https://www.opennet.ru/openforum/vsluhforumID3/109715.html Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, обратил внимание (https://scarybeastsecurity.blogspot.ru/2016/11/0day-poc-risky-design-decisions-in.html) на фундаментальные проблемы в организации работы с новыми файлами в GNOME и продемонстрировал (https://scarybeastsecurity.blogspot.ru/2016/11/0day-exploit-advancing-exploitation.html) на практике возможность их эксплуатации, показав как просто загрузив специально оформленный файл в систему можно добиться выполнения своего кода.<br><br><br><br>Сама по себе проблема с автоматической обработкой новых файлов в системе не нова и уже давно применяется (https://www.opennet.ru/opennews/art.shtml?num=29532) для эксплуатации уязвимостей в библиотеках для обработки изображений (при открытии нового носителя в некоторых файловых менеджерах автоматически вызываются обработчики для создания пиктограмм с эскизами). Исследование Криса Эванса показывает, что проблема остаётся недооцененной и представляет большую угрозу https://www.opennet.ru/openforum/vsluhforumID3/109715.html#99 Mon, 28 Nov 2016 05:02:05 GMT &gt; он хочет сказать что аппармор будет не в курсе что вы пытаетесь открыть жпг а у вас от этого запустился калькулятор<br><br>Apparmor работает по белому списку. Калькулятор не является обработчиком JPG-файлов, никто его в белый список прог, которые может запускать файл-менеджер, не внесёт. Т.о. Apparmor-у не нужно знать, какие файлы щёлкает пользователь.<br><br>Другое дело, что Apparmor-профили для файл-менеждеров по умолчанию отсутствуют.<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#98 Sun, 27 Nov 2016 12:46:30 GMT &gt; Вовсе не из-за софта.<br><br>Из-за него. В новых версиях специально эмулируют баги для старого софта.<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#97 Fri, 25 Nov 2016 15:59:26 GMT И будет разрешить всё или не разрешить ничего.<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#96 Fri, 25 Nov 2016 08:43:37 GMT &gt; Может, я чего-то недопонимаю, но в Apparmor работает так: <br>&gt; открываю я "огороженным" файл-менеджером (Caja) графический файл, Caja запрашивает выполнение <br>&gt; программы-смотрелки для этого файла; открываю PDF-файл, Caja запрашивает выполнение PDF-смотрелки. <br>&gt; Запуск любой внешней программы контролируется Apparmor, и происходит, только если явно <br>&gt; разрешн.<br>&gt; Если при попытке открыть JPG-файл попробует запуститься калькулятор, Apparmor не позволит <br>&gt; это сделать и запротоколирует.<br>&gt; Или вы хотите сказать, что при манипуляциях с памятью, всяких переполнениях буфера <br>&gt; несанкционированный запуск программ происходит не от имени родительского процесса и т.о. <br>&gt; уходит от контроля?<br><br>он хочет сказать что аппармор будет не в курсе что вы пытаетесь открыть жпг а у вас от этого запустился калькулятор, более того - вы можете быстробыстро открыть жпг на просмотр и запустить калькулятор ручками самостоятельно - для апармора это будет смотреться одинаково с "файлменегер при считывании информации картинки полома https://www.opennet.ru/openforum/vsluhforumID3/109715.html#95 Fri, 25 Nov 2016 05:13:01 GMT Может, я чего-то недопонимаю, но в Apparmor работает так:<br>открываю я "огороженным" файл-менеджером (Caja) графический файл, Caja запрашивает выполнение программы-смотрелки для этого файла; открываю PDF-файл, Caja запрашивает выполнение PDF-смотрелки. Запуск любой внешней программы контролируется Apparmor, и происходит, только если явно разрешн.<br>Если при попытке открыть JPG-файл попробует запуститься калькулятор, Apparmor не позволит это сделать и запротоколирует.<br><br>Или вы хотите сказать, что при манипуляциях с памятью, всяких переполнениях буфера несанкционированный запуск программ происходит не от имени родительского процесса и т.о. уходит от контроля?<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#94 Thu, 24 Nov 2016 23:13:10 GMT Курс лекций "Инженерный подход и основы разумной разработки ПО" - платный, 1000р/час, рассчитан на 40 часов. Первая лекция "Костыли как система мировоззрения и почему это тупиковый путь".<br><br>Нищим не подаю.<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#93 Thu, 24 Nov 2016 23:10:31 GMT &gt; а часто вы с бина файловым менеджером программы запускаете ? и какие ?<br><br>Прикинь - часто. Кнопачка "открыть с помощью" контекстного меню.<br><br>mpv, например, не умеет перехватывать ассоциации файлов, поэтому по дефолту видео запускается через какое-то убогое подeлие от DE. При установке вайна наоборот - ассоциации корёжит так, что даже txt начитают открываться через "блокнот".<br><br>Это только один из случаев, когда такое может потребоваться.<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#92 Thu, 24 Nov 2016 22:09:06 GMT &gt;&gt; вот и должно быть правило к нему делающие "запускать калькулятор: денай" <br>&gt;&gt; и будет не важно запускал ли гномотрекер калькулятор сам по неосмотрительности или <br>&gt;&gt; его вынудили это сделать обманом и угрозами физической расправы <br>&gt; Вы из тех, кто молится на контейнеры?<br>&gt; Мысль, конечно, любопытная, но слабо реализуемая. Её попытались в андроиде воплотить в <br>&gt; жизнь, но вышло не очень: всё равно вирусня ползёт по приложениям, <br>&gt; как бешеный огурец по забору.<br><br>а в андройде внедрены контейнеры ? я чтот и не в курсе даже о таком<br> https://www.opennet.ru/openforum/vsluhforumID3/109715.html#91 Thu, 24 Nov 2016 22:06:27 GMT &gt;&gt; Так объясни.<br>&gt; Давай я попробую объяснить.<br>&gt; Ты файловый менеджер для чего используешь?<br>&gt; Как apparmor/SELinux может "понять" что это ты "ткнул мышкой", "нажал клавиши", <br>&gt; а не сам файловый менеджер пытается что-то скопировать или запустить?<br><br>а часто вы с бина файловым менеджером программы запускаете ? и какие ?<br>или часто вы с бина копируете ? это в общем, в частности скриптик может отслеживать такие вещи и выдавать всплывашку "вы ли за баранкой этого пылесоса ?"<br>