The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Chrome 104.0.5112.101 с устранением критической уязвимости

17.08.2022 08:51

Компания Google сформировала обновление Chrome 104.0.5112.101, в котором исправлено 10 уязвимостей, в том числе критическая уязвимость (CVE-2022-2852), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в реализации API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie.

Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в системе рендеринга Swiftshader, движке Blink, OS Shell, привязке входа в Chrome с входом в сервисы Google и прослойке ANGLE. Кроме того, в обновлении устранены переполнение буфера в коде для управления загрузками, недоработки в Extensions API и некорректная проверка входных данных в механизме вызова приложений из web-страниц (Intents).

  1. Главная ссылка к новости (https://chromereleases.googleb...)
  2. OpenNews: Релиз Chrome 104
  3. OpenNews: Операционная система Chrome OS Flex готова для установки на любое оборудование
  4. OpenNews: Уязвимость в SQLite, позволяющая удалённо атаковать Chrome через WebSQL
  5. OpenNews: 0-day уязвимость в Chrome, выявленная через анализ изменений в движке V8
  6. OpenNews: Новая техника эксплуатации уязвимостей класса Spectre в Chrome
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57644-chrome
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.7, Аноним (7), 09:11, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    При такой философии и принципе интернет-поглощения всегда будут проблемы с безопасностью. Пока ещё не пришёл буйный программист и не выпилил всё что так широко обсуждается в месте с JS.
     
     
  • 2.23, Аноним (23), 11:40, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > уязвимость ... в реализации API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации

    Как мило :) Нужно больше таких API!

     
  • 2.36, Аноним (36), 17:25, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Пока ещё не пришёл буйный программист и не выпилил всё что так широко обсуждается в месте с JS.

    1) Слово вместе следует писать вместе.
    2) Так возьми и выпили, или ты недостаточно буйный? Зачем тогда тебе вообще хромой, если ты можешь без жлобоскрипта обойтись? Возьми Netsurf, каждому своё.

     
     
  • 3.41, Аноним (23), 19:41, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Выпиливать JS надо везде и коллективно, в первую очередь - на сайтах.
     
     
  • 4.42, Аноним (42), 21:09, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И вернуться в веб 1.0, к загрузке новой страницы на каждое действие? Нет, спасибо. Большинство предпочитает удобные сайты, и я их хорошо понимаю.
     
     
  • 5.44, лютый ж.... (?), 08:12, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Большинство предпочитает удобные сайты

    большинство - дебилы, не понимают что 98% фич вебдвани придуманы, чтобы трекать, впаривать, дырявить тебя - и ТЫ их ТОВАР. если б была задача сделать легкий и отзывчивый web1.0, его б сделали совсем по другому.

     
  • 5.51, _kp (ok), 13:16, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы путаете теплое с жидким.
    Если отключить скрипты на любом сайте,  но не бездумно, а по фильтрам, то есть в которых по шаблону обнаружена рекламная деятельность, и всякая ненужная  фигня, но оставляя даже скрипты с неидентифицированным назначением и локальные, то 99.999% процентов сайтов не вообще теряют функциональность, а только работают быстрее. А у 70% сайтов умный фильтр выпиливает вообще ВСЕ скрипты, без потери функциональности.

    Проблема не в JS, а в его использовании не по назначению. Был бы в браузерах Питон вместо JS, так мерзости писали бы на нём, и выпиливали уже его.

    Итого: Со временем ADBLOCK рискует развиться в самостоятельную ОС. Шутка. :)

     
  • 5.59, b00by (?), 18:39, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Большинство предпочитает удобные сайты

    Жирный ком скриптов, загрузки которого приходится ждать по 10 секунд, ты называешь "удобным"?
    По моему опыту, всё еще встречающиеся иногда сайты с "загрузкой новой страницы на каждое действие" по юзабельности просто lightning fast по сравнению с вашими "удобными".

    > Большинство предпочитает

    ... кушать то, что положат в кормушку в хлеву.

     
  • 4.53, _hide_ (ok), 14:07, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Выпиливать JS? Зачем?
    Проблема с использование говнокода на сайтах может быть решена только если заказчики будут проводить необходимый аудит выполненной работы. К примеру, дать браузер без JS вэбпогромисту и попросить сделать основные действия на сайте (поиск, просмотр, отправку заявок и т.п.). Но частенько это и при включенном JS не работает :-)
     
     
  • 5.60, вэбпогромист (?), 18:43, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    *судорожно ищет курсы "как погромировать без js"*
     

  • 1.8, Шарп (ok), 09:12, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации

    У вас зонды протекли.

     
     
  • 2.25, Аноним (25), 13:09, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это фича.
     

  • 1.9, Шарп (ok), 09:13, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    >обращением к уже освобождённой памяти (use-after-free)

    rust

     
     
  • 2.16, Аноним (16), 10:07, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    carbon
     
     
  • 3.20, Ann (??), 10:54, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Pure C
     
     
  • 4.31, Анонн (?), 15:16, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не, спасибо.
    Вот на ЭТО мы уже насмотрелись...
     
     
  • 5.55, Ann (??), 06:45, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Куча ПО на нем написана, т.ч. и ОС. И вполне сносно по качеству. Значит, дело не в языке, и ничего не мешает написать на нем браузер.
     
  • 2.35, Корец (?), 17:00, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    asm
     
     
  • 3.38, Максим (??), 19:36, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для слабаков. Только машинный код!
     
     
  • 4.39, Аноним (39), 19:37, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    непортабельно между архитектура и операционками, как и ASM
     
     
  • 5.46, Аноним (46), 09:44, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты почему-то говоришь что это плохо. Но даже автор Си и Юникса, писал что на Си Юникс работает на 20-40% медленнее чем на ассемблере.
     
     
  • 6.52, Аноним (52), 13:58, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лет 10 назад с компиляторами было плохо. Опенсорсность и конкуренция пошли на пользу,  50 лет назад и подавно.
     
  • 5.49, Аноним (49), 11:15, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    так он ведь не сказал какой асм, может быть llvm assembler, он вполне себе портабелен
     
     
  • 6.54, Аноним (23), 00:13, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ты ещё webasm вспомни
     

  • 1.13, Аноним (13), 09:40, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    на не включающийся монитор по прежнему наплевали, в 105 попытались исправить и всё, 3 месяца приходится быть на 101 версии
    https://bugs.chromium.org/p/chromium/issues/detail?id=1329573
    https://bugs.chromium.org/p/chromium/issues/detail?id=1339361
     
     
  • 2.22, Аноним (22), 11:18, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, это гадко. Грешил на ОС пока не нашел что дело в браузере.
     

  • 1.21, Аноним (21), 11:17, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    JS was a mistake.
     
  • 1.24, Аноним (25), 13:08, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Хочу повторить что произойдет после релиза языка Карбон и связанного с ним переписывания на Карбон браузера Гугл Хром. Язык Карбон настолько хорош что не требует для своей работы другие языки программирования. Язык Карбон новый быстрый и безопасный язык, который решает все проблемы с которыми столкнулись другие языки, например раст. Язык Карбон бесшовное работает с C/C++ так как просто транслируется в С++ код и не требует полного переписывания всей кодовой базы, при этом обеспечивает полную безопасность в компайлтайм за счет использования компилятора языка Карбон. Карбон — это то что сделают вашу жизнь надежной и безопасной.
     
     
  • 2.26, erthink (ok), 13:42, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хороший сарказм, но (как ни странно) многие буквально трактуют подобный гугло-маркетинг и верят ему.

    Тем не менее, есть шансы что у гугла получиться довести до ума этот препроцессор/предтранслятор для C++ (дабы понизить зарплаты и требования к части своих разработчиков).

     
     
  • 3.28, Аноним (28), 14:13, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только гугл не имеет к этому отношения . Как не имеет отношения к вязанию носков уборщицей , вытирающей пыль в кабинетах .
     
     
  • 4.29, erthink (ok), 14:34, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Только гугл не имеет к этому отношения . Как не имеет отношения
    > к вязанию носков уборщицей , вытирающей пыль в кабинетах .

    Никто бы не заметил карбон, если бы Чендлер не работал в гугле и внутри гугла не было разговоров о создании велосипеда наперекор расту, который ждали уже лет 10 (как стало понятно что гошечка оживает, но про другое).

    Собственно никто не будет помнить карбон через пару лет, если гугул не вложиться, либо еще кто-то не даст бабла на "carbon foundation" до конца года.

    Но вангую, что помахают флажками еще максимум полгодика и переделают "карбон" в условный "мифрил", поправив по-пути что-нибудь самое раздражающее и/или неудобное.

     
  • 4.32, Аноним (32), 15:20, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага точно так же Мозилла не имела отношения к расту. Тоже это была идея какого-то программиста.

    Это просто маркетинг для того чтобы пользователи верили что язык начал какой-то простой программист, а не менеджер сверху сказал нужен язык!

     

  • 1.30, Аноним (30), 14:54, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Следя одно время за релиз нотами хрома, заметил такой паттерн: помпезно выходит версия, допустим, 100.1.2, обновляться всем СРОЧНО. Проходит пара дней, в гугле НАКОНЕЦ-ТО заканчивают работать автотесты на выпущенный релиз, статический анализ находит очередной десяток use after free (каждый ну ооочень критичный), выходит 100.1.3, обновляться всем ещё срочнее. Надо ли про каждый такой чих писать новости, если повторяется это каждые, сколько у них там, две недели? По-моему, не надо.
     
     
  • 2.43, Аноним (42), 21:11, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно надо. Гуглохромом пользуется большинство.
     
     
  • 3.50, Аноним (30), 12:15, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он у всех обновляется автоматически, когда гугель скажет. Эксплуатации этих уязвимостей в дикой природе обычно не замечены.
     

  • 1.37, A (?), 19:19, 17/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На какую версию нужно сдаунгрейдить, чтобы не было уязвимости из новости?
     
     
  • 2.40, Аноним (39), 19:39, 17/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там где вкладки были в виде трапеций
     

  • 1.45, birdie (ok), 08:16, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    При этом у Chromium есть туча форков, некоторые из которых обновятся дай бог через две недели, а то и месяц.

    Включая гипер популярный в этой стране Yandex Browser - не понимаю людей, которые ставят дырявый браузер от KГБ.

     
     
  • 2.47, Аноним (46), 09:46, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не понимаю почему ты при всех своих знаниях не заставляешь людей удалять браузер индекса и не ставишь им единственно верный браузер.
     
     
  • 3.63, Аноним (63), 21:43, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Не понимаю почему ты при всех своих знаниях не заставляешь людей удалять браузер индекса и не ставишь им единственно верный браузер.

    Никто из моих знакомых не пользуется Ya Browser - все либо на Firefox, либо на Chrome.

    Заставлять население всей страны? Для этого есть дед, который всех поставил раком, и жёстко имеет уже 20 лет подряд.

     
  • 2.57, X86 (ok), 15:13, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    скорее всего проблема не в ЯндексБраузере, а в дырявых мозгах комментатора выше моего комментария.
     
     
  • 3.64, Аноним (63), 21:47, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > скорее всего проблема не в ЯндексБраузере, а в дырявых мозгах комментатора выше моего комментария.

    Я не понял смысла этого испражнения из мозга. Ya Browser обновляется сильно позже официального релиза хрома - всё это время его пользователей могут поиметь, ибо он построен на той же кодовой базе.

    В чём мои мозги дырявые, если я констатирую факты, не знаю. Аудитория opennet внушает сомнения в уровне IQ, который, судя по двум комментариям выше, уверенно стремится к нулю.

    Минусы от зарегистрированных пользователей подтверждают факт, что с уровенем интеллекта тут очень всё плохо.

     

  • 1.48, iZEN (ok), 10:39, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какой же он блоатваре!! Но им приятно пользоваться, в отличие от Firefox.
     
     
  • 2.56, Аноним (56), 13:42, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прям как Ландыш 6S!
     

  • 1.58, истина в последней инстанции (?), 15:57, 19/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хром сам по себе одна большая уязвимость. как и весь современный веб, когда туда придут растоманы можно будет хоронить окончательно. весь функционал тупо вырежут и ничего не сделают. но зато будет безопасно неработать вообще
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру