https://opennet.dev/openforum/vsluhforumID3/116771.html Первого марта компания Google опубликовала (https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html) очередное обновление браузера Chrome 72.0.3626.121 с устранением уязвимости (CVE-2019-5786 (https://security-tracker.debian.org/tracker/CVE-2019-5786)), позволяющей инициировать обращение к уже освобождённому блоку памяти (Use-after-free) через манипуляцию с API FileReader (https://developer.mozilla.org/en-US/docs/Web/API/FileReader). Проблеме был присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. При этом руководитель команды по обеспечению безопасности Chrome через твиттер рекомендовали (https://twitter.com/justinschuh/status/1103087046661267456) как можно быстрее установить обновление, но отказался раскрывать (https://bugs.chromium.org/p/chromium/issues/detail?id=936448) детальную информацию об уязвимости до установк https://opennet.dev/openforum/vsluhforumID3/116771.html#73 Thu, 14 Mar 2019 08:16:16 GMT &gt; это не телеметрия...<br><br>дооо, дооо, это не телеметрия, это оно просто так пахнет.<br><br>&gt; это нежелание анализировать огромный объем данных по установленным пакетам и айпишникам<br><br>наоборот, это желание анализировать данные, которыми пользователь делиться вообще не планировал. А диски нынче дешевле чем деньги, которые можно получить от их перепродажи.<br><br>найдите хоть одно отличие от виндовс-калькулятора. А чо, он ваш лайв-логин тоже не сливает.<br><br>&gt; заведите свой сервер и обновляйтесь только оттуда, а сервер - зеркало... профиль составить не<br>&gt; получится...<br><br>заведите свой закрытый сегмент с корпоративной виндой, и хоть вообще не обновляйтесь - телеметрию собрать не получится. Рецепт ровно такой же как и ваш, только, в отличие от вашего, реально выполнимый и выполняемый теми, кому есть что хранить в секрете.<br><br>&gt; а еще есть урлы на которые винда может ходить минуя firewall<br><br>пруфы будут? У меня винда в обход собственного файрвола никуда не ходит - траффик через bt линк немного ограничен, и было бы крайне неприя https://opennet.dev/openforum/vsluhforumID3/116771.html#72 Wed, 13 Mar 2019 18:43:00 GMT "более простую схему на основе счётчика времени установки и переменной с данными об архитектуре и версии ОС"<br><br>это не телеметрия... это нежелание анализировать огромный объем данных по установленным пакетам и айпишникам<br><br>просто зная какие пакеты вы ставите по вам можно составить намного подробнее профиль, чем время установки ос и ее версия<br><br>заведите свой сервер и обновляйтесь только оттуда, а сервер - зеркало... профиль составить не получится...<br><br>форкните DNF на крайний.. пусть шлет всегда рандом... (хотя как по мне так нет смысла)<br><br>это вам не скайп который ходит по вашим линкам<br>а еще есть урлы на которые винда может ходить минуя firewall<br><br>сравнили мне кажется вы хрен с пальцем<br><br> https://opennet.dev/openforum/vsluhforumID3/116771.html#71 Wed, 13 Mar 2019 13:41:09 GMT &gt;&gt; телеметрия в пакетном менеджере <br>&gt; можно пруф?<br><br>https://www.opennet.ru/opennews/art.shtml?num=50101<br><br><br> https://opennet.dev/openforum/vsluhforumID3/116771.html#70 Wed, 13 Mar 2019 12:38:57 GMT &gt; телеметрия в пакетном менеджере<br><br>можно пруф?<br> https://opennet.dev/openforum/vsluhforumID3/116771.html#69 Tue, 12 Mar 2019 14:43:30 GMT &gt; Если целый парк обслуживать, то можно настроить свой WSUS сервер.<br><br>и добавить его к списку тамагочей, тоже нуждающихся в обслуживании (кстати, он немного небесплатен, учитывая, что к нему в нагрузку серверная лицензия идет)<br><br>не, я в прицнипе, так и живу (в стране бесплатного-то фотошопа), у меня той винды не единицы, а десятки (виртуалки, да), но вот с б-жественной десяточкой - сдался, увы - даже не стал бороться за энтерпрайзную версию, использую обычную про. Потому что сил и времени все же жалко, а пользы от этой героицской борьбы - ровно никакой.<br><br>&gt; Про жил пол-месяца... об этой уязвимости почти никто не знал в течении этих 2 недель.<br><br>ну вот голову к шапке новости задери - узнал. голосом того медведа - "и что теперь делать будем?"<br>да ничего не будем мы делать. надеяться на периметр. :-(<br><br>&gt; Мы на федору уходим<br><br>телеметрия в пакетном менеджере. И не только. Удачи пожелать не могу, поскольку на этом направлении удача не обитает, там камень из сказки стоит - "прямо пойдешь, тачло отожмем, направо п https://opennet.dev/openforum/vsluhforumID3/116771.html#68 Tue, 12 Mar 2019 14:32:10 GMT &gt; ну "в интернете есть скрипты" и все такое, если кому хочется трахаться <br>&gt; - можно героически "побеждать" телеметрию десятки (а можно вместо этого один <br>&gt; раз вымучить-таки себе активацию корп-версии, у которой она просто отключается), и <br>&gt; апдейты в ней точно такие же (только что хочешь запрещать <br>&gt; их выборочно опять же - добро пожаловать в корпоративные версии).<br>&gt; А когда у тебя той винды не один компьютер, а хотя бы <br>&gt; три - уже начнет надоедать (да и смысл - вот ты <br>&gt; жил пол-месяца с уязвимостью, а тут внезапно давай бросаться ее вручную <br>&gt; патчить).<br><br>Если целый парк обслуживать, то можно настроить свой WSUS сервер.<br>Про жил пол-месяца... об этой уязвимости почти никто не знал в течении этих 2 недель.<br>После выхода обновления - о ней знают все. Значительно уменьшается вероятность попасть под раздачу, если ты патчишься в срок.<br><br>&gt;&gt; именно поэтому десктоп хотим на линухе <br>&gt; тебе больше нравится телеметрия от корпораций бобра?<br>&gt; я вот совершенно не хочу десктоп на линуксе - я хочу нормальную https://opennet.dev/openforum/vsluhforumID3/116771.html#67 Tue, 12 Mar 2019 12:22:16 GMT ну "в интернете есть скрипты" и все такое, если кому хочется трахаться - можно героически "побеждать" телеметрию десятки (а можно вместо этого один раз вымучить-таки себе активацию корп-версии, у которой она просто отключается), и апдейты в ней точно такие же (только что хочешь запрещать их выборочно опять же - добро пожаловать в корпоративные версии).<br><br>А когда у тебя той винды не один компьютер, а хотя бы три - уже начнет надоедать (да и смысл - вот ты жил пол-месяца с уязвимостью, а тут внезапно давай бросаться ее вручную патчить).<br><br><br>&gt; именно поэтому десктоп хотим на линухе <br><br>тебе больше нравится телеметрия от корпораций бобра? <br><br>я вот совершенно не хочу десктоп на линуксе - я хочу нормальную рабочую станцию на линуксе, без дурацкого "десктопа". Но увы, трудами слаще-морковки-не-едалов, получим вместо этого полную задницу. С неотключаемой, кстати, телеметрией.<br> https://opennet.dev/openforum/vsluhforumID3/116771.html#66 Mon, 11 Mar 2019 15:13:12 GMT Это ложное мнение, что в ОС, на которую потрачены миллиарды, есть дыры. Это не дыры, а бэкдоры. Открытие их хакерами вынуждает бэкдоры закрывать, но в тех же или следующих обновлениях поставляются новые.<br> https://opennet.dev/openforum/vsluhforumID3/116771.html#65 Mon, 11 Mar 2019 15:09:44 GMT &gt; Остановитесь! Я тут выйду...<br><br>Мог и не заходить...<br>