dev (64 бит) еще не успели взломать
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Обновление Chrome 66 с устранением критической уязвимости "  +1 +/
Сообщение от Аноним (??) on 11-Май-18, 10:30 
> Вероятность взлома Firefox больше, чем скана от Chrome?

Вот только все забывают упомянуть, что сканируются только загруженные через браузер файлы, действие специфично для Windows и реализация обсуждалась Google и публично анонсировалась за полгода до интеграции сканера. Теперь из мухи раздувают слова, умалчивая одно и ставя лишние акценты на другом.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Обновление Chrome 66 с устранением критической уязвимости "  +2 +/
Сообщение от Аноним (??) on 11-Май-18, 13:06 
Со мной не обсуждалась
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Аноним email(??) on 11-Май-18, 20:53 
Сейчас бы из браузера делать сначала операционную систему, потом и вовсе десктоп платформу, теперь вот антивирус подъехал?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

2. "Обновление Chrome 66 с устранением критической уязвимости "  +6 +/
Сообщение от Анонимный Анонимус on 11-Май-18, 09:01 
Вот ведь раньше жизнь была, что не релиз, так новые фичи, пачками, вагонами, на радость пользователям. Всевозможные свестоперделки на любой вкус и цвет.
А сейчас каждая новость и разряда "Устранено 100500 уязвимостей и вкладки снова стали угловатые, в 3 раз, после круглых"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Chrome 66 с устранением критической уязвимости "  +4 +/
Сообщение от Аноним (??) on 11-Май-18, 09:33 
Так ведь когда вышел FF с компонентами квантума и тучей новых фичей, все ныли, что новый интерфейс овно, что дополнения не работают, хотя это было продиктовано чёткими требованиями по безопасности, а на фичи никто не обсуждал.
Поныть бы только, эх. Почему-то никто не трубует от юникс-утилит новых фич, хотя их давно стоило бы модернизировать, но люди слишком привыкли, в этом одна из важных проблем.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

27. "Но ведь это так и есть"  +/
Сообщение от анонимно on 15-Май-18, 10:29 
>все ныли, что новый интерфейс овно, что дополнения не работают

Но ведь так и есть. Интерфейс то еще убожество, а WebExtensions по возможностям уступает тому API, который был. Если взялись зарубить старый API, то вы либо выкатываете что-нибудь не уступающее по возможностям, либо катитесь на 3 веселых буквы.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Аниним on 11-Май-18, 10:03 
>Вот ведь раньше жизнь была, что не релиз, так новые фичи, пачками, вагонами, на радость пользователям.

А что ещё дорабатывать? Разработка завершена, теперь = только сопровождение, обычный жизненный цикл ПО. Хочется фишек и новшеств - ставь Otter или другую наколеночную поделку.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Chrome 66 с устранением критической уязвимости "  +1 +/
Сообщение от Аноним (??) on 11-Май-18, 10:10 
Внешний вид браузерных контролов, вроде input type="range". Туда бы направить энергию этих безумных дизайнеров, которые от скуки интерфейс ломают.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от tonys email(??) on 11-Май-18, 14:22 
Оптимизация кода с целью уменьшения потребления ресурсов, не?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Аноним (??) on 11-Май-18, 10:05 
Вот например: https://www.opennet.me/opennews/art.shtml?num=48312
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Аноним (??) on 11-Май-18, 14:04 
Ну почему же? В 66 Хроме офигенная штука появилась WebAuthn (стандарт без логинопарольной авторизации). Только простым юзерам это знать неинтересно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Аноним (??) on 11-Май-18, 18:44 
> Ну почему же? В 66 Хроме офигенная штука появилась WebAuthn (стандарт без
> логинопарольной авторизации). Только простым юзерам это знать неинтересно.

Это уже было в симпсонах... в Firefox.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от Kuromi (ok) on 11-Май-18, 21:08 
Вы путаетесь, официальная поддержка WebAuthn в Хроме будет с Хром 67 - https://www.chromestatus.com/feature/5669923372138496

Она, реально доступна и сейчас, только надо ручками включать через флаги.

Что до простых юзеров, то для них проблема в тмо, что и Хром и Файрфокс в данный момент поддерживают USB U2F токены, а они не бесплатны. если покупать в РФ то это полторы тысячи рублей - https://cryptostore.ru/catalog/jacarta-u2f

Раньше можно было задешево купить на Амазоне (там и сейчас предложений достаточно, а с распросранением WebAuthn станет только больше), но таких дешевых вариантов как раньше уже нет  -сам брал год назад токенHyperSecu HyperFIDO за 10$ включая доставку.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

11. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Аноним (??) on 11-Май-18, 10:40 
Ого, несколько лет не слышал о критической в хроме. Постоянно ведь это:
> Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от axredneck on 11-Май-18, 16:22 
Хромиум тоже, или только Хром?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Chrome 66 с устранением критической уязвимости "  –5 +/
Сообщение от Аноним (??) on 11-Май-18, 18:40 
Кто пользуется этим шеретом в 2018? Сейчас безопасный квантум на расте в моде.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от Kuromi (ok) on 12-Май-18, 03:56 
"10 критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем опубликованы под CVE-2018-5151."

Исключительно ради проформы - не имеет смысла публиковать номера багов по безопасности, т.к. они их просмотр доступен только пользователям с специальными правами. Как минимум пока не разблокируют.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Обновление Chrome 66 с устранением критической уязвимости "  +/
Сообщение от Унтерофицер on 12-Май-18, 06:18 
Мне интересно, если Chrome огорожен с помощью Apparmor, то такая уязвимость сработает? Apparmor работает по принципу белого списка, стало быть, левой программе он не даст запуститься. А если запустится разрешёная програма (например, многие браузеры запрашиваю доступ к /bin/dash) с повышенными привилегиями, то всё равно в файловой системе не сможет выйти за пределы разрешённой области. Запись в исполняемые файлы также запрещена, привилегии суперпользователя не помогут...

Я прав или нет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от Аноним (??) on 12-Май-18, 12:56 
Установи в формате snap и голову не морочь.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Обновление Chrome 66 с устранением критической уязвимости "  –2 +/
Сообщение от 1244444566 on 12-Май-18, 11:23 
а для него есть профили в убунту? я его поставил из гугловых реп, так что вряд ли ему это поможет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Обновление Chrome 66 с устранением критической уязвимости "  –1 +/
Сообщение от mikhailnov (ok) on 12-Май-18, 12:48 
В Ubuntu есть по умолчанию выключенный профиль AppArmor Chromium
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру