https://opennet.ru/openforum/vsluhforumID3/117678.html Седом за выпусками Firefox 67.0.3 и 60.7.1 опубликованы (https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/) дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day уязвимость (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема позволяет через манипуляцию с IPC-вызовом Prompt:Open открыть web-контент в дочернем процессе, в котором не используется sandbox. В сочетании с другой уязвимостью данная проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе.<br><br><br>Выявленные в последних двух выпусках Firefox уязвимости до своего исправления были использованы (https://twitter.com/SecurityGuyPhil/status/1141466335592869888) для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись (https://objective-see.com/blog/blog_0x43.html) для распространения вредоносного ПО для платформы macOS. Утверждается (https://twitter.com/5aelo/status/1141273394723414016), что информация о первой уязвимости была направлена в Mo https://opennet.ru/openforum/vsluhforumID3/117678.html#109 Mon, 08 Jul 2019 14:59:21 GMT https://netmarketshare.com/browser-market-share.aspx?options=%7B%22filter%22%3A%7B%7D%2C%22dateLabel%22%3A%22Custom%22%2C%22attributes%22%3A%22share%22%2C%22group%22%3A%22browser%22%2C%22sort%22%3A%7B%22share%22%3A-1%7D%2C%22id%22%3A%22browsersDesktop%22%2C%22dateInterval%22%3A%22Monthly%22%2C%22dateStart%22%3A%222019-06%22%2C%22dateEnd%22%3A%222019-06%22%2C%22segments%22%3A%22-1000%22%2C%22hiddenSeries%22%3A%7B%7D%7D<br> https://opennet.ru/openforum/vsluhforumID3/117678.html#108 Sat, 22 Jun 2019 19:40:58 GMT &gt; В дискуссии на опеннете ссылаться на процесс разработки? С точки зрения опеннета, это детская наивность и безнадёжно теоретическое философствования. Но процесс разработки -- это скорее о long term перспективах проекта.<br><br>Про long term - да. Про теоретическое философствование - ну я не предлагаю глубокого погружения, очевидно, хотя, при наличии возможностей это плюс.<br><br>&gt; Процесс разработки не может изменить ситуацию с багами кардинально.<br><br>Ну вообще-то только он и может. Баги делают люди, определяют, какие компоненты будут и как будут сделаны тоже люди.<br><br>&gt; Не, я согласен с тем, что учитывать надо как можно больше информации. Но это не бесплатно. <br><br>Если не закапываться в хардкорные нюансы, то может быть и не очень дорого. По крайней мере, примерно представлять модель безопасности каждого браузера желательно, как по мне. Сейчас оба идут к сандбоксам и изоляции, но у этих путей разная история, это тоже стоит иметь ввиду.<br><br>&gt; Чтобы учесть всю доступную информацию по firefox'у и по chrome'у, чтобы сравнить и https://opennet.ru/openforum/vsluhforumID3/117678.html#107 Sat, 22 Jun 2019 17:19:54 GMT &gt;[оверквотинг удален]<br>&gt; браузеров, это одному человеку нереально.<br>&gt; Собственно, сандбоксы и прочие режимы строгой изоляции - это "капитуляция перед неизвестностью" <br>&gt; примерно того же рода, что упомянутый мной запуск браузера из под <br>&gt; отдельного пользователя.<br>&gt; Вопрос собственно в том, почему статистику мы должны ставить выше прочих знаний <br>&gt; о программе. В то время как статистика уязвимостей - это результат <br>&gt; всего того, что происходит с проектом и только.<br>&gt; Всего - не <br>&gt; только внутреннего устройства и архитектуры, а вообще, всего, в т.ч. популярности <br>&gt; программы и социальной ситуации вокруг неё.<br><br>В дискуссии на опеннете ссылаться на процесс разработки? С точки зрения опеннета, это детская наивность и безнадёжно теоретическое философствования. Но процесс разработки -- это скорее о long term перспективах проекта. Процесс разработки не может изменить ситуацию с багами кардинально. При этом крайне сложно предсказать вещи типа "firefox активно используется в Coinbase, и поэтому атака на него мож https://opennet.ru/openforum/vsluhforumID3/117678.html#106 Sat, 22 Jun 2019 15:46:23 GMT &gt; Тебе не приходилось читать про теорию игр? Или про её обобщения в виде всяких там теорий принятия решений в неопределённых условиях? Когда ты действуешь исходя из неопределённостей, ты неизбежно будешь ошибаться. От этого никуда уйти не удастся. Но при этом можно ошибаться чаще или реже. <br><br>Приходилось. Не понятно, зачем принимать решение в неопределённых условиях, если можно узнать больше информации? В идеале можно даже самому код изучить, опенсорс же, ну правда с учётом сложности и объёма кодовой базы обоих браузеров, это одному человеку нереально.<br>Собственно, сандбоксы и прочие режимы строгой изоляции - это "капитуляция перед неизвестностью" примерно того же рода, что упомянутый мной запуск браузера из под отдельного пользователя.<br>Вопрос собственно в том, почему статистику мы должны ставить выше прочих знаний о программе. В то время как статистика уязвимостей - это результат всего того, что происходит с проектом и только. Всего - не только внутреннего устройства и архитектуры, а вообще, всего, в т.ч. п https://opennet.ru/openforum/vsluhforumID3/117678.html#105 Sat, 22 Jun 2019 12:54:47 GMT &gt; Ну и как, помогла мне твоя статистика уязвимостей за прошлый год? Не <br>&gt; далее как сейчас 2 0-day подряд.<br><br>Тебе не приходилось читать про теорию игр? Или про её обобщения в виде всяких там теорий принятия решений в неопределённых условиях? Когда ты действуешь исходя из неопределённостей, ты неизбежно будешь ошибаться. От этого никуда уйти не удастся. Но при этом можно ошибаться чаще или реже.<br><br>&gt; В случае с уязвимостями в программах у нас нет такого закона, и нет в первую очередь "в природе", а не в науке. Нет закономерностей.<br><br>Нет, ты хоть что мне говори, но это всё очень похоже на стандартную эпистемологическую панику технаря, который в кои то веки столкнулся с реально сложной проблемой. Если наука не может тебе предложить готовой закономерности, то всё на что тебе приходится полагаться -- это на базовые философские принципы, типа принципа индукции. Это, понятно, делать надо аккуратно, но у тебя нет другого выхода. В том смысле, что много очень умных людей работали над философией, над тем откуда берётс https://opennet.ru/openforum/vsluhforumID3/117678.html#104 Sat, 22 Jun 2019 11:45:27 GMT &gt; Любая модель некорректна. По определению. Любая модель начинается с того, что большая часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного браузера, я не учитываю фазу луны или изменение численности алтайских тигров. <br><br>Не связанные части реальности и не должны учитываться моделью. Тигры никак не могут повлиять на число дыр в проекте. Разве что сожрут всех разработчиков, но я предлагаю не впадать в глупые крайности.<br>Тем не менее, учитывать надо максимум того, что можно учитывать.<br><br>&gt; Что из этого имеет отношение к firefox или к chrome? То есть, я абсолютно согласен с тем, что надо учитывать все возможные влияющие факты. Но я не вижу никаких таких фактов относящихся к ff или chrome.<br><br>Пример был больше абстрактный. Но например, вот в хроме внедряют изоляюцию между сайтами, путём запихивания обработки каждого в отдельный процесс. Потенциально это может положительно сказаться на безопасности и снизить вероятность ущерба от некоторых атак.<br>Как по мне, куда важнее учитывать подобны https://opennet.ru/openforum/vsluhforumID3/117678.html#103 Sat, 22 Jun 2019 07:17:27 GMT &gt;&gt; Несколько раз пытался подписываться на rss, но кончалось каждый раз обычными подписками в почту.<br>&gt; Для подписки на RSS, внезапно, нужен агрегатор. В FF никогда полноценного агрегатора <br>&gt; не было, только простая гляделка лент (она и сейчас есть).<br><br>Вот я о том же. Чтобы пользоваться RSS надо сложно разобираться в том, как им пользоваться. Я пытался пару раз минут по десять. Так и не понял, что за софтина мне нужна, судя по всему для этого требовалось двигаться методом проб и ошибок, то есть устанавливать всё подряд, и смотреть что это такое. Бр-р-р. Зачем все эти сложности, если можно подписку в почту оформить? Или даже просто кинуть интересный сайт в закладки и эпизодически туда ходить, смотреть что нового там появилось.<br> https://opennet.ru/openforum/vsluhforumID3/117678.html#102 Sat, 22 Jun 2019 06:56:35 GMT https://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224<br> https://opennet.ru/openforum/vsluhforumID3/117678.html#101 Sat, 22 Jun 2019 06:53:20 GMT &gt; Несколько раз пытался подписываться на rss, но кончалось каждый раз обычными подписками в почту.<br><br>Для подписки на RSS, внезапно, нужен агрегатор. В FF никогда полноценного агрегатора не было, только простая гляделка лент (она и сейчас есть).<br>