forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в qutebrowser, позволяющая выполнить код в системе"
Отправлено opennews, 12-Июл-18 08:25

В web-браузере qutebrowser (https://www.opennet.ru/opennews/art.shtml?num=48231), предоставляющем минимальный графический интерфейс и систему навигации в стиле Vim, выявлена (http://seclists.org/oss-sec/2018/q3/29) уязвимость (CVE-2018-10895 (https://security-tracker.debian.org/tracker/CVE-2018-10895)). Позволяющая выполнить CSRF-атаку со вставкой на страницы обращения к URL "qute://settings", что позволяет изменить настройки браузера при открытии подконтрольного атакующим сайта. В том числе атакующие могут изменить значение параметра editor.command и выполнить любой код в системе пользователя. Проблема
устранена (https://github.com/qutebrowser/qutebrowser/commit/43e58ac865...) в выпуске 1.4.1.
URL: http://seclists.org/oss-sec/2018/q3/29
Новость: https://www.opennet.ru/opennews/art.shtml?num=48955

Исходное сообщение
"Уязвимость в qutebrowser, позволяющая выполнить код в системе" Отправлено opennews, 12-Июл-18 08:25
В web-браузере qutebrowser (https://www.opennet.ru/opennews/art.shtml?num=48231), предоставляющем минимальный графический интерфейс и систему навигации в стиле Vim, выявлена (http://seclists.org/oss-sec/2018/q3/29) уязвимость (CVE-2018-10895 (https://security-tracker.debian.org/tracker/CVE-2018-10895)). Позволяющая выполнить CSRF-атаку со вставкой на страницы обращения к URL "qute://settings", что позволяет изменить настройки браузера при открытии подконтрольного атакующим сайта. В том числе атакующие могут изменить значение параметра editor.command и выполнить любой код в системе пользователя. Проблема устранена (https://github.com/qutebrowser/qutebrowser/commit/43e58ac865...) в выпуске 1.4.1. URL: http://seclists.org/oss-sec/2018/q3/29 Новость: https://www.opennet.ru/opennews/art.shtml?num=48955

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру