The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в qutebrowser, позволяющая выполнить код в системе

12.07.2018 08:22

В web-браузере qutebrowser, предоставляющем минимальный графический интерфейс и систему навигации в стиле Vim, выявлена уязвимость (CVE-2018-10895), позволяющая выполнить CSRF-атаку со вставкой на страницы обращения к URL "qute://settings", что позволяет изменить настройки браузера при открытии подконтрольного атакующим сайта. В том числе атакующие могут изменить значение параметра editor.command и выполнить любой код в системе пользователя. Проблема устранена в выпуске 1.4.1.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Доступен web-браузер qutebrowser 1.2.0
  3. OpenNews: Выпуск web-браузера qutebrowser 1.0.0
  4. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48955-qutebrowser
Ключевые слова: qutebrowser
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:25, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    А вы... а у вас... а... а зато у вас в хроме/файрфоксе собирают метрику!
     
     
  • 2.3, AntonAlekseevich (ok), 08:34, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –10 +/
    > А вы... а у вас... а... а зато у вас в хроме/файрфоксе собирают метрику!

    Когда заканчиваются аргументы, начинаются логические ошибки. В том числе переход на продукты. :D

     
  • 2.4, Анони (?), 08:37, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Под ударом все три пользователя!
     
     
  • 3.16, trdm (ok), 13:38, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я QtWeb использую.
    Нас таких в 10 раз меньше. т.е. 0,3 человека.
     
     
  • 4.27, Аноним (27), 06:14, 13/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Некролюб
     

  • 1.2, Аноним (2), 08:26, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ох и хайпанут вирусописатели)
     
  • 1.12, Аноним (12), 10:16, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Почему-то от проектов на «безопасном» питоне всегда ждёшь именно таких глупых ошибок.
     
     
  • 2.14, Аноним (14), 10:42, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Зато датамайнинк! Бикдата! Машинное обучение!
     
     
  • 3.21, Аноним (-), 17:03, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Машинное обучение

    Неосилятор детектед, правильно - мачине лёрнинг. Ты не можешь в питон!

     
  • 2.18, Аноним (18), 14:46, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еще бы, ведь "умные" ошибки вроде записи за пределы буфера на нем сделать сложно
     
     
  • 3.23, Аноним (23), 18:04, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сфигали? питон же на С написан.
     
     
  • 4.24, Аноним (24), 20:20, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    есть реализация на JVM
     
     
  • 5.25, Аноним (23), 22:11, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    jvm на с++
     
  • 3.33, Аноним (33), 12:48, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вам и запятые с точками проставлять сложно. Видать, от большого ума, да?
     

  • 1.15, Нанобот (ok), 12:42, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    все пользователи qutebrowser в опасности (оба)...
    ...а нет, не все, один уже обновился, 50% пользователей qutebrowser в опасности
     
     
  • 2.34, Аноним (33), 12:48, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не только лишь все...
     

  • 1.19, Аноним (19), 16:21, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Так если уязвимость закрыли 3 дня назад, зачем о ней сейчас писать?
     
     
  • 2.22, Аноним (22), 17:38, 12/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы узнали те, кто ещё не обновился. Не очевидно?
     
     
  • 3.35, Аноним (33), 12:50, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они ещё и руками обновляют? И исключительно после прочтения сего жёлтого сайтеца?!
     

  • 1.26, Аноним (26), 02:01, 13/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пользователей заметно больше двух, загляните в их рассылку.
     
     
  • 2.28, mandala (ok), 07:59, 13/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну пусть 2000, ух! А теперь сравним даже с лисой, которая жалкие проценты рынка имеет. И? Что 2, что 2000 -- погрешность.
     

  • 1.29, kknight (ok), 10:26, 13/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А я смотрю видосы в Browsh, запущенном под Alacritty. Необычные ощущения!
     
     
  • 2.36, Стоп (?), 21:46, 15/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мазохист?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру