Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Sprawdź VPS od Aruba!

Aruba

Aktualizacja Tor Browser łata krytyczne podatności. Jest tu pewien niuans warty uwagi…

09 marca 2022, 22:34 | W biegu | komentarzy 15

Ostatnio donosiliśmy o nowych łatkach w Firefoksie. Opis jednej z luk wygląda tak (podatność krytyczna, co więcej wykorzystywana „w dziczy”):

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escape. We have had reports of attacks in the wild abusing this flaw.

Niepodatny Firefox został wydany 5. marca 2022r. a łatkę dla Tor Browsera mamy 8. marca. W sumie 3 dni (a nawet więcej – bo nie wszyscy od razu zaktualizują Tor Browsera) na wytworzenie exploita (na podstawie analizy zmian w FF) oraz jego bojowe użycie. Całkiem sporo…

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. wilo
    9 marca, 2022 | 10:49 pm

    Proponuje rozważyć tłumaczenie ,,in the wild” w dziczy? Serio?

    Odpowiedz
    • sekurak
      9 marca, 2022 | 11:48 pm

      inne propozycje?

      Odpowiedz
      • pikej
        10 marca, 2022 | 1:10 am

        Określenie w dziczy brzmi brzydko, a ponadto osobom nietechnicznym powoduje problem ze zrozumieniem. Jak na złość, nazwa jest przewrotna, bo „w dziczy” tak naprawdę oznacza środowiska codziennego użytku, czyli urządzenia osobiste oraz inne systemy, które nie są przeznaczone do testów i takich tam innych czarów. ZU jak to będzie czytał to pomyśli, że w dziczy, to pewnie tam gdzie małpy pracują, czyli osoby zajmujące się tego typu sprawami (Ci, no, informatycy) – ergo, nic mu nie grozi ;-) Można by się pokusić o sposób opisywania dający jasno do zrozumienia, że takie dziury wykorzystywane są przeciwko cywilom ;-)

        Odpowiedz
      • Olek
        10 marca, 2022 | 7:59 am

        i the wild – na wolności (po uwolnieniu z piaskownicy)

        Odpowiedz
      • Łokietek
        10 marca, 2022 | 8:09 am

        w dziczy to najlepsze możliwe tłumaczenie :) od zawsze byłem jego fanem

        Odpowiedz
      • Janusz
        10 marca, 2022 | 9:04 am

        W środowisku naturalnym/na wolności.

        Odpowiedz
        • Imię *
          15 marca, 2022 | 6:20 pm

          Właśnie, „w stanie dzikim” — chodzi o analogię do zwierząt, które nie są w hodowli ani w zoo. (Chyba że by wymyślić własną analogię, ale musiałaby być naprawdę wystrzałowa, żeby się przyjęła…)

          Odpowiedz
      • k
        10 marca, 2022 | 9:44 am

        „na produkcji” :)

        Odpowiedz
        • Patryk
          10 marca, 2022 | 3:39 pm

          po prostu „krąży w Internecie”

          Odpowiedz
          • Torinthiel
            11 marca, 2022 | 8:53 am

            Internet to dzicz, wiadomo nie od dzisiaj ;)

  2. AdminSieciowy
    9 marca, 2022 | 11:52 pm

    O ile Firefox dostarcza link, który zawsze wskazuje na najnowszą wersję przeglądarki, to Tor Browser tego nie ma. Firefox aktualizuje się u mnie co noc samoczynnie (skrypt w Dockerze), natomiast Tor Browsera jeszcze muszę popychać ręcznie. Już mi się nie chce pilnować, więc napiszę sobie parser strony w Pythonie, żeby wyszukiwał najnowszego. Tylko dlaczego organizacja Tora nie może dostarczyć linku?

    Odpowiedz
  3. Martin
    10 marca, 2022 | 8:20 am

    Na polu walki?

    Odpowiedz
  4. Flash
    10 marca, 2022 | 11:24 am

    A nie wystarczy wylaczyc obsluge w about:config?

    Odpowiedz
  5. hottaker
    11 marca, 2022 | 11:52 am

    Kto włącza javascript sam jest sobie winien

    Odpowiedz
  6. Mariusz
    14 marca, 2022 | 3:28 pm

    Na zywiole. Czyli w srodowisku zwyklego uzytkownika.

    Odpowiedz

Odpowiedz