| 1.2, Аноним (2), 14:24, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А когда добавили? В прошлый раз была уязвимость с шрифтами в формате png. Так теперь и не отключить png во freetype стало.
| | |
| |
| 2.34, Аноним (34), 20:42, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Хороший вопрос... Ибо вариативные шрифты придумала в 2016 году группа компаний Adobe, Apple, Google и Microsoft.
| | |
|
| 1.4, Аноним (4), 14:36, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Заходя в эту новость, я уже предвкушал, что тут будет переполнение буфера.
| | |
| |
| 2.13, Аноним (13), 15:20, 13/03/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Пора это уже в спецификации языка Си указать, что буфер -- это то, за пределы чего должен выйти любой уважающий себя сишник. Закрепить, так сказать, официально этот стандарт де-факто.
| | |
|
| 1.5, DeerFriend (?), 14:43, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
freetype-2.13.1-1.fc39
created a year ago for Fedora 39
какой смысл писать про такие древности?
| | |
| |
| 2.8, НяшМяш (ok), 14:55, 13/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Любители дебиана уже дуреют с 2.12.1+dfsg-5+deb12u3 прикормки.
| | |
| 2.22, Аноним (2), 15:53, 13/03/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Всего год? В генту уязвимая 2.13.0 до сих пор стабильная. А теперь представь сколько софта тащит только эту версию (и сколько более старые), у нас же деды-специалисты говорят обновляться стыдно и в то же время юнцы-специалисты топят за статическую линковку или как минимум таскать всё бандлом.
| | |
| |
| |
| 4.39, Аноним (2), 21:33, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
> не нада ля-ля
> в генту зеленое 2.13.3
все 3 зелёные (2.13.0 2.13.2 2.13.3), крайне странное решение.
| | |
| |
| 5.40, dannyD (?), 21:36, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
ну может зависимости какие, каким-то пакетам нужны устаревшие версии.
| | |
| 5.41, Аноним (2), 21:37, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Причём, 2.13.3 уже почти год без обновлений, хочешь свежей собирай из гита и софт к этому может весьма плохо отнестись. Ситуация довольно патовая, ключевая либа такая дохлая -- одни уязвимости добавляют по мере надобности.
| | |
|
|
|
|
| 1.6, Аноним (-), 14:48, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Хе, опять типичная дырень "запутался в типах - пошел гулять по буферу".
Причем с опасностью 8 из 10.
Да еще и с вероятным использованием in the wild.
"Предполагается, что уязвимость уже применялась ранее для совершения атак"
Да еще и во всех дистрибутивах, даже таких бмжацких как Mandriva и Слака.
Просто какое-то дыряшечное бинго!
| | |
| 1.7, Аноним (7), 14:54, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Дарка от бублика наш линукс злосчастный.
К тому же, если учесть, что код всем открыт. Чем там все кичатся.
Кто бы что ни говорил, но зачастую это банальный кактус, который мы с ехидной улыбкой, как у 20-летних заносчивых супэраутишников, жуём все вместе.
Ну.. жуём дальше господа ))
| | |
| 1.9, Аноним (9), 15:00, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Amazon Linux 2, Debian stable / Devuan, RHEL 8 и 9
Вся суть "стабильных" дистрибутивов.
| | |
| |
| 2.10, Аноним (10), 15:11, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
А что не так? Стабильные дистры затаскивают и бекпортируют себе фикс уязвимостей. Стабильные дистры не тащат новые фичи, которые ломают поведение библиотек/программ.
| | |
| |
| 3.18, Аноним (-), 15:37, 13/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Стабильные дистры затаскивают и бекпортируют себе фикс уязвимостей.
Ну-ну. Проблема была исправлена еще в 2023 году.
А сейчас на календаре 2025й, но окаменевший деб все еще уязвим
security-tracker.debian.org/tracker/CVE-2025-27363
Вот где бекпорт??
| | |
| |
| 4.23, Аноним (10), 16:16, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Дак выявили проблему в этом году. Как они могли себе фикс бекпортировать, если проблема еще не была обнаружена?
| | |
| |
| 5.29, Аноним (-), 16:56, 13/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Дак выявили проблему в этом году.
Проблемы выявили и исправили еще в 2023. Просто тогда не осознали насколько она проблемная.
> Как они могли себе фикс бекпортировать, если проблема еще не была обнаружена?
Но из-за того, что некродистры не забирают фиксы обычных багов, а только тех, которые оценили как критику, то естественно ее никто не забирал.
Причем для нормальных дистров это проблемой не стало - они просто обновились и забыли.
В итоге в шта6ильных сурьезных дистрах типа RHEL9 дырень прожила на полтора года дольше чем во всяких рачах и бубунтах
| | |
| 5.35, Аноним (9), 21:13, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Дак выявили проблему в этом году. Как они могли себе фикс бекпортировать, если проблема еще не была обнаружена?
Обновившись до актуальной версии, прикинь.
| | |
|
|
| 3.36, Аноним (9), 21:14, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А что не так? Стабильные дистры затаскивают и бекпортируют себе фикс уязвимостей.
Не так то что ничего они не затаскивают и не бэкпортируют, как иллюстрирует этот случай. А просто злонамеренно держат в репах тухлые дырявые версии.
| | |
|
|
| 1.12, Fracta1L (ok), 15:17, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Разрабы freetype просто не умеют писать на сишке, вот местные комментаторы никогда бы не допустили такого бага.
| | |
| 1.16, Ivan_83 (ok), 15:31, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 > до версии 2.13.0 включительно и устранена в версии 2.13.1 (июнь 2023 года).
А что за некронвости такие!?
freetype2-2.13.3 уже стоит из портов.
Опять у растовиков обострение и пообщатся захотелось?
| | |
| |
| 2.17, Аноним (-), 15:35, 13/03/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А что за некронвости такие!?
Обычные некроновости для некродистров вроде Debian stable / Devuan, RHEL 8 и 9 и так далее.
Потому что исправлено оно было в июне 2023 года, но не помечено как CVE.
Поэтому бекпорта не было.
> Опять у растовиков обострение и пообщатся захотелось?
О чем тут общаться? Типикал сишная дыра, никогда такого не было и вот опять.
А вот предупредить некролюбов что нужно обновиться - это доброе дело.
| | |
| |
| 3.21, Ivan_83 (ok), 15:50, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А вот предупредить некролюбов что нужно обновиться - это доброе дело.
Скорее всего систем со старой либой где шрифт с эксплоитом можно загрузить и "заюзать" единицы, они не представляют интереса, если только в таргетированных атаках.
| | |
|
|
| 1.25, Аноним (25), 16:28, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Годно. Теперь код необязательно запускать, достаточно открыть его в редакторе, чтобы произошел взлом.
| | |
| |
| 2.26, Аноним (2), 16:47, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Достаточно открыть страничку в интернете без дефолтной блокировки шрифтов ublock. Будь готовые прототипы в паблике, можно было бы использовать их их для обхода цифровой тюрьмы¸а так ничего хорошего.
| | |
| 2.28, Аноним (-), 16:47, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Раньше было лучше (с)
В 2020 у них была 0-day дырень [1], которая мало того что активно эксплуатировалась.
Так еще и работала через браузер (хром и лиса).
И работала на андроиде.
Вот это уровень!
[1] opennet.ru/opennews/art.shtml?num=53922
| | |
| 2.33, Аноним (33), 18:32, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
Перед этим правдва надо установить нужный шрифт, и вот потом уже да.
| | |
|
| 1.30, Аноним (30), 17:46, 13/03/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Если это жадность до ОЗУ, то это необоснованно, т.к. в 32 битных системах переменная всё равно по факту займет 32 бита (если не извращаться, и к массивам не относится), а в 64-битной - 64. Более того, если говорить о микроконтроллерах с Cortex M, то там в некоторых случаях придется дополнительно выполнить команды SXTB, SXTH, UXTB и UXTH при операциях с меньшими по разрядности типами.
| | |
| |
| 2.37, Аноним (9), 21:19, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> т.к. в 32 битных системах переменная всё равно по факту займет 32 бита (если не извращаться, и к массивам не относится), а в 64-битной - 64
Да ты что.
| | |
| 2.42, Аноним (-), 21:38, 13/03/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> в 32 битных системах переменная всё равно по факту займет 32 бита
Да ладно? Так уж и займёт 32 бита?
Попробуй такое:
struct test {
char a;
char b;
char c;
char d;
};
struct test var;
assert!(sizeof(var) == 16);
Отметь, это не массив нисколько.
> в некоторых случаях придется дополнительно выполнить команды SXTB, SXTH, UXTB и UXTH при операциях с меньшими по разрядности типами.
Ага. Это ты ещё не видел как битовые поля распаковывают в представление, над которым затем можно выполнять осмысленные операции.
| | |
| |
| 3.47, _kp (ok), 00:14, 14/03/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Выравнивание подобной структуры, если об упаковке явно не указано, зависит и от платформы, и от уровня оптимизации, и конкретного компилятора.
>>Ага
Полагаться на то что выдал sizeof - некорректно.
Ваше утверждение тоже неверное.
Правильный ответ: неопределенный размер. Хотя и с большой вероятностью 32 или 128 бит, но не конкретное значение.
| | |
|
|
|
