The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Firefox устранена критическая 0-day уязвимость в PDF.js

07.08.2015 09:30

Разработчики проекта Mozilla сообщили о выявлении критической уязвимости (CVE-2015-4495) в PDF-просмотрщике PDF.js, встроенном в браузер Firefox. Для устранения проблемы оперативно выпущены обновления Firefox 39.0.3 и 38.1.1 ESR. При этом сообщается, что ещё до выхода исправления в сети зафиксированы факты эксплуатации данной уязвимости через размещение вредоносных рекламных блоков на одном из российских новостных сайтов общей тематики.

Уязвимость позволяет атакующему обойти ограничения режима изоляции JavaScript-кода (same origin) и выйти за пределы браузерного окружения, что даёт возможность прочитать содержимое локальных файлов в окружении пользователя и осуществить выполнение JavaScript-кода в контексте локальных файлов. Например, используемый для атаки вредоносный код внедрялся в PDF.js и выполнял поиск файлов, содержащих персональные сведения пользователя, после чего загружал их на сервер злоумышленников. Поражались не только компьютеры с Windows, но и Linux-системы.

После эксплуатации в Windows осуществлялся поиск файлов конфигурации, которые могут содержать пароли, в том числе настройки subversion, s3browser, Filezilla, .purple, Psi+, популярных FTP-клиентов. В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек Remmina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов. Использование дополнений для блокирования рекламы могло защитить от выполнения эксплоита, в зависимости от вида используемых фильтров и блокировщиков.

 
  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google открыл исходный код PDF-движка Chrome
  3. OpenNews: Полноценная программа для чтения PDF, написанная целиком на JavaScript
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42743-firefox
Ключевые слова: firefox, pdf
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (155) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:24, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
    		• +24 +/
    Что за сайт? Зачем скрывать имя сайта?
     
  • 1.2, Аноним (-), 10:28, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –4 +/
    О, уже и ".0.3" есть? Решил установить Firefox в Gentoo. Смотрю - последняя версия 39.0. "Релиз был 2 недели назад - неужели с тех пор не было минорных обновлений?". И установил. Оказывается что зря - теперь пересобирать, и ждать
     
     
  • 2.15, Аноним (-), 11:28, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +1 +/
    Назвался груздём, полезай в кузов. Тебе же религия противоречит юзать бинарные, автоабновляющиеся собрки!
     
     
  • 3.24, Perl_Jam (?), 14:28, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –2 +/
    www-client/firefox-bin
         Available versions:  31.7.0^ms 31.8.0^ms 38.1.0^ms (~)39.0^ms {selinux startup-notification LINGUAS="af ar as ast be bg bn_BD bn_IN br bs ca cs csb cy da de el en_GB en_ZA eo es_AR es_CL es_ES es_MX et eu fa fi fr fy_NL ga_IE gd gl gu_IN he hi_IN hr hu hy_AM id is it ja kk kn ko ku lt lv mai mk ml mr nb_NO nl nn_NO or pa_IN pl pt_BR pt_PT rm ro ru si sk sl son sq sr sv_SE ta te tr uk vi zh_CN zh_TW zu"}
         Homepage:            http://www.mozilla.com/firefox
         Description:         Firefox Web Browser

    продолжать?

     
     
  • 4.129, Rekdo (?), 06:43, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Что-то мейнтейнеры тормозят с ебилдом для обновлённой лисы. В Арче пакет собрали вчера. Остаётся только ждать или самому подправить ебилд и собрать.
     
  • 4.154, XoRe (ok), 13:44, 10/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    Выше человек честно написал "теперь пересобирать, и ждать".
    Так что мимо.
     
  • 2.113, Аноним (-), 00:06, 08/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    В манжаре тоже нету обнов
     

  • 1.3, Аноним (-), 10:28, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +/
    Адблок бы спас или нет?
     
     
  • 2.9, Аноним22 (?), 10:47, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Пишут: People who use ad-blocking software may have been protected from this exploit depending on the software and specific filters being used.
    по ссылке же все есть
     
     
  • 3.21, Аноним (-), 12:58, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +4 +/
    >по ссылке же все есть

    Прошу прощения, был взволнован.

     
  • 3.36, Аноним (-), 15:13, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > Пишут: People who use ad-blocking software may have been protected from this
    > exploit depending on the software

    А я уж точно был защищен от этого эксплойта - я этот тормозной и неюзабельный шит заменил на системную открывашку. В ней дыры оперативно затыкает менеджер пакетов, да и пдф оно рендерит в 10 раз быстрее. И памяти трескает в 5 раз меньше.

     
     
  • 4.134, XXasd (?), 20:36, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –3 +/
    > заменил на системную открывашку. В ней дыры оперативно затыкает менеджер пакетов

    Ох.. Святая наивность! Я катаюсь со смеху!.. В ней дыр наверняка в 1000-раз больше..

    А не закрывают их (оперативно), потомучто не так уж и много людей читают (часто) PDF-файлы.. Вероятность нарваться на вирус внутри PDF в этом случае оказывается минимальна :-)..

    То есть вся "защита" этих native-просмоторщиков строиться на основе принципа Неуловимого Джо :-D ..

    А ты как идиот можно сказать голой жопой выставил себя к интернет-хакерам -- в момент когда поставил этот Native-просмоторщик в браузер в режим поумолчанию (вместо очевидно более безопасного Pdf.js) .

     
     
  • 5.135, Аноним (-), 22:29, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Во первых - покажи их Во вторых - для начала, авторы этой открывашки не били се... большой текст свёрнут, показать
     
     
  • 6.136, arisu (ok), 22:42, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    ты думаешь, он хоть слово понял?
     

  • 1.4, Аноним (-), 10:28, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +3 +/
    about:config -> pdfjs.disabled = true

    не велика потеря, он медленный

     

     ....большая нить свёрнута, показать (39)

  • 1.5, Ващенаглухо (ok), 10:29, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +2 +/
    Да, героев надо знать в лицо!
     

     ....большая нить свёрнута, показать (22)

  • 1.6, Аноним (-), 10:30, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +4 +/
    Так что за сайт то? Как я узнаю заходил я туда или нет.
     
     
  • 2.16, vn971 (ok), 11:35, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    оставил комментарий с этим вопросом:
    https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild
     

  • 1.8, РОСКОМУЗОР (?), 10:43, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    А что за помойка "общей тематики"?
     
  • 1.12, Аноним (-), 11:04, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
    		• +/
    да скажите наконец то что за сайт
     
  • 1.13, Аноним (-), 11:20, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +4 +/
    Мало того что сделали самый убогий pdf вьювер в мире, так ещё и умудрились такие косяки наделать.
     
     
  • 2.19, Аноним (-), 12:49, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Зато на javascript'e. Модно, стильно, молодежно.
     

  • 1.14, Kott (??), 11:28, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    действительно, сказали бы что за сайт
    надеюсь, ноускрипт тоже не пропускает тот блок
     
  • 1.17, vn971 (ok), 11:36, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
    		• +/
    Многие тут спрашивают в комментах "что за сайт был". Задал этот вопрос здесь: https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild
     
  • 1.18, Аноним (-), 11:43, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –1 +/
    39-я мобильная версия стабильно падает на newsru.com
     
     
  • 2.20, backbone (ok), 12:55, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > 39-я мобильная версия стабильно падает на newsru.com

    У меня 39-я мобильная падает постоянно и без pdf-ок на Nexus 4 и Nexus 7 с последними ночными CyanogenMod. С предыдущими версиями FF такого не замечал. На десктопе всё стабильно.

     
     
  • 3.25, arisu (ok), 14:36, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +2 +/
    так падает же повторяемо? значит, стабильная версия со стабильными падениями.
     
     
  • 4.27, backbone (ok), 14:43, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > так падает же повторяемо? значит, стабильная версия со стабильными падениями.

    Не воспроизводимо, скорее почти случайно, [Send Report] или как её там несколько раз нажимал, надеюсь пофиксят. Может и не в FF дело, а в CM что-нибудь поломали, пока лень разбираться... Когда Лису только портировали на Android стабильнее было, что-то с 39-ой версией не то, имхо.

     
     
  • 5.28, arisu (ok), 14:48, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    «что‐то не то» с кодовой базой уже давно: как её начали активно «рефакторить», а сверху добавили «rapid releases» — так и. тут не до стабильности, тут релизы клепать надо!
     
     
  • 6.32, Аноним (-), 15:08, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    Ее начали реFUCKторить. То вкладки переделают, то DRM запилят, то pocket завнедрячат, то рекламу в новых вкладках, то оказывается что рекламу отключают - срочно приходится выпиливать настройку страницы в новых вкладках, иначе рекламу никто не смотрит. Когда уж тут нормальные продукты то кодить? С продажниками все время занято маркетинговым булшитом.
     
     
  • 7.35, arisu (ok), 15:12, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    они и внутри активно перетряхивают код, который до этого годами работал и каши не просил. причём зачастую без особого смысла, просто чтобы «украсивить и поменять». старый код уже немодный, а глупый Джоэль со своей статьёй про «не надо переписывать с нуля» очевидно же ерунду пишет.
     
     
  • 8.121, Ytch (ok), 02:06, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    И, насколько я помню, в той статье этот Джоэль писал в качестве реального и пок... текст свёрнут, показать
     
     
  • 9.122, arisu (ok), 02:16, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    не менее смешно то, что сама мозилла родилась из фатального решения нетскейпа ... текст свёрнут, показать
     
     
  • 10.124, Ytch (ok), 03:33, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Точно Джоэль-то и писал, вроде, о той самой версии netscape, которую переписыва... текст свёрнут, показать
     
     
  • 11.133, arisu (ok), 17:08, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    а знаешь, что ещё дико смешно цитата из переписки с автором pale moon то бишь ... текст свёрнут, показать
     
     
  • 12.139, Аноним (-), 23:37, 08/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    Ух ты, а мозилла таки таланты Такие креативные баги сажать умеет далеко не кажд... текст свёрнут, показать
     
     
  • 13.140, arisu (ok), 01:14, 09/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    работают стараются улучшают безопасность и изоляцию ... текст свёрнут, показать
     
     
  • 14.157, Аноним (-), 19:59, 10/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Кого же мне это напоминает а, были там как-то перцы В 1986 году Ставили экс... текст свёрнут, показать
     
  • 12.142, Аноним (-), 03:19, 09/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    Подозреваю что они сделают как в хроме А до тех пор - вот вам франкенштейн ... текст свёрнут, показать
     
  • 4.34, Аноним (-), 15:11, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > так падает же повторяемо? значит, стабильная версия со стабильными падениями.

    Да у мозиллы вообще каждая версия все трэшовее и угарнее. Стабильность - признак мастерства!

     

  • 1.22, Нанобот (ok), 12:58, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +10 +/
    раньше хакерам пришлось бы  подбирать адреса памяти и искать всякие там rop-гаджеты для каждой целевой платформы, теперь же всё просто - один эксплойт работает на всех платформах, вплоть до самых диковинных. кроссплатформенность, однако
     
  • 1.26, arisu (ok), 14:37, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +4 +/
    а ведь сколько говорят всяким идиотам: браузер — он для просмотра страниц. а не для всякой левой фигни (включая «уеб‐приложения»). казалось бы, до гусеницы уже дойти должно — но нет, люди тупее гусениц.
     
     
  • 2.33, Аноним (-), 15:09, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Тут скорее мозилле отлилось ее бахвальство с тем что JS - это вам не сишечка, он безопасный, типа. Вот как-то и получается что у DJB его программы на си сломать не могут, а у мозиллы и на JS даже ломают. Потому что понабрали всяких хиптоу...нов и маркетоидов по объявлению.
     
     
  • 3.37, arisu (ok), 15:19, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    js-то более‐менее безопасный, тут они правы. если это сферический js в вакууме. а когда у вас весь браузер на JS (ну ладно, не весь, кроме низкоуровневых подсистем, которые всё равно тупо набор компонентов), то облажаться с изоляцией становится значительно легче. пропустил какую‐нибудь мелочь — и ФИГАК! левый js-код работает с правами system principal.
     
     
  • 4.58, Аноним (-), 20:09, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > js-то более‐менее безопасный, тут они правы. если это сферический js в вакууме.

    Ну так числокрушилка без IO - относительно безвредная штука. А вот как только появляется IO во внешний мир, так у левого кода появляется и возможность его нецелевого использования.

    > облажаться с изоляцией становится значительно легче.

    Вот именно.

     

  • 1.39, Аноним (-), 15:24, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –1 +/
    А если кому-то из разработчиков АНБ проплатил небольшую "ошибочку", то еще легче...
     
  • 1.41, Аноним (-), 15:55, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
    		• +/
    Не зря я первым делом при свежей установке отключаю этот pdf.js и прочие свистоперделки, которыми раздули лисицу.

    Полный список свистоперделок тут: https://github.com/The-OP/Fox/tree/master/prefs

     
  • 1.49, iZEN (ok), 18:57, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –1 +/
    ===>>> The following actions will be taken if you choose to proceed:
    Upgrade firefox-39.0,1 to firefox-40.0,1
    Install databases/py-sqlite3
    Install devel/autoconf213
    Upgrade firefox-i18n-39.0 to firefox-i18n-40.0
     
     
  • 2.59, Аноним (-), 20:10, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +1 +/
    >  Install databases/py-sqlite3
    >  Install devel/autoconf213

    Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у пакета?

     
     
  • 3.60, arisu (ok), 20:12, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у
    > пакета?

    ну, если оно ставит dev-окружение, то как минимум 213-е автотулзы да, потому что мозилла для сборки требует именно их.

     
     
  • 4.76, Аноним (-), 21:08, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    > ну, если оно ставит dev-окружение, то как минимум 213-е автотулзы да, потому
    > что мозилла для сборки требует именно их.

    Я думал что изя хвастается бинарными пакетами. А там какая-то бидонодрянь для скулайта, никуда не впершаяся лисе и какие-то автотулсы. У автотулсов, btw, вообще довольно много зависимостей, даром не впершихся простому юзвергу. А что изен делает с автотулсами - для меня вообще загадка природы...

     
     
  • 5.82, arisu (ok), 21:27, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    213‒е автотулзы — вполне себе стэндалон, могущий сосуществовать с другими. в частности и потому, что они нужны для сборки всякого типа мозиллы, которая категорически не работает с автотулзами других версий.

    а вот зачем там питонячий скулит — этого не знаю. pale moon его для сборки не требует. хотя питон таки нужен, на нём написано немного клея.

     
     
  • 6.110, Аноним (-), 23:43, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > 213‒е автотулзы — вполне себе стэндалон,

    Ээээ насчет 213 не помню, но автотулсы вроде всегда хотели еще и m4, и даже чуть ли не перловку. Интересно, а у бояздэшников "мягкие" зависимости типа suggests/recommends - есть?

    > а вот зачем там питонячий скулит — этого не знаю.

    Вот я тоже думаю - он вообще к чему. Майнтайнер писал зависимости пакета с бодунища?

    > написано немного клея.

    Повбывав бы.

     
     
  • 7.116, arisu (ok), 00:25, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    >> 213‒е автотулзы — вполне себе стэндалон,
    > Ээээ насчет 213 не помню, но автотулсы вроде всегда хотели еще и
    > m4, и даже чуть ли не перловку.

    ну, m4 таки есть же, не думаю, что это первый собираемый из сырцов пакет. да и готовый конфигур в дереве мозиллы лежит. но тем не менее, сборка отказывается работать, если не находит 213-е. ну, вот так вот сделано.

    >> написано немного клея.
    > Повбывав бы.

    да какая разница. ну, накидали быстрогенераторы всякой фигни — как раз самое применение для. тут пофигу, какой язык брать, лишь бы батареек много было, чтобы не заниматься изобретением с нуля того, что нужно один раз при сборке.

     
  • 3.61, Аноним (-), 20:17, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• –1 +/
    >>  Install databases/py-sqlite3
    >>  Install devel/autoconf213
    > Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у
    > пакета?

    Какой пакет? Что за мода, вопить не разобравшись?
    http://www.freshports.org/www/firefox/ см. build-deps
    Это для сборки. И что-то мне кажется, что это не отсебятина мейнтейнера порта.

     
  • 3.68, iZEN (ok), 20:44, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    >>  Install databases/py-sqlite3
    >>  Install devel/autoconf213
    > Казалось бы, нафуя это файрфоксу. Это в фрибзде такие @$%нутые зависимости у пакета?

    Это - пакеты поддержки сборки. Убунтятам не понять.

     
     
  • 4.77, Аноним (-), 21:09, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    > Это - пакеты поддержки сборки.

    Лол, ты поставил пакетную систему чтобы ... самому один хрен все компилить? :)

    >  Убунтятам не понять.

    Действительно - инопланетная логика.

     
  • 2.132, iZEN (ok), 13:21, 08/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• –1 +/
    ===> Compilation failed unexpectedly.
    Try to set MAKE_JOBS_UNSAFE=yes and rebuild before reporting the failure to
    the maintainer.
    *** Error code 1

    Stop.
    make[1]: stopped in /usr/ports/www/firefox
    *** Error code 1

    Stop.
    make: stopped in /usr/ports/www/firefox

    ===>>> make build failed for www/firefox
    ===>>> Aborting update

    ===>>> Update for www/firefox failed
    ===>>> Aborting update

    ===>>> The following actions were performed:
    Installation of devel/gettext-tools (gettext-tools-0.19.4)
    Installation of devel/gmake (gmake-4.1_2)
    Installation of devel/pkgconf (pkgconf-0.9.12)
    Installation of multimedia/v4l_compat (v4l_compat-1.6.3)
    Installation of devel/xorg-macros (xorg-macros-1.19.0)
    Installation of x11/glproto (glproto-1.4.17)

    ===>>> Deleting installed build-only dependencies
    Updating database digests format: 100%
    Checking integrity... done (0 conflicting)
    Deinstallation has been requested for the following 6 packages (of 0 packages in the universe):

    Installed packages to be REMOVED:
    gettext-tools-0.19.4
    gmake-4.1_2
    pkgconf-0.9.12
    v4l_compat-1.6.3
    xorg-macros-1.19.0
    glproto-1.4.17

    The operation will free 10 MiB.
    [1/6] Deinstalling gettext-tools-0.19.4...
    [1/6] Deleting files for gettext-tools-0.19.4: 100%
    [2/6] Deinstalling gmake-4.1_2...
    [2/6] Deleting files for gmake-4.1_2: 100%
    [3/6] Deinstalling pkgconf-0.9.12...
    [3/6] Deleting files for pkgconf-0.9.12: 100%
    [4/6] Deinstalling v4l_compat-1.6.3...
    [4/6] Deleting files for v4l_compat-1.6.3: 100%
    [5/6] Deinstalling xorg-macros-1.19.0...
    [5/6] Deleting files for xorg-macros-1.19.0: 100%
    [6/6] Deinstalling glproto-1.4.17...
    [6/6] Deleting files for glproto-1.4.17: 100%


    ===>>> You can restart from the point of failure with this command line:
           portmaster <flags> www/firefox www/firefox-i18n

    Не выходит каменный цветок.

     
     
  • 3.151, iZEN (ok), 23:50, 09/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    % pkg info -x firefox
    firefox-40.0_1,1
    firefox-i18n-40.0

    Ух, отлегло...

     

  • 1.71, Inkelyad (?), 20:53, 07/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    У меня, кажется, есть живой экземпляр. То ли самого зловреда, то ли нагрузки. Во всяком случае список файлов внутри очень описываемый похож. Куда сейчас принято подобное складывать/выкладывать и стоит ли?
     
     
  • 2.73, arisu (ok), 20:58, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    на rghost. туда всю фигню складывают.
     
     
  • 3.75, Inkelyad (?), 21:01, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    А дальше? Куда ссылку кидать? И, повторю - стоит ли?
     
     
  • 4.79, Аноним (-), 21:18, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > А дальше? Куда ссылку кидать?

    Сюда же и кидай - тут в основном все-таки не секретарши. А если кто скачает опасный экспонат, не умея им пользоваться - так ему и надо! Пусть вообще в саперы идет с такой самоуверенностью. Можешь еще антивирусникам разослать на анализ. Правда, глядя на хабрахабре как каспер инжектит на все страницы свое спайваре - большой вопрос кто хуже: вирусы или антивирусы ;)

    > И, повторю - стоит ли?

    Учитывая что оно летает по всему интернету настолько что это заметила мозилла - врядли ты откроешь америку.

     
     
  • 5.83, Inkelyad (?), 21:28, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    >> А дальше? Куда ссылку кидать?

    Ну хорошо. http://rghost.net/6HTzsrdLR
    Но это, скорее всего, только нагрузка,  всю цепочку у меня развернуть умения не хватает.

    Кто хочет весь комлект - поймано на forum.nag.ru Оно там, кажется, все еще активно.

     
     
  • 6.86, arisu (ok), 21:44, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    по первому взгляду — это именно склееная нагрузка и пробивалка: она таки пытается «data:application/x-moz-playpreview-pdfjs» формировать.
     
  • 6.90, Аноним (-), 22:06, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    Действительно, по многим признакам это выглядит как агрессивная пакость, эксплуа... большой текст свёрнут, показать
     
     
  • 7.93, Аноним (-), 22:13, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    А, да, админов нага пни что там у них идет такая атака. Там половине сайта похоже надо в темпе вальса менять кренделя и ключи, если они не хотят чтобы им всю инфраструктуру расфигарили. В целом похоже на относительно таргетированную атаку, если проявить пессимизм - возможно атакующих интересует масштабное закрепление на всяких околосетевых сущностях.
     
  • 7.94, Inkelyad (?), 22:13, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• –1 +/
    > Так что отправляй как это антивирусникам на анализ. Их кажется ждет интересное
    > приключение в мире кибервойн.

    Ну в security мозилловское я уже файлик послал. И касперским. Я думаю, поделяться друг с другом.

     
     
  • 8.143, Аноним (-), 03:21, 09/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Абсолютно не факт Думаешь, они в курсе о наге Тем более что наг - не антивирус... текст свёрнут, показать
     
  • 7.97, Аноним (-), 22:31, 07/08/2015 [^] [^^] [^^^] [ответить]  [] []     [к модератору]
    		• +/
    >>Win, Mac и Linux каждому уделено персональное внимание, с отдельным списком потенциально интересных файлов и программ которые можно упереть в каждой из ОС.

    Что оно там упереть-то пыталось, можно список, лол.

     
     
  • 8.98, Inkelyad (?), 22:32, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Тут некоторые уже мой файлик скачать успели, пускай аккуратно и в правильных мес... текст свёрнут, показать
     
  • 8.104, arisu (ok), 23:08, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    да примерно то, что в новости и написано кучки txt-файлов по маскам 171 pa... текст свёрнут, показать
     
  • 7.101, Аноним (-), 22:55, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    Когда станут известны IP, куда уходила информация - опубликуйте их please,
    чтобы по логам netflow посмотреть, были ли у кого в сети проблемы...

    И хорошо бы понять, насколько давно этот подарочек "in the wild".

     
     
  • 8.111, Аноним (-), 23:50, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    А оно особо вроде и не прячется url http acintcdn net delivery php 3c7b... текст свёрнут, показать
     
  • 6.91, anonymous (??), 22:07, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    кинул сюда, но оперативно удалили: https://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild
     
     
  • 7.92, Inkelyad (?), 22:08, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    Последую ка и я их примеру.
     
  • 7.95, anonymous (??), 22:15, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > но оперативно удалили

    и вернули обратно.

     
     
  • 8.96, Inkelyad (?), 22:17, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Уже поздно Я файлик снес ... текст свёрнут, показать
     
     
  • 9.100, Аноним (-), 22:54, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Удалить что-то из интернета - не сильно просто Да и смысл В любом случае, лис... текст свёрнут, показать
     
     
  • 10.103, Inkelyad (?), 23:04, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    Ссылка на страницы мозиллы появилась А у нее, предположительно, аудитория побол... текст свёрнут, показать
     
     
  • 11.112, Аноним (-), 23:57, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Судя по тому что я вижу - лучше пусть неумелые скриптокидозники заставят всех за... текст свёрнут, показать
     
  • 4.81, arisu (ok), 21:21, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > А дальше? Куда ссылку кидать?

    сюда кидай, например. прямо с предупреждением о том, что там.

    > И, повторю - стоит ли?

    а почему нет? как видим, у плохих парней оно всё равно есть уже. если кто‐то сможет скачать и адаптировать под себя… ну и что? сам по себе эксплоит бесполезен, для его успешного использования нужна инфраструктура: сервера, каналы распространения «плохого» контента, etc. если у кого‐то такая инфраструктура есть, то он пойдёт в даркнет и купит эксплоит там, делов‐то.

     
     
  • 5.99, Аноним (-), 22:52, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > сюда кидай, например. прямо с предупреждением о том, что там.

    По некоторым признакам смахивает на очередной модуль duq, кроссплатформенный и ориентированный на прощупывание. Возможно всего лишь присказка.

    > а почему нет? как видим, у плохих парней оно всё равно есть

    При том если это именно те плохие парни - у них много чего более интересного есть.

    > инфраструктура: сервера, каналы распространения «плохого» контента, etc.

    Если это именно хозяева duq проводят "разведку боем" - у них инфраструктуры хоть отбавляй. А наиболее интересные target'ы могут и модуль для прошивки HDD отхватить.

    > и купит эксплоит там, делов‐то.

    Я бы на месте снобья из нага боялся куда более интересных вещей - apt. Не тот который get.

     
     
  • 6.102, arisu (ok), 23:03, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > Если это именно хозяева duq проводят "разведку боем"

    вряд ли — так глупо спалить такой вкусный сплоит…

     
     
  • 7.105, arisu (ok), 23:12, 07/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    хотя, возможно, просто слили отработаный материал, гыг. чтобы при случае кивать на «злобную киберпреступность — вот они, они это, а не мы!»
     
  • 7.115, Аноним (-), 00:10, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Они вроде как мониторят 0-day и агрессивно пользуются не только неизвестными дыр... большой текст свёрнут, показать
     
  • 2.80, anonymous (??), 21:20, 07/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    запаковать и на любой обменник через TOR.
     
  • 2.126, th3m3 (ok), 04:02, 08/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    Этот скрипт может пробить связку uBlock+Ghostery+Reguest Policy+NoScript? Учитывая, что в NoScript может быть разрешение на скрипты на странице, не полная блокировка js.
     
     
  • 3.127, arisu (ok), 04:07, 08/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    мозг включаем, да. мы тут для кого, $#&%%@$, распинались, расписывая, как это работает?
     
     
  • 4.128, th3m3 (ok), 04:10, 08/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    В теории, если речь идёт о новостном сайте - то при блокировке рекламы, скрипт не должен срабатывать.
     
  • 3.144, Аноним (-), 03:36, 09/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > Этот скрипт может пробить связку

    Зависит от настроек связки и браузера. Ты связку настраивал - себе и задай этот вопрос.

     
  • 3.152, vn971 (ok), 00:32, 10/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Зависит, думаю, от того где хостился этот эксплоит.

    Если в iframe и стороннем сайте, то это было вычищено RP-шкой. (Насколько я вычитал, именно так и было для того сайта где спалили проблему. Хотя могло быть по-другому для других сайтов.)
    Если эксплоит отдавался с того же домена, то всё выглядит не так удачным для вас..

    Кстати, это тот случай когда Policeman/uMatrix показывают свои плюсы по сравнению с RequestPolicyContinued.
    В этих плагинах реквесты распределяются по типам (scripts, images, frames,...). Дальше всё в ваших руках, но у меня, например, запрещаются скрипты (в отличии от same-domain стилей), а также запрещаются фрэймы (ибо это чаще всего хрень какая-то).

     
  • 2.138, Led (ok), 23:07, 08/08/2015 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• –1 +/
    Вендузятник должен страдать.
     
     
  • 3.145, Аноним (-), 03:39, 09/08/2015 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    > Вендузятник должен страдать.

    Прущая их всех щелей компетентность LED-а, как обычно :\. Эта штука одинаково опасна для юзеров винды, макоси и линуха. Оно даже всякие там /etc/passwd и прочие known_hosts вполне адресно тырит у линуксоидов.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру