Закон Хлейда

Решение сложной задачи поручайте ленивому сотруднику — он найдет более легкий путь.

- Вась, джинсы твои новые я соседу отдала. ...

В Firefox 67 будет изменён интерфейс about:config и интегрировано дополнение Firefox Monitor
Mon, 18 Feb 2019 07:47:39 +0300

В Chrome появится поддержка ссылок на отдельные слова и фразы в тексте
Sat, 16 Feb 2019 10:48:24 +0300

Развитие Fedora Atomic Host прекращено в пользу проекта Fedora CoreOS
Sat, 16 Feb 2019 09:59:34 +0300

Представлен новый интерфейс браузера Opera
Fri, 15 Feb 2019 07:53:42 +0300

Обновление пакета с ядром для Ubuntu привело к проблемам с загрузкой на некоторых ноутбуках
Mon, 11 Feb 2019 08:25:02 +0300

Google представил механизм Adiantum для быстрого шифрования накопителей
Sun, 10 Feb 2019 22:52:09 +0300

FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
Sat, 09 Feb 2019 23:25:16 +0300

В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем
Sat, 09 Feb 2019 09:45:28 +0300

Проект GTK+ объявил о переименовании в GTK
Fri, 08 Feb 2019 19:31:46 +0300

Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8
Fri, 08 Feb 2019 08:59:57 +0300

В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов
Thu, 07 Feb 2019 09:47:47 +0300

Для Firefox развивается режим строгой изоляции страниц
Thu, 07 Feb 2019 09:09:44 +0300

Для Chrome реализован режим экономии ресурсов
Wed, 06 Feb 2019 12:40:48 +0300

Google опубликовал браузерное дополнение для оценки компрометации паролей
Wed, 06 Feb 2019 12:40:16 +0300

Для Fedora утверждён метод подсчёта пользователей, не использующий UUID
Wed, 06 Feb 2019 09:24:03 +0300

Новости OPENNET
Новости

Раскрыты сведения об уязвимости Zip Slip, которая позволяет переписать или сохранить файлы за пределами базового каталога при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript, .NET и Go. В анонсе достаточно много PR и заметно преувеличена степень новизны проблемы и степени её опасности, в то время как уязвимость по сути повторяет проблемы, устранённые 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки.

Суть уязвимости в том, что можно подготовить модифицированный архив (tar, jar, war, cpio, apk, rar или 7z), в котором подставить в путь сохранённого в архиве файла символы "../../". При распаковке данного файла с использованием уязвимых библиотек из-за отсутствия проверки относительного пути файл будет сохранён в каталог вне базового каталога распаковки архива. В большинстве случаев уязвимость в библиотеках сводится к тому, что они допускают вывод путей с "../../" при выполнении перебора содержимого модифицированного архива. Сама уязвимость касается больше конечных приложений, в которых подобные пути не проверяются перед записью файлов.

Таким образом при открытии модифицированного архива в подобных приложениях можно переписать любой файл текущего пользователя в системе, насколько это позволяют права доступа. Для совершения атаки злоумышленник должен знать текущий каталог, относительно которого выполняется распаковка. Теоретически проблема представляет опасность для различных типовых web-сервисов и продуктов, которые принимают в качестве входных данных архивы и автоматически распаковывают их.

Среди библиотек и приложений, в которых подтверждена проблема, упоминаются Java-компоненты zip4j, zt-zip и Plexus-archiver (исправлено в 3.6.0), JavaScript-модули Unzipper (0.8.13) и Adm-zip (0.4.9), .NET-библиотеки DotNetZip.Semverd (библиотека распаковки из .NET Core не подвержена проблеме), SharpZipLib и SharpCompress (0.21.0), mholt/archiver на языке Go (патч). Уязвимых библиотек на Python и Ruby не обнаружено так как в библиотеках Python аналогичные проблемы были устранены в 2014 году, а в библиотеках Ruby archive-tar-minitar, minitar и rubyzip в 2016 году. В Oracle java.util.zip и Apache commons-compress в реализации API уязвимостей нет, но были некорректные примеры в документации.

Среди продуктов, в которых использовались уязвимые библиотеки, отмечаются пакетный менеджер npm,

платформа Google Cloud, продукты Oracle, Amazon CodePipeline, AWS Toolkit for Eclipse, IBM DataPower, Alibaba JStorm, Twitter Heron, Apache Storm, Apache Hadoop,

Apache Ant, Apache Maven, Apache Hive, HP Fortify Cloud Scan Jenkins Plugin, OWASP DependencyCheck. Примечательно, что в 2015 году аналогичная проблема при обработке zip-файлов в SwiftKey применялась для получения root-доступа к смартфонам Samsung Galaxy S4, S4 Mini, S5 и S6.

66.2470 74.9055 0.599 9.789

НОВОСТИ: Оценка производительности браузерных дополнений для блокировки р ... Tue, 19 Feb 2019 12:16:08 +0300

Рассмотрев критику изменений в третьей редакции манифеста Chrome, нарушающих работу многих дополнений для блокирования нежелательного контента и обеспечения безопасности, разработчики из компании Google подытожили свою позицию по данному вопросу. Утверждается, что в реализации нового API declarativeNetRequest будут учтены пожелания и замечания авторов дополнений, в том числе будет расширен лимит на число правил блокировки, реализована возможность динамического добавления/удаления правил, добавлена поддержка дополнительных условий фильтрации и возможность не только блокирования, но и изменения частей запроса (например, для чистки отдельных Cookie).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome