forum.opennet.ru - "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости" (56)

"Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости"	+/–
Сообщение от opennews (ok), 10-Окт-24, 10:01
Опубликованы корректирующий выпуски Firefox 131.0.2, Firefox ESR 115.16.1, Firefox ESR 128.3.1 и Tor Browser 13.5.7, в которых устранена критическая уязвимость (CVE-2024-9680), приводящая... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62023
Ответить \| Правка \| Cообщить модератору

Оглавление

Понаделают дверей, потом дыры в них латают Неужели эта функция важнее безопасно, X86 (ok), 10:01 , 10-Окт-24, (1) +3

Ну разумеется, анимации не нужны Так же может быть дыра И картинки не нужны В , Аноним (-), 10:12 , 10-Окт-24, (4) +8

шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчит, Советский инженер (ok), 10:23 , 10-Окт-24, (6) +3

И вообще графического интерфейса своего быть не должно, вывод текста сразу в тер, alexfarman (?), 10:43 , 10-Окт-24, (11) +5

В общем, Gemini protocol , Аноним (14), 10:44 , 10-Окт-24, (14)

Не, еще проще - gopher, OpenEcho (?), 13:12 , 10-Окт-24, (39) +2

links http google com, slavanap (?), 22:33 , 10-Окт-24, (66)

lynx https opennet ru, Аноним (79), 09:40 , 11-Окт-24, (79)

Именно При этом сам шрифт должен быть записан в ПЗУ терминала А то вдруг произой, Аноним (-), 10:44 , 10-Окт-24, (13) +1

Какой шрифт Какой терминал Там столько дыр может быть Сразу все на бумагу, Асен Тотин (?), 13:44 , 11-Окт-24, (89)

А на бумаге сколько можно дыр понаставить дыроколом , Аноним (95), 22:25 , 11-Окт-24, (95)

Так, уберите это всё Нету вот этого всё - нету проблем , Аноним (96), 22:57 , 11-Окт-24, (96)

А минусы будут , Аноним (17), 10:47 , 10-Окт-24, (17) +11

Всегда думал что так и должно быть, у Dino такая же фигня , Ivan_83 (ok), 12:05 , 10-Окт-24, (33)
Ну потому что надо вейландом пользоваться, а не цепляться за легаси Переход к т, Аноним (45), 14:22 , 10-Окт-24, (45)

Вяленый - это и есть легаси Мертворожденное , Омнонном (?), 21:47 , 10-Окт-24, (64) +1

Только в mesa gnome -- explicit sync не осилили и никакой тройной буферизации I, Аноним (65), 22:11 , 10-Окт-24, (65)

От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложен, Аноним (86), 12:54 , 11-Окт-24, (86)

Местные любители иксов, по их словам, так решали проблему того, что в ХОрге прил, Аноним (-), 13:18 , 11-Окт-24, (88)

как прекрасно, что у меня все еще tomoyo на всех машинах ну и флатпак в некотор, мяв (?), 12:13 , 10-Окт-24, (34)

Hardened все же менее хардкорны чем эти песочницы Может я ошибаюсь , Афроним (?), 12:41 , 10-Окт-24, (36)

да не, это в зависимости от того, кто писао политику процесс все равно сможет пр, мяв (?), 06:08 , 11-Окт-24, (71)

Это очень дорогая, трудоёмкая задача Месяц использовал комп для создания полног, Аноним (79), 09:53 , 11-Окт-24, (80)

что нет, если вы себя любите и используете то, что было сделано для людей это м, мяв (?), 10:48 , 11-Окт-24, (82)

не надо забывать про уязвимости в самих песочницах с МАС ом и они не проканаю, мяв (?), 06:13 , 11-Окт-24, (72)

Неуловимый Джо Чтобы реально на что то такое попасть нужно стечение обстоятель, Ivan_83 (ok), 13:19 , 10-Окт-24, (40) +1

capsicum на Линуксе кажется еще лет 5 назад помер , OpenEcho (?), 14:38 , 10-Окт-24, (46)

Что такое 5 лет для вечного core2duo Можно сидеть на самом лучшем ядре 2 6 и со, Аноним (-), 14:54 , 10-Окт-24, (52) –2

Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда , Афроним (?), 15:22 , 10-Окт-24, (56) +1

У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки с, Ivan_83 (ok), 19:42 , 10-Окт-24, (61)

Я знаю, не первый день здесь У нас и то и другое и третье весь зоопарк ОСей, OpenEcho (?), 02:36 , 11-Окт-24, (70)

который ничерта не умеет, отключается на раз-два в рантайме, не предназначен для, мяв (?), 06:20 , 11-Окт-24, (73)

Со всеми этими MAC, слишком много головной боли Я понимаю там каждый день тольк, OpenEcho (?), 12:10 , 11-Окт-24, (83)

да не особо я на десктопе 3й год пользую tomoyo в дебиане сильная головная бол, мяв (?), 15:16 , 11-Окт-24, (90)

Так я особо ничем не парюсь, выкидываю капсикум, на десктопе вообще не упарываюс, Ivan_83 (ok), 17:27 , 11-Окт-24, (92)

есть более простой, но чуть менее поддерживаемый SMACK тоже на метках , мяв (?), 06:27 , 11-Окт-24, (75)

В интерпрайзах тяжело пропихнуть, а на резидентшиал уровне тоже слишком много , OpenEcho (?), 12:18 , 11-Окт-24, (84)

запустите-ка мне ядро или саму песочницу в песочнице , мяв (?), 06:23 , 11-Окт-24, (74)

А зачем Можно поизвращатся с jail и таки запустить ядро в песочнице , но чего р, Ivan_83 (ok), 07:24 , 11-Окт-24, (76)

а затем, что спасает от любой уязвимости с СЕ де-факто сам jail тоже в песочнице, мяв (?), 08:20 , 11-Окт-24, (77)

Зачем от неё спасатся Вы на создание и саппорт этого всего потратите больше чем, Ivan_83 (ok), 18:01 , 11-Окт-24, (93)

Fennec больше не может быть собран в соответствии с правилами F-Droid из за смен, Аноним (44), 14:16 , 10-Окт-24, (44) +2

С Mull похоже те же проблемы, OpenEcho (?), 14:45 , 10-Окт-24, (49)

только что 131 прилетела fennec все еще 129 , мяв (?), 08:21 , 11-Окт-24, (78) +1

Пасиб, а то я только в ручную обновляю параноя однако , OpenEcho (?), 12:20 , 11-Окт-24, (85)

Это больше вопрос к правилам ф-дроида и их адекватности Могли бы бекпортить фикс, Аноним (-), 14:50 , 10-Окт-24, (51) +4

Так и чо Я выше написал, для андройда будет 3 условия, но там и ограничения со с, Ivan_83 (ok), 19:44 , 10-Окт-24, (62)

Я ничего не понял Firefox зависит от проприетарного тулчейна Если да, то это н, Аноним (69), 01:46 , 11-Окт-24, (69)

В альтлинуксе firefox-esr Версия 115 11 0-alt1Неуязвим , Аноним (57), 16:51 , 10-Окт-24, (57)

Неуловим , Аноним (58), 17:25 , 10-Окт-24, (58) +1

Если не все анонимы поняли, то поясняю с этой уязвимостью вы можете открыть сай, Анониссимус (?), 00:00 , 11-Окт-24, (67)

У x11 уже не осталось пользователей, зачем от него отказываться Никто не будет , Аноним (65), 00:17 , 11-Окт-24, (68) –3
Предлагаю вместо отказа от фич X11 отказаться от раздувания фич в браузере Ну п, Аноним (81), 09:58 , 11-Окт-24, (81) +2

Если для вас обычные анимации это раздувание фич, то прошу проследовать на Lynx,, Аноним (-), 13:18 , 11-Окт-24, (87)

Запускай отдельных X11-сервер на каждое приложение, как раз получится как в вейл, Местный с житейским делом (?), 15:31 , 11-Окт-24, (91)

зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным , Аноним (94), 19:36 , 11-Окт-24, (94)

Сообщения [Сортировка по времени | RSS]

1. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +3 +/–

Сообщение от X86 (ok), 10-Окт-24, 10:01

> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах
Понаделают дверей, потом дыры в них латают. Неужели эта функция важнее безопасности?

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +8 +/–

Сообщение от Аноним (-), 10-Окт-24, 10:12

> Понаделают дверей
Ну разумеется, анимации не нужны. Так же может быть дыра.
И картинки не нужны. В декодере тоже может быть дыра.
И стили тоже не нужны. Потому что там... ну ты понял.
Нужно просто отображать plain text. Вот его хватит всем.
*главное в сплите строки опять не сделать дыру, а то как-то совсем неудобно будет
> потом дыры в них латают
Просто если используешь инструменты из прошлого тысячелетия, то лепишь очередную use-after-free.
Неужели их использование важнее безопасности?

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +3 +/–

Сообщение от Советский инженер (ok), 10-Окт-24, 10:23

>Нужно просто отображать plain text.
шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчитывать, а там дырень

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +5 +/–

Сообщение от alexfarman (?), 10-Окт-24, 10:43

И вообще графического интерфейса своего быть не должно, вывод текста сразу в терминал

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (14), 10-Окт-24, 10:44

В общем, Gemini protocol.

Ответить | Правка | Наверх | Cообщить модератору

39. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +2 +/–

Сообщение от OpenEcho (?), 10-Окт-24, 13:12

Не, еще проще - gopher

Ответить | Правка | Наверх | Cообщить модератору

66. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от slavanap (?), 10-Окт-24, 22:33

~$ links http://google.com

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

79. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (79), 11-Окт-24, 09:40

$ lynx https://opennet.ru

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +1 +/–

Сообщение от Аноним (-), 10-Окт-24, 10:44

Именно!
При этом сам шрифт должен быть записан в ПЗУ терминала.
А то вдруг произойдет что-то плохое если позволить пользователю грузить собственные шрифты.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

89. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Асен Тотин (?), 11-Окт-24, 13:44

Какой шрифт?! Какой терминал?! Там столько дыр может быть... Сразу все на бумагу через принтер, да и только.

Ответить | Правка | Наверх | Cообщить модератору

95. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (95), 11-Окт-24, 22:25

А на бумаге сколько можно дыр понаставить дыроколом...

Ответить | Правка | Наверх | Cообщить модератору

96. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (96), 11-Окт-24, 22:57

Так, уберите это всё! Нету "вот этого всё" - нету проблем!

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +11 +/–

Сообщение от Аноним (17), 10-Окт-24, 10:47

> Например, пропадают тени и закругления всплывающих меню
А минусы будут?

Ответить | Правка | Наверх | Cообщить модератору

33. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Ivan_83 (ok), 10-Окт-24, 12:05

Всегда думал что так и должно быть, у Dino такая же фигня.

Ответить | Правка | Наверх | Cообщить модератору

45. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (45), 10-Окт-24, 14:22

Ну потому что надо вейландом пользоваться, а не цепляться за легаси. Переход к тому же считай бесшовный.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

64. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +1 +/–

Сообщение от Омнонном (?), 10-Окт-24, 21:47

Вяленый - это и есть легаси. Мертворожденное.

Ответить | Правка | Наверх | Cообщить модератору

65. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (65), 10-Окт-24, 22:11

Только в mesa/gnome -- explicit sync не осилили и никакой тройной буферизации. Implicit sync и двойная буферизация действительно легаси.

Ответить | Правка | Наверх | Cообщить модератору

86. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (86), 11-Окт-24, 12:54

От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле, чем мозги пудрили людям и бодались с гномо(о)вцами.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

88. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (-), 11-Окт-24, 13:18

> От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение.
Местные любители иксов, по их словам, так решали проблему того, что в ХОрге приложения могут подглядывать в чужие экраны.
> Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле
Ну так перепиши.
Тех кто колупались в коде ХОрга уже не заставишь, тк оно насмотрелись на "тысячи строк ужаса" и их даже за деньги не заставишь.

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 10-Окт-24, 12:13

>приводящая к выполнению кода на уровне процесса обработки контент
как прекрасно, что у меня все еще tomoyo на всех машинах!
ну и флатпак. в некоторых дистрибутивах огнелис именно оттуда по дефолту, что, имхо, хорошо.

Ответить | Правка | Наверх | Cообщить модератору

36. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Афроним (?), 10-Окт-24, 12:41

Hardened все же менее хардкорны чем эти песочницы.Может я ошибаюсь?

Ответить | Правка | Наверх | Cообщить модератору

71. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 06:08

да не, это в зависимости от того, кто писао политику.
процесс все равно сможет прочесть/писать/исполнять примерно то же самое, что и в песочнице. иногда даже чуть меньше.

Ответить | Правка | Наверх | Cообщить модератору

80. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (79), 11-Окт-24, 09:53

> в зависимости от того, кто писао политику.
Это очень дорогая, трудоёмкая задача. Месяц использовал комп для создания полного лога аудита и потом, с него, gradm сгенерил политику RBAC по всем пользователям системы. Дале вычитывал и правил политики MAC чтобы получилось что-то рабочие и пригодное. В продакшн не пошло, надо сразу больше времени для проверки и редактирования политик.
Переключился с MAC на CAP, легко и быстро можно раздать всем рутовым процессам только необходимые и достаточные привилегии.
# pscap
отображает всюду урезанные привилегии без возможности повышения.
А всякие сильные баги в прогах ловит hardened ядро от grsecurity.

Ответить | Правка | Наверх | Cообщить модератору

82. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 10:48

>Это очень дорогая, трудоёмкая задача.
что? нет, если вы себя любите и используете то, что было сделано для людей.
это максимум 30 минут в tomoyo-queryd. либо 1 настройка patternize.conf и потом поженание плодов режима обучения в связке с редкими ручными доработками.
>RBAC
он мертв.
>В продакшн не пошло
у меня все пошло, Вы просто не умеете правильно готовить.

Ответить | Правка | Наверх | Cообщить модератору

72. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 06:13

+ не надо забывать про уязвимости в самих песочницах. с МАС'ом и они не проканают. в целом, спектр покрываемых атак куда больше, некоторые даже ядро после инициализации могут контролить(ну, то есть, вообще любой подвид RCE/LCE не страшен).

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

40. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +1 +/–

Сообщение от Ivan_83 (ok), 10-Окт-24, 13:19

Неуловимый Джо :)
Чтобы реально на что то такое попасть нужно стечение обстоятельств.
1. нужно чтобы под твою систему был эксплоит: походу оно будет отличатся не только между ОС но и в зависимости от опций сборки и наличия ASLR, а Тэо из опенбсд поди ржёт в голос над этим со своим w^x, которые другие тоже себе растащили.
2. нужно чтобы под твою систему был код который некто собрался запускать
3. нужно чтобы ты зашёл на сайт где оно есть
4. нужно чтобы у тебя не было чего то типа umatrix который порежет такое непотребство с высокой вероятностью

Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.
И насколько я помню из прошлого общения томоя фильтрует доступ по путям, что конечно снизит ущерб и риски но делать что то неприятное можно и не шарясь по ФС: утащить пароли или поменять адрес кошелька при переводе крипты на какойнить бирже/обменнике.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от OpenEcho (?), 10-Окт-24, 14:38

> Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть.
capsicum на Линуксе кажется еще лет 5 назад помер

Ответить | Правка | Наверх | Cообщить модератору

52. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." –2 +/–

Сообщение от Аноним (-), 10-Окт-24, 14:54

> capsicum на Линуксе кажется еще лет 5 назад помер
Что такое 5 лет для вечного core2duo ?
Можно сидеть на самом лучшем ядре 2.6 и софте того же времени.

Ответить | Правка | Наверх | Cообщить модератору

56. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +1 +/–

Сообщение от Афроним (?), 10-Окт-24, 15:22

Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда. Так что сказки про кору дуба это вы приберегите для Айпони. Он как известно не выносит луддитства. D

Ответить | Правка | Наверх | Cообщить модератору

61. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Ivan_83 (ok), 10-Окт-24, 19:42

У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
Даже в венде такое есть, начиная с 2к как минимум.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

70. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от OpenEcho (?), 11-Окт-24, 02:36

> У меня фря
Я знаю, не первый день здесь :)
> что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп.
У нас и то и другое и третье... весь зоопарк ОСей. А в линолиуме там setcap наверное самый подручный, но без Каспера, a вместо перчика - SElinux которыму следовало бы поучится простоте capsicum, попроще наверное AppArmor, ну или если совсем не замaрачиваться то та же японская дева Томоё

Ответить | Правка | Наверх | Cообщить модератору

73. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 06:20

>AppArmor
который ничерта не умеет, отключается на раз-два в рантайме, не предназначен для написания больших политик в принципе, да еще и работает в полную силу только на ядрах каноникла?
спасибо, наелись.
>дева Томоё
..который, в отличии от, умеет в контроль кратно большего кол.-ва операций с фс, сетью и даже может ядро зажать; имеет гибкую политику исключений с автоматическим режимом обучения, благодаря которым, политика даже для всей системы - очень даже реальна.

Ответить | Правка | Наверх | Cообщить модератору

83. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от OpenEcho (?), 11-Окт-24, 12:10

Со всеми этими MAC, слишком много головной боли. Я понимаю там каждый день только этим и заниматься, то еще куда не шло, поэтому и появилсь все эти докеры и кибернетсы, проще разогнать задачи по песочницам простым девопсам, чем держать гика ковыряющегося в МАС-ах

Ответить | Правка | Наверх | Cообщить модератору

90. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 15:16

да не особо.. я на десктопе 3й год пользую tomoyo в дебиане.
сильная головная боль была только по началу.
потом, где-то через год, под всю систему политики появились.
это при том, что я занималась этим, как своеобразным "хобби" и до конца не прочла документацию(руками все писала, вместо того, что б запрячь автомат).
сейчас уже есть готовые пресеты в acl-группах и недобор/перебор устраняют patternize с режимом обучения.
вот реальная головная боль начинается когда какие-то <...> из дебиана решают <...> ускорить процесс генерации рамфс и <...> в пакет с ramfs-tool, dracut, начиная дергать dracut-install при генерации.
или с отзывом неиспользуемых разрешений. есть пара идей, как это автоматизировать. но это уже когда я с текущем проектом закончу.
на "ноутбук-роутер" просто переодически минимальную выжимку политики с десктопа переношу при обновлениях. он на oldstable, поэтому времени потыкаться об потенциальные камни на stable на десктопе с головой.
+ иногда приходится делать "ревизии" политик и на десктопе, и на сервере. щас уже делается парой скриптов. но, скорее всего, когда-то позже обьединю это все в 1 инструмент. и будет уже реально удобно.
зато! есть большой плюс: благодаря tomoyo в связке с другой аппаратно-софтовой защите, не могу вспомнить ни одной софтверной уязвимости, которая бы навредила моим десктопу/роутеру.
и осознание этого приносит мне кайф

Ответить | Правка | Наверх | Cообщить модератору

92. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Ivan_83 (ok), 11-Окт-24, 17:27

Так я особо ничем не парюсь, выкидываю капсикум, на десктопе вообще не упарываюсь ограничениями какими то, как было из "коробки" так и оставил, только /var/run и /tmp сделал 1777.
И тоже ничего не прилетело.
А домашний роутер ещё и вебсайт со всяким пхп хостит, правда оно почти всё в chroot и там только /tmp писать можно, а в остальном тоже как из коробки - и тоже ничо не случилось.
Так зачем тебе MAC, Джо?)

Ответить | Правка | Наверх | Cообщить модератору

75. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 06:27

>SELinux
есть более простой, но чуть менее поддерживаемый SMACK.
тоже на метках.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

84. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от OpenEcho (?), 11-Окт-24, 12:18

>>SELinux
> есть более простой, но чуть менее поддерживаемый SMACK.
> тоже на метках.
В интерпрайзах тяжело пропихнуть, а на "резидентшиал" уровне тоже слишком много времени на это все тратить. Проще то же Хвост или скорее МХ в frugal mode, все на read-only за исключением данных

Ответить | Правка | Наверх | Cообщить модератору

74. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 06:23

запустите-ка мне ядро или саму песочницу в песочнице?

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

76. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Ivan_83 (ok), 11-Окт-24, 07:24

А зачем?
Можно поизвращатся с jail и таки запустить ядро в "песочнице", но чего ради?

Ответить | Правка | Наверх | Cообщить модератору

77. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от мяв (?), 11-Окт-24, 08:20

а затем, что спасает от любой уязвимости с СЕ де-факто.
сам jail тоже в песочнице будет?
а с МАС'ом - в "песочнице" будет все живое.

Ответить | Правка | Наверх | Cообщить модератору

93. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Ivan_83 (ok), 11-Окт-24, 18:01

Зачем от неё спасатся?)
Вы на создание и саппорт этого всего потратите больше чем я на воосстановление если оно потребуется вообще когданить, пока за 16 лет юза фри оно было не надо.
Я думаю что у вас перенос реальных фобий на ИБ, как у большинства тех кто не админит всякие сервисы с денежными транзакциями.
Попробуйте сменить локацию и купить ствол, должно попустить :)

Ответить | Правка | Наверх | Cообщить модератору

44. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +2 +/–

Сообщение от Аноним (44), 10-Окт-24, 14:16

Fennec больше не может быть собран в соответствии с правилами F-Droid из за смены тулчейна в апстриме, и в репозитории остается уязвимая 129 версия - https://gitlab.com/relan/fennecbuild/-/issues/86

Ответить | Правка | Наверх | Cообщить модератору

49. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от OpenEcho (?), 10-Окт-24, 14:45

> Fennec больше не может быть собран в соответствии с правилами F-Droid из
> за смены тулчейна в апстриме, и в репозитории остается уязвимая 129
> версия - https://gitlab.com/relan/fennecbuild/-/issues/86
С Mull похоже те же проблемы

Ответить | Правка | Наверх | Cообщить модератору

78. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +1 +/–

Сообщение от мяв (?), 11-Окт-24, 08:21

только что 131 прилетела.
fennec все еще 129.

Ответить | Правка | Наверх | Cообщить модератору

85. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от OpenEcho (?), 11-Окт-24, 12:20

> только что 131 прилетела.
> fennec все еще 129.
Пасиб, а то я только в ручную обновляю (параноя однако...)

Ответить | Правка | Наверх | Cообщить модератору

51. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +4 +/–

Сообщение от Аноним (-), 10-Окт-24, 14:50

> Fennec больше не может быть собран в соответствии с правилами F-Droid из-за смены тулчейна в апстриме,
Это больше вопрос к правилам ф-дроида и их адекватности.
> и в репозитории остается уязвимая 129 версия
Могли бы бекпортить фиксы.. а не, не могли.
Они же просто пересобирают лису, а не пишут новый код.
Ну штош, если такова цена щво6одки, то посмотрим сколько людей захотят за нее заплатить

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

62. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Ivan_83 (ok), 10-Окт-24, 19:44

Так и чо?
Я выше написал, для андройда будет 3 условия, но там и ограничения со стороны ОС сразу более жёсткие и по файлам особо не пошаришься, если только эксплоит сразу для рута запускать.

Ответить | Правка | Наверх | Cообщить модератору

69. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (69), 11-Окт-24, 01:46

Я ничего не понял. Firefox зависит от проприетарного тулчейна? Если да, то это не полностью опенсорсный браузер.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

57. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (57), 10-Окт-24, 16:51

В альтлинуксе firefox-esr Версия: 115.11.0-alt1
Неуязвим?

Ответить | Правка | Наверх | Cообщить модератору

58. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +1 +/–

Сообщение от Аноним (58), 10-Окт-24, 17:25

Неуловим!

Ответить | Правка | Наверх | Cообщить модератору

67. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Анониссимус (?), 11-Окт-24, 00:00

Если не все анонимы поняли, то поясняю: с этой уязвимостью вы можете открыть сайтик, который сможет скриншотить, кейлогать, и вообще лазить по всему хомяку.
И от этого всего можно спастись только отказом от X11 и применением Selinux, AppArmor и подобных средств.

Ответить | Правка | Наверх | Cообщить модератору

68. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." –3 +/–

Сообщение от Аноним (65), 11-Окт-24, 00:17

У x11 уже не осталось пользователей, зачем от него отказываться? Никто не будет таргетить полпроцента 1%.

Ответить | Правка | Наверх | Cообщить модератору

81. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +2 +/–

Сообщение от Аноним (81), 11-Окт-24, 09:58

Предлагаю вместо отказа от фич X11 отказаться от раздувания фич в браузере. Ну просто потому что
>вообще лазить по всему хомяку.
X11 не предоставляет, а вот браузер, сделанный из-под палки всяких там шаманок под спринтами на KPI по методике "release early, release often" - как раз да.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

87. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (-), 11-Окт-24, 13:18

> отказаться от раздувания фич в браузере
Если для вас обычные анимации это раздувание фич, то прошу проследовать на Lynx, ФФ не для вас.
> X11 не предоставляет
Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.

Ответить | Правка | Наверх | Cообщить модератору

91. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Местный с житейским делом (?), 11-Окт-24, 15:31

> Еще как предоставляет. Это же фундаментальная "особенность" иксов, что кто угодно читать экран и клавиатуру.
Запускай отдельных X11-сервер на каждое приложение, как раз получится как в вейланде.

Ответить | Правка | Наверх | Cообщить модератору

94. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..." +/–

Сообщение от Аноним (94), 11-Окт-24, 19:36

зачем отказываться от иксов - запускай браузер на отдельных иксах под отдельным пользователем - и переключайся alt+ctrl+F8 - это можно было делать 20 лет назад, это можно делать и сегодня. без всяких там ваших извращений...

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+3 +/–
Сообщение от X86 (ok), 10-Окт-24, 10:01
> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах Понаделают дверей, потом дыры в них латают. Неужели эта функция важнее безопасности?
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+8 +/–
	Сообщение от Аноним (-), 10-Окт-24, 10:12
	> Понаделают дверей Ну разумеется, анимации не нужны. Так же может быть дыра. И картинки не нужны. В декодере тоже может быть дыра. И стили тоже не нужны. Потому что там... ну ты понял. Нужно просто отображать plain text. Вот его хватит всем. *главное в сплите строки опять не сделать дыру, а то как-то совсем неудобно будет > потом дыры в них латают Просто если используешь инструменты из прошлого тысячелетия, то лепишь очередную use-after-free. Неужели их использование важнее безопасности?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+3 +/–
	Сообщение от Советский инженер (ok), 10-Окт-24, 10:23
	>Нужно просто отображать plain text. шрифт должен быть пиксельным а не всякие трутайп, а то начнут сглаживание расчитывать, а там дырень
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+5 +/–
	Сообщение от alexfarman (?), 10-Окт-24, 10:43
	И вообще графического интерфейса своего быть не должно, вывод текста сразу в терминал
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (14), 10-Окт-24, 10:44
	В общем, Gemini protocol.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+2 +/–
	Сообщение от OpenEcho (?), 10-Окт-24, 13:12
	Не, еще проще - gopher
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от slavanap (?), 10-Окт-24, 22:33
	~$ links http://google.com
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	79. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (79), 11-Окт-24, 09:40
	$ lynx https://opennet.ru
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+1 +/–
	Сообщение от Аноним (-), 10-Окт-24, 10:44
	Именно! При этом сам шрифт должен быть записан в ПЗУ терминала. А то вдруг произойдет что-то плохое если позволить пользователю грузить собственные шрифты.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	89. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Асен Тотин (?), 11-Окт-24, 13:44
	Какой шрифт?! Какой терминал?! Там столько дыр может быть... Сразу все на бумагу через принтер, да и только.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	95. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (95), 11-Окт-24, 22:25
	А на бумаге сколько можно дыр понаставить дыроколом...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (96), 11-Окт-24, 22:57
	Так, уберите это всё! Нету "вот этого всё" - нету проблем!
	Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+11 +/–
Сообщение от Аноним (17), 10-Окт-24, 10:47
> Например, пропадают тени и закругления всплывающих меню А минусы будут?
Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Ivan_83 (ok), 10-Окт-24, 12:05
	Всегда думал что так и должно быть, у Dino такая же фигня.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (45), 10-Окт-24, 14:22
	Ну потому что надо вейландом пользоваться, а не цепляться за легаси. Переход к тому же считай бесшовный.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	64. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+1 +/–
	Сообщение от Омнонном (?), 10-Окт-24, 21:47
	Вяленый - это и есть легаси. Мертворожденное.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (65), 10-Окт-24, 22:11
	Только в mesa/gnome -- explicit sync не осилили и никакой тройной буферизации. Implicit sync и двойная буферизация действительно легаси.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (86), 11-Окт-24, 12:54
	От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле, чем мозги пудрили людям и бодались с гномо(о)вцами.
	Ответить \| Правка \| К родителю #45 \| Наверх \| Cообщить модератору


	88. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (-), 11-Окт-24, 13:18
	> От вейланда столько же пользы, как от отдельного X11 сервера под каждое приложение. Местные любители иксов, по их словам, так решали проблему того, что в ХОрге приложения могут подглядывать в чужие экраны. > Лучше бы Xorg переписали под те фичи, которые нужны от протокола на самом деле Ну так перепиши. Тех кто колупались в коде ХОрга уже не заставишь, тк оно насмотрелись на "тысячи строк ужаса" и их даже за деньги не заставишь.
	Ответить \| Правка \| Наверх \| Cообщить модератору

34. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
Сообщение от мяв (?), 10-Окт-24, 12:13
>приводящая к выполнению кода на уровне процесса обработки контент как прекрасно, что у меня все еще tomoyo на всех машинах! ну и флатпак. в некоторых дистрибутивах огнелис именно оттуда по дефолту, что, имхо, хорошо.
Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Афроним (?), 10-Окт-24, 12:41
	Hardened все же менее хардкорны чем эти песочницы.Может я ошибаюсь?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от мяв (?), 11-Окт-24, 06:08
	да не, это в зависимости от того, кто писао политику. процесс все равно сможет прочесть/писать/исполнять примерно то же самое, что и в песочнице. иногда даже чуть меньше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Аноним (79), 11-Окт-24, 09:53
	> в зависимости от того, кто писао политику. Это очень дорогая, трудоёмкая задача. Месяц использовал комп для создания полного лога аудита и потом, с него, gradm сгенерил политику RBAC по всем пользователям системы. Дале вычитывал и правил политики MAC чтобы получилось что-то рабочие и пригодное. В продакшн не пошло, надо сразу больше времени для проверки и редактирования политик. Переключился с MAC на CAP, легко и быстро можно раздать всем рутовым процессам только необходимые и достаточные привилегии. # pscap отображает всюду урезанные привилегии без возможности повышения. А всякие сильные баги в прогах ловит hardened ядро от grsecurity.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от мяв (?), 11-Окт-24, 10:48
	>Это очень дорогая, трудоёмкая задача. что? нет, если вы себя любите и используете то, что было сделано для людей. это максимум 30 минут в tomoyo-queryd. либо 1 настройка patternize.conf и потом поженание плодов режима обучения в связке с редкими ручными доработками. >RBAC он мертв. >В продакшн не пошло у меня все пошло, Вы просто не умеете правильно готовить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от мяв (?), 11-Окт-24, 06:13
	+ не надо забывать про уязвимости в самих песочницах. с МАС'ом и они не проканают. в целом, спектр покрываемых атак куда больше, некоторые даже ядро после инициализации могут контролить(ну, то есть, вообще любой подвид RCE/LCE не страшен).
	Ответить \| Правка \| К родителю #36 \| Наверх \| Cообщить модератору


	40. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+1 +/–
	Сообщение от Ivan_83 (ok), 10-Окт-24, 13:19
	Неуловимый Джо :) Чтобы реально на что то такое попасть нужно стечение обстоятельств. 1. нужно чтобы под твою систему был эксплоит: походу оно будет отличатся не только между ОС но и в зависимости от опций сборки и наличия ASLR, а Тэо из опенбсд поди ржёт в голос над этим со своим w^x, которые другие тоже себе растащили. 2. нужно чтобы под твою систему был код который некто собрался запускать 3. нужно чтобы ты зашёл на сайт где оно есть 4. нужно чтобы у тебя не было чего то типа umatrix который порежет такое непотребство с высокой вероятностью Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть. И насколько я помню из прошлого общения томоя фильтрует доступ по путям, что конечно снизит ущерб и риски но делать что то неприятное можно и не шарясь по ФС: утащить пароли или поменять адрес кошелька при переводе крипты на какойнить бирже/обменнике.
	Ответить \| Правка \| К родителю #34 \| Наверх \| Cообщить модератору


	46. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от OpenEcho (?), 10-Окт-24, 14:38
	> Вместо дрючива с MAC можно просто браузер в chroot запускать, capsicum там и так вроде есть. capsicum на Линуксе кажется еще лет 5 назад помер
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	–2 +/–
	Сообщение от Аноним (-), 10-Окт-24, 14:54
	> capsicum на Линуксе кажется еще лет 5 назад помер Что такое 5 лет для вечного core2duo ? Можно сидеть на самом лучшем ядре 2.6 и софте того же времени.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+1 +/–
	Сообщение от Афроним (?), 10-Окт-24, 15:22
	Челу норм на Бзде и вертел он этот ваш Линь в последний раз примерно вот тогда. Так что сказки про кору дуба это вы приберегите для Айпони. Он как известно не выносит луддитства. D
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранение..."	+/–
	Сообщение от Ivan_83 (ok), 10-Окт-24, 19:42
	У меня фря, что там у вас в линухе - наверное какой то аналог есть для нарезки сисколов и сброса привелегий и тп. Даже в венде такое есть, начиная с 2к как минимум.
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору