https://www.opennet.ru/openforum/vsluhforumID3/117031.html Компания Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, обратила внимание (https://blog.exodusintel.com/2019/04/03/a-window-of-opportunity/) на слабое место в процессе устранения уязвимостей в браузере Chrome, позволяющее злоумышленникам получать информацию о проблемах и создавать эксплоиты ещё до выпуска обновления браузера с устранением уязвимости. Проблема касается утечки сведений о проблемах в исправлениях, вносимых в JavaScript-движок V8. <br><br><br>Информация об уязвимостях в Chrome до выпуска релиза обрабатывается в закрытых отчётах об ошибках, доступных только небольшой группе основных разработчиков и не публикуемых публично до выхода исправлений. В случае, если уязвимость касается движка V8, исправления вносятся в его кодовую базу отдельно и некоторое время уязвимость становится исправленной в V8, но не исправленной в Chrome. Злоумышленники могут отследить подобные исправлений, проанализировать их и использовать для атаки на актуальные https://www.opennet.ru/openforum/vsluhforumID3/117031.html#21 Thu, 11 Apr 2019 14:47:44 GMT &gt; Библиотеку обновил - и у тебя приложение колом встало, потому что логика или API поменялось или ещё какая несовместимость вылезла.<br><br>Значит, у тебя дистрибутив неправильный.<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#20 Fri, 05 Apr 2019 20:54:46 GMT Как бы да, но нет.<br>Если API поменялось на несовместимое, а циферку major не поменяли - ай-яй-я разработчикам/мейнтейнерам либы.<br>Остюда два: отвал браузера я таки замечу, не такая беда, и буду вынужден откатиться.<br>Тут вопрос в том, что в идеале мейнтейнер браузерного пакета должён бы проверить работоспособность с новой либой и, если что не так, не обновлять и зарепортить мейнтейнерам / разработчикам либы.<br>Но этож офигеешь проверять все кейсы браузера, если только так, на самых основных сайтах. Чтобы всё прогнать, надо многомного тестов.<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#19 Fri, 05 Apr 2019 19:00:36 GMT не надо ля-ля!..<br><br>about:buildconfig<br><br>CONFIG_SHELL=/bin/sh PYTHON3=/usr/local/bin/python3.6 --enable-application=browser --enable-update-channel=release --disable-tests CC=/usr/local/llvm80/bin/clang CXX=/usr/local/llvm80/bin/clang++ --disable-debug-symbols 'RUSTFLAGS=-C opt-level=3 -C target-cpu=x86-64' PKG_CONFIG=/usr/local/bin/pkgconf --enable-alsa --disable-pulseaudio LLVM_CONFIG=/usr/local/llvm80/bin/llvm-config --enable-system-ffi --with-system-webp --with-system-graphite2 --with-system-harfbuzz --with-system-jpeg=/usr/local PERL=/usr/local/bin/perl MAKE=/usr/local/bin/gmake --disable-crashreporter --disable-gconf --enable-install-strip --disable-libproxy --disable-necko-wifi --enable-official-branding --disable-parental-controls --enable-startup-notification --enable-strip --enable-system-pixman --enable-system-sqlite --disable-updater --prefix=/usr/local --with-intl-api --with-system-bz2 --with-system-icu --with-system-libevent --with-system-nspr --with-system-nss --with-system-png=/usr/local --wit https://www.opennet.ru/openforum/vsluhforumID3/117031.html#18 Fri, 05 Apr 2019 18:43:19 GMT Жирнопанда частично собирается из либ, в частности либы harfbuzz icu libvpx sqlite webp могут быть системными и не создают проблем (уже были примеры, когда несовместимые либы рандомно крашили его). Но возникает ещё и другая проблема: версии системных либ будут ограничены теми, что поддерживаются браузером. Т.е. ты не сможешь либу на несовместимую. Можно делать как в NixOS, только это ничем не лучше.<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#17 Fri, 05 Apr 2019 18:39:11 GMT Мне сообщили, что в Cisco уже так и сделали.<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#16 Fri, 05 Apr 2019 18:07:11 GMT &gt; Вот беда-то! А если софт открыт и собран из библиотек, то я бибилотеку обновил, и... Опа. Всё пучком.<br><br>Как повезёт. Бывает и по другому. Библиотеку обновил - и у тебя приложение колом встало, потому что логика или API поменялось или ещё какая несовместимость вылезла. Нельзя просто взять и обновить зависимости. Надо сначала провести интеграционное тестирование, убедиться что оно и в самом деле может работать вместе.<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#15 Fri, 05 Apr 2019 16:50:59 GMT &gt; Вот беда-то! А если софт открыт и собран из библиотек, то я <br>&gt; бибилотеку обновил, и... Опа. Всё пучком.<br>&gt; Но: <br>&gt; а) собирателя из гугла что-то не очень мастаки собирать с отдельно выделенными <br>&gt; бибилиотеками; им, видите ли, проще всё в проект запихать; (такой же <br>&gt; привет Electron'щикам) <br>&gt; б) а можно ли V8 либой заиметь?<br><br>я бы фаерфокс хотел "из либ" а не монолитом (почти целиком?)<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#14 Fri, 05 Apr 2019 13:11:20 GMT Вот беда-то! А если софт открыт и собран из библиотек, то я бибилотеку обновил, и... Опа. Всё пучком.<br><br>Но:<br>а) собирателя из гугла что-то не очень мастаки собирать с отдельно выделенными бибилиотеками; им, видите ли, проще всё в проект запихать; (такой же привет Electron'щикам)<br>б) а можно ли V8 либой заиметь?<br> https://www.opennet.ru/openforum/vsluhforumID3/117031.html#13 Fri, 05 Apr 2019 13:08:51 GMT А, ну всё. "Давайте закрыать теперь репы11". Хотя проблема про это. :)<br>