The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Chrome 66 с устранением критической уязвимости

11.05.2018 08:50

Доступно обновление браузера Chrome 66.0.3359.170, в котором устранено четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости пока не раскрываются (доступ к информации будет открыт после того, как большая часть пользователей установит обновление).

Остальные три проблемы помечены как опасные: CVE-2018-6121 позволяет повысить свои привилегии в дополнениях, CVE-2018-6122 связана с неверной интерпретацией типов в V8, CVE-2018-6120 приводит к переполнению буфера при открытии специально оформленных PDF-файлов в PDFium.

Дополнительно можно отметить, что в опубликованном 9 мая релизе Firefox 60 было устранено 54 уязвимости, из которых 30 помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 10 критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем опубликованы под CVE-2018-5151. Информация об уязвимостях была опубликована не сразу, а лишь через несколько часов после анонса, поэтому данные об уязвимостях не вошли в новость о выходе Firefox 60.

  1. Главная ссылка к новости (https://chromereleases.googleb...)
  2. OpenNews: Google официально представил поддержку Linux-приложений в Chrome OS
  3. OpenNews: Выпуск Chrome OS 66 с поддержкой виртуальной машины для приложений Linux
  4. OpenNews: В Chrome тестируют новое оформление интерфейса
  5. OpenNews: Релиз web-браузера Chrome 66
  6. OpenNews: Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48580-chrome
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:00, 11/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ""Обновление Chrome 66 с устранением критической уязвимости"" - это перейти на Firefox.
     
     
  • 2.3, Аноним (-), 09:03, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "Обновление Chrome 66 с устранением критической уязвимости"" - это перейти на Firefox.

    Неплохой вариант для мазохистов, стремящихся, чтобы их взломали.

    "в опубликованном 9 мая релизе Firefox 60 было устранено 54 уязвимости, из которых 30 помечены как критические".

     
     
  • 3.4, Аноним (-), 09:09, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вероятность взлома Firefox больше, чем скана от Chrome? p.s. Хром с такими же уязвимостями.
    https://geektimes.com/post/299633/
     
     
  • 4.9, iPony (?), 10:12, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Вероятность взлома Firefox больше, чем скана от Chrome?

    Ну да. У Chrome традиционно более сильная песочница. Практика по взломам на всяких соревнований это хорошо показывает

     
     
  • 5.18, Папка Кун (?), 20:12, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    они платят за такое неплохие деньги особенно в chrome os. но я на всякий случай самой новой у меня сейчас Версия 68.0.3409.2 (Официальная сборка), dev (64 бит) еще не успели взломать
     
  • 4.10, Аноним (-), 10:30, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вероятность взлома Firefox больше, чем скана от Chrome?

    Вот только все забывают упомянуть, что сканируются только загруженные через браузер файлы, действие специфично для Windows и реализация обсуждалась Google и публично анонсировалась за полгода до интеграции сканера. Теперь из мухи раздувают слова, умалчивая одно и ставя лишние акценты на другом.

     
     
  • 5.12, Аноним (-), 13:06, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Со мной не обсуждалась
     
  • 5.19, Аноним (19), 20:53, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас бы из браузера делать сначала операционную систему, потом и вовсе десктоп платформу, теперь вот антивирус подъехал?
     

  • 1.2, Анонимный Анонимус (?), 09:01, 11/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Вот ведь раньше жизнь была, что не релиз, так новые фичи, пачками, вагонами, на радость пользователям. Всевозможные свестоперделки на любой вкус и цвет.
    А сейчас каждая новость и разряда "Устранено 100500 уязвимостей и вкладки снова стали угловатые, в 3 раз, после круглых"
     
     
  • 2.5, Аноним (-), 09:33, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так ведь когда вышел FF с компонентами квантума и тучей новых фичей, все ныли, что новый интерфейс овно, что дополнения не работают, хотя это было продиктовано чёткими требованиями по безопасности, а на фичи никто не обсуждал.
    Поныть бы только, эх. Почему-то никто не трубует от юникс-утилит новых фич, хотя их давно стоило бы модернизировать, но люди слишком привыкли, в этом одна из важных проблем.
     
     
  • 3.27, анонимно (?), 10:29, 15/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >все ныли, что новый интерфейс овно, что дополнения не работают

    Но ведь так и есть. Интерфейс то еще убожество, а WebExtensions по возможностям уступает тому API, который был. Если взялись зарубить старый API, то вы либо выкатываете что-нибудь не уступающее по возможностям, либо катитесь на 3 веселых буквы.

     
  • 2.6, Аниним (?), 10:03, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот ведь раньше жизнь была, что не релиз, так новые фичи, пачками, вагонами, на радость пользователям.

    А что ещё дорабатывать? Разработка завершена, теперь = только сопровождение, обычный жизненный цикл ПО. Хочется фишек и новшеств - ставь Otter или другую наколеночную поделку.

     
     
  • 3.8, Аноним (-), 10:10, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внешний вид браузерных контролов, вроде input type="range". Туда бы направить энергию этих безумных дизайнеров, которые от скуки интерфейс ломают.
     
  • 3.14, tonys (??), 14:22, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оптимизация кода с целью уменьшения потребления ресурсов, не?
     
  • 2.7, Аноним (-), 10:05, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот например: https://www.opennet.dev/opennews/art.shtml?num=48312
     
  • 2.13, Аноним (-), 14:04, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему же? В 66 Хроме офигенная штука появилась WebAuthn (стандарт без логинопарольной авторизации). Только простым юзерам это знать неинтересно.
     
     
  • 3.17, Аноним (-), 18:44, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну почему же? В 66 Хроме офигенная штука появилась WebAuthn (стандарт без
    > логинопарольной авторизации). Только простым юзерам это знать неинтересно.

    Это уже было в симпсонах... в Firefox.

     
  • 3.20, Kuromi (ok), 21:08, 11/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы путаетесь, официальная поддержка WebAuthn в Хроме будет с Хром 67 - https://www.chromestatus.com/feature/5669923372138496

    Она, реально доступна и сейчас, только надо ручками включать через флаги.

    Что до простых юзеров, то для них проблема в тмо, что и Хром и Файрфокс в данный момент поддерживают USB U2F токены, а они не бесплатны. если покупать в РФ то это полторы тысячи рублей - https://cryptostore.ru/catalog/jacarta-u2f

    Раньше можно было задешево купить на Амазоне (там и сейчас предложений достаточно, а с распросранением WebAuthn станет только больше), но таких дешевых вариантов как раньше уже нет  -сам брал год назад токенHyperSecu HyperFIDO за 10$ включая доставку.

     

  • 1.11, Аноним (-), 10:40, 11/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ого, несколько лет не слышал о критической в хроме. Постоянно ведь это:
    > Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено.
     
  • 1.15, axredneck (?), 16:22, 11/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хромиум тоже, или только Хром?
     
  • 1.16, Аноним (-), 18:40, 11/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Кто пользуется этим шеретом в 2018? Сейчас безопасный квантум на расте в моде.
     
  • 1.21, Kuromi (ok), 03:56, 12/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "10 критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем опубликованы под CVE-2018-5151."

    Исключительно ради проформы - не имеет смысла публиковать номера багов по безопасности, т.к. они их просмотр доступен только пользователям с специальными правами. Как минимум пока не разблокируют.

     
  • 1.22, Унтерофицер (?), 06:18, 12/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне интересно, если Chrome огорожен с помощью Apparmor, то такая уязвимость сработает? Apparmor работает по принципу белого списка, стало быть, левой программе он не даст запуститься. А если запустится разрешёная програма (например, многие браузеры запрашиваю доступ к /bin/dash) с повышенными привилегиями, то всё равно в файловой системе не сможет выйти за пределы разрешённой области. Запись в исполняемые файлы также запрещена, привилегии суперпользователя не помогут...

    Я прав или нет?

     
     
  • 2.25, Аноним (-), 12:56, 12/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Установи в формате snap и голову не морочь.
     

  • 1.23, 1244444566 (?), 11:23, 12/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    а для него есть профили в убунту? я его поставил из гугловых реп, так что вряд ли ему это поможет.
     
     
  • 2.24, mikhailnov (ok), 12:48, 12/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Ubuntu есть по умолчанию выключенный профиль AppArmor Chromium
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру