Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
Сообщение от opennews (??), 26-Фев-20, 21:01
Исследователи из компании Exodus Intelligence продемонстрировали слабое место в процессе исправлений уязвимостей в кодовой базе Chrome/Chromium. Проблема связана с тем, что Google раскрывает сведения, что внесённые исправления имеют отношение к проблемам с безопасностью только после релиза, но... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52442
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

Часть нити удалена модератором

	10. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+2 +/–
	Сообщение от Аноним (10), 26-Фев-20, 21:15
	А какое дела сэму от режима или от не режима? Платят в твердой валюте получают что хотят.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–3 +/–
	Сообщение от Аноним (38), 27-Фев-20, 11:40
	Сэм — не Сердюков, он не ради денег работает, а ради превосходства своей расы.
	Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором	–1 +/–
Сообщение от Аноним (2), 26-Фев-20, 21:06
https://www.opennet.ru/openforum/vsluhforumID3/119865.html#52
Ответить | Правка | Наверх | Cообщить модератору

	5. Скрыто модератором	–2 +/–
	Сообщение от anonimizer (?), 26-Фев-20, 21:10
	https://www.opennet.ru/openforum/vsluhforumID3/119865.html#124
	Ответить | Правка | Наверх | Cообщить модератору

3. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+10 +/–
Сообщение от имя (ok), 26-Фев-20, 21:06
>  упрощение создания эксплоитов из-за включения в Chrome 80 механизма упаковки указателей «Нет смысла экономить адресное пространство», — говорили некоторые, — «и вообще оперативка дешёвая…»
Ответить | Правка | Наверх | Cообщить модератору

	6. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+2 +/–
	Сообщение от Аноним (6), 26-Фев-20, 21:10
	Сэкономили память - получили уязвимость.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+8 +/–
	Сообщение от Аноним (13), 26-Фев-20, 21:47
	Не саму уязвимость, а просто стало проще их использовать.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от пох. (?), 26-Фев-20, 21:51
	первый аноним говорил явно об экономии памяти другим, разумным способом - аккуратным написанием кода. А тут сначала нажрали как не в себя, "по процессу на вкладку", а потом придумали грязный хак для "экономии", ну не переписывать же ж, на самом деле, макачий код?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	24. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+1 +/–
	Сообщение от А (??), 26-Фев-20, 23:39
	luck(){return min(time_to_market)}
	Ответить | Правка | Наверх | Cообщить модератору

	45. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от хотел спросить (?), 28-Фев-20, 04:07
	а потом shit() { return true; }
	Ответить | Правка | Наверх | Cообщить модератору

	41. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+1 +/–
	Сообщение от Урри (?), 27-Фев-20, 16:55
	"Процесс на вкладку" тут совершенно не при чем, так как общая память между процессами шарится, а необщая все равно бы дублировалась между вкладками. Дело в буяк-буяк-и-в-продакшен ввиду "че вам, западло себе еще одну планку за копейки докупить?" (чем, кстати, разные мартышки тут на форуме регулярно отмечаются).
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	43. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от Аноним (43), 27-Фев-20, 19:50
	Сам процесс требует немалого кол-ва ресурсов ядра, коммуникация между процессами не из дешёвых. Изоляция процессами на самом деле очень не дешево обходится
	Ответить | Правка | Наверх | Cообщить модератору

	44. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от пох. (?), 27-Фев-20, 22:41
	у нас сесурить, изоляция, не хрен собачий - так что тут общее правило что "форк бесплатный" не работает, к сожалению - она почти вся будет в каждой вкладке заново проинициализирована. А возможностей общего механизма управления, позволяющего хотя бы gc иметь один на всех - не будет. Ну и V8 сам по себе, разумеется, ни разу не из соображений экономии писали.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	22. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+1 +/–
	Сообщение от zzz (??), 26-Фев-20, 23:19
	Вместо оптимизации движка начали ковырять окраины - получили уязвимость.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. Скрыто модератором	–1 +/–
Сообщение от Аноним (7), 26-Фев-20, 21:13
Ах, эти.. да и хер с ними)
Ответить | Правка | Наверх | Cообщить модератору

9. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–5 +/–
Сообщение от Аноним (10), 26-Фев-20, 21:14
Не хватает вариативности мнений. А где же в ФФ уязвимости никто не ищет и никто ФФ не пользуется?
Ответить | Правка | Наверх | Cообщить модератору

	11. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от Аноним (11), 26-Фев-20, 21:28
	Мало пользуются → мало ищут → мало находят. Вот недавно одни ребята решили сделать аудит OpenSMTPD, впервые за всю историю проекта. С закономерными последствиями. Вот так модель безопасности «неуловимый Джо» не выдержала столкновения с суровой реальностью.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+1 +/–
	Сообщение от zzz (??), 26-Фев-20, 23:20
	И было найдено в "бажном"OpenSMTPd ажно три уязвимости. Всем лежать-бояться. А вот в постфиксе их гораздо меньше, да.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+4 +/–
	Сообщение от gogo (?), 27-Фев-20, 01:35
	Удаленный рут с одной команды - это даже  не  "бояться", это лежать мертвым.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–2 +/–
	Сообщение от DerRoteBaron (ok), 27-Фев-20, 00:42
	> Вот недавно одни ребята решили сделать аудит OpenSMTPD, впервые за всю историю проекта который обнаружил, что разработчики не полностью закрыли старую дыру, найденную в результате предыдущего аудита, по вашей логике произошедшего до начала истории проекта
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	39. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от Аноним (38), 27-Фев-20, 11:42
	> который обнаружил, что разработчики не полностью закрыли старую дыру, найденную в результате предыдущего аудита, по вашей логике произошедшего до начала истории проекта По логике, люди, не способные закрыть уязвимость, о которой им рассказали, просто не обладают достаточной квалификацией, чтобы писать безопасный код.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от КО (?), 27-Фев-20, 09:34
	В тексте же написано - в FF устранили еще летом.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. Скрыто модератором	–2 +/–
Сообщение от Аноним (12), 26-Фев-20, 21:45
Кому нужен этот хромоногий дуршлаг? Есть netsuft. Прекрасно работает на пк c Pentium 2 и запускается на всяких RiscOS в отличии от..
Ответить | Правка | Наверх | Cообщить модератору

	18. Скрыто модератором	+1 +/–
	Сообщение от Аноним (18), 26-Фев-20, 21:53
	NetSurf тоже дуршлаг, просто эксплуатировать его дырки никому не интересно
	Ответить | Правка | Наверх | Cообщить модератору

	19. Скрыто модератором	–2 +/–
	Сообщение от Аноним (12), 26-Фев-20, 22:06
	Но зато ваш хром не запуститься на Pentium II под RiscOS
	Ответить | Правка | Наверх | Cообщить модератору

14. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–2 +/–
Сообщение от Нанобот (ok), 26-Фев-20, 21:47
Исследователи из компании Exodus Intelligence не знают значения термина "0-day"
Ответить | Правка | Наверх | Cообщить модератору

	16. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–2 +/–
	Сообщение от пох. (?), 26-Фев-20, 21:51
	нет, это ты его не знаешь.
	Ответить | Правка | Наверх | Cообщить модератору

28. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–1 +/–
Сообщение от Аноним (-), 27-Фев-20, 04:48
> значительно сократить потребление памяти в куче Я с них прусь. Сперва сожрут прорву памяти нафоркав 100500 процессов, потом чешут репу - блин, что-то жирно, давайте вкостылим указатели?!
Ответить | Правка | Наверх | Cообщить модератору

	31. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	–7 +/–
	Сообщение от Аноним (31), 27-Фев-20, 07:56
	а ты покажи им и нам свой богоподобный код. глядишь, и научимся чему-нибудь
	Ответить | Правка | Наверх | Cообщить модератору

	33. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от Аноним (33), 27-Фев-20, 08:16
	А вы понимаете что браузер разрабатывает компания, которая на софте собаку съела? То есть это нормально для многомиллиардной компании добавлять костыли тут и там и говорить "и так сойдёт"? Если так, боюсь представить, что же там в проприетарном софте творится, наверное вообще беспредел.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от Аноним (36), 27-Фев-20, 09:25
	Тогда бойся. Все остальные понимают что там творится. Вот тебе стенания бывшего разработчика БД Орацле: https://news.ycombinator.com/item?id=18442941
	Ответить | Правка | Наверх | Cообщить модератору

	42. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
	Сообщение от Урри (?), 27-Фев-20, 16:57
	Для многомиллиардной - да, нормально. Все равно вы все будете кушать. Так какой смысл тратить лишние миллионы?
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	34. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+2 +/–
	Сообщение от Аноним (34), 27-Фев-20, 08:19
	> СПИРВАДАБЕЙСЯ!!! СЛЫШЕТЕ? СПИРВАДАБЕЙСЯ!!! Давай, ты нам сначала свой код покажешь, чтобы Легион мог оценить, насколько профессионально ты оценишь чужой код?
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	35. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+1 +/–
	Сообщение от Аноним (35), 27-Фев-20, 08:21
	> Я с них прусь. Сперва сожрут прорву памяти нафоркав 100500 процессов, потом > чешут репу - блин, что-то жирно, давайте вкостылим указатели?! Форки сами по себе кушают до смешного мало памяти. Не вините их за говнокод браузеров.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

40. "0-day уязвимость в Chrome, выявленная через анализ изменений..."	+/–
Сообщение от Аноним (40), 27-Фев-20, 15:25
> Исследователи также обратили внимание на упрощение создания эксплоитов из-за включения в Chrome 80 механизма упаковки указателей .... Например, некоторые находящиеся в начале кучи структуры данных, такие как таблица встроенных функций, объекты "native context" и корневые объекты сборщика мусора, теперь размещаются по предсказуемым и доступным на запись упакованным адресам. Да это спецслужбы Google прогибают в разные позы. Они вообще к переполнения на куче плохо относятся. Все пользовались флагом gcc: -fstackprotector-all, а Google внедрил -fstackprotector-strong, который защищает не все.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема