Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость во FreeType, позволяющая выполнить код при обработке шрифтов"	+/–
Сообщение от opennews (ok), 13-Мрт-25, 14:22
В библиотеке отрисовки шрифтов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62875
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 13-Мрт-25, 14:24	–1 +/–
А когда добавили? В прошлый раз была уязвимость с шрифтами в формате png. Так теперь и не отключить png во freetype стало.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 13-Мрт-25, 14:26	+3 +/–
Никогда такого не было и вот опять
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 13-Мрт-25, 14:36	+2 +/–
Заходя в эту новость, я уже предвкушал, что тут будет переполнение буфера.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

5. Сообщение от DeerFriend (?), 13-Мрт-25, 14:43	+/–
freetype-2.13.1-1.fc39 created a year ago for Fedora 39 какой смысл писать про такие древности?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #22

6. Сообщение от Аноним (-), 13-Мрт-25, 14:48	–1 +/–
Хе, опять типичная дырень "запутался в типах - пошел гулять по буферу". Причем с опасностью 8 из 10. Да еще и с вероятным использованием in the wild. "Предполагается, что уязвимость уже применялась ранее для совершения атак" Да еще и во всех дистрибутивах, даже таких бмжацких как Mandriva и Слака. Просто какое-то дыряшечное бинго!
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 13-Мрт-25, 14:54	+/–
Дарка от бублика наш линукс злосчастный. К тому же, если учесть, что код всем открыт. Чем там все кичатся. Кто бы что ни говорил, но зачастую это банальный кактус, который мы с ехидной улыбкой, как у 20-летних заносчивых супэраутишников, жуём все вместе. Ну.. жуём дальше господа ))
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от НяшМяш (ok), 13-Мрт-25, 14:55	+/–
Любители дебиана уже дуреют с 2.12.1+dfsg-5+deb12u3 прикормки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15, #32

9. Сообщение от Аноним (9), 13-Мрт-25, 15:00	+1 +/–
> Amazon Linux 2, Debian stable / Devuan, RHEL 8 и 9 Вся суть "стабильных" дистрибутивов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от Аноним (10), 13-Мрт-25, 15:11	+/–
А что не так? Стабильные дистры затаскивают и бекпортируют себе фикс уязвимостей. Стабильные дистры не тащат новые фичи, которые ломают поведение библиотек/программ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #18

11. Сообщение от Аноним (11), 13-Мрт-25, 15:14	+/–
Я забыл, дум уже запустили в шрифте или мне приснилось?
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Fracta1L (ok), 13-Мрт-25, 15:17	–1 +/–
Разрабы freetype просто не умеют писать на сишке, вот местные комментаторы никогда бы не допустили такого бага.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 13-Мрт-25, 15:20	–2 +/–
Пора это уже в спецификации языка Си указать, что буфер -- это то, за пределы чего должен выйти любой уважающий себя сишник. Закрепить, так сказать, официально этот стандарт де-факто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

15. Сообщение от kai3341 (ok), 13-Мрт-25, 15:27	–1 +/–
Точно подмечено
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

16. Сообщение от Ivan_83 (ok), 13-Мрт-25, 15:31	–1 +/–
> до версии 2.13.0 включительно и устранена в версии 2.13.1 (июнь 2023 года). А что за некронвости такие!? freetype2-2.13.3 уже стоит из портов. Опять у растовиков обострение и пообщатся захотелось?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

17. Сообщение от Аноним (-), 13-Мрт-25, 15:35	+/–
> А что за некронвости такие!? Обычные некроновости для некродистров вроде Debian stable / Devuan, RHEL 8 и 9 и так далее. Потому что исправлено оно было в июне 2023 года, но не помечено как CVE. Поэтому бекпорта не было. > Опять у растовиков обострение и пообщатся захотелось? О чем тут общаться? Типикал сишная дыра, никогда такого не было и вот опять. А вот предупредить некролюбов что нужно обновиться - это доброе дело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21

18. Сообщение от Аноним (-), 13-Мрт-25, 15:37	+1 +/–
> Стабильные дистры затаскивают и бекпортируют себе фикс уязвимостей. Ну-ну. Проблема была исправлена еще в 2023 году. А сейчас на календаре 2025й, но окаменевший деб все еще уязвим security-tracker.debian.org/tracker/CVE-2025-27363 Вот где бекпорт??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #23

21. Сообщение от Ivan_83 (ok), 13-Мрт-25, 15:50	+/–
> А вот предупредить некролюбов что нужно обновиться - это доброе дело. Скорее всего систем со старой либой где шрифт с эксплоитом можно загрузить и "заюзать" единицы, они не представляют интереса, если только в таргетированных атаках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #24

22. Сообщение от Аноним (2), 13-Мрт-25, 15:53	+/–
Всего год? В генту уязвимая 2.13.0 до сих пор стабильная. А теперь представь сколько софта тащит только эту версию (и сколько более старые), у нас же деды-специалисты говорят обновляться стыдно и в то же время юнцы-специалисты топят за статическую линковку или как минимум таскать всё бандлом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

23. Сообщение от Аноним (10), 13-Мрт-25, 16:16	+/–
Дак выявили проблему в этом году. Как они могли себе фикс бекпортировать, если проблема еще не была обнаружена?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #29

24. Сообщение от 12yoexpert (ok), 13-Мрт-25, 16:22	+1 +/–
все корпоративные дистры со старыми либами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (25), 13-Мрт-25, 16:28	+/–
Годно. Теперь код необязательно запускать, достаточно открыть его в редакторе, чтобы произошел взлом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #28, #33

26. Сообщение от Аноним (2), 13-Мрт-25, 16:47	+/–
Достаточно открыть страничку в интернете без дефолтной блокировки шрифтов ublock. Будь готовые прототипы в паблике, можно было бы использовать их их для обхода цифровой тюрьмы¸а так ничего хорошего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от Аноним (27), 13-Мрт-25, 16:47	+/–
опять дебиан в безопасности! ну как всегда...
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (-), 13-Мрт-25, 16:47	+/–
Раньше было лучше (с) В 2020 у них была 0-day дырень [1], которая мало того что активно эксплуатировалась. Так еще и работала через браузер (хром и лиса). И работала на андроиде. Вот это уровень! [1] opennet.ru/opennews/art.shtml?num=53922
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

29. Сообщение от Аноним (-), 13-Мрт-25, 16:56	+1 +/–
> Дак выявили проблему в этом году. Проблемы выявили и исправили еще в 2023. Просто тогда не осознали насколько она проблемная. > Как они могли себе фикс бекпортировать, если проблема еще не была обнаружена? Но из-за того, что некродистры не забирают фиксы обычных багов, а только тех, которые оценили как критику, то естественно ее никто не забирал. Причем для нормальных дистров это проблемой не стало - они просто обновились и забыли. В итоге в шта6ильных сурьезных дистрах типа RHEL9 дырень прожила на полтора года дольше чем во всяких рачах и бубунтах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #31

30. Сообщение от Аноним (30), 13-Мрт-25, 17:46	+/–
Если это жадность до ОЗУ, то это необоснованно, т.к. в 32 битных системах переменная всё равно по факту займет 32 бита (если не извращаться, и к массивам не относится), а в 64-битной - 64. Более того, если говорить о микроконтроллерах с Cortex M, то там в некоторых случаях придется дополнительно выполнить команды SXTB, SXTH, UXTB и UXTH при операциях с меньшими по разрядности типами.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от User (??), 13-Мрт-25, 17:51	+/–
Ты не бойся, в рачах уже четыре новые слопатили)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от Аноним (32), 13-Мрт-25, 18:11    Скрыто ботом-модератором	+/–
таки и не все на 12-ом (!) 2.10.4+dfsg-1+deb11u1 all
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

33. Сообщение от Аноним (33), 13-Мрт-25, 18:32	+/–
Перед этим правдва надо установить нужный шрифт, и вот потом уже да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема