The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость во FreeType, эксплуатируемая через TTF-шрифт и затрагивающая браузеры

20.10.2020 06:50

Вернер Лемберг (Werner Lemberg), ключевой разработчик библиотеки рендеринга шрифтов FreeType, предупредил пользователей о выявлении уязвимости (CVE-2020-15999), которая позволяет выполнить свой код при обработке специально оформленных TTF-файлов с PNG sbit глифами. Имеются сведения, что уязвимость уже активно эксплуатируется злоумышленниками (0-day). Проблема вызвана переполнением буфера в функции Load_SBit_Png, возникающим при обработке глифов с битовыми картами большого размера (указание в заголовке ширины или высоты больше 65535). Пример шрифта (940 байт), который вызывает переполнение буфера.

Исправление пока доступно только в виде патча, который будет включён в корректирующий релиз FreeType 2.10.4, запланированный на завтра. Дистрибутивы обновления пакетов с FreeType пока не выпустили (Debian, RHEL, SUSE, Ubuntu).

Дополнение 1: Рассматриваемая проблема несколько часов назад исправлена в кодовой базе Chromium, в которой используются функуции из FreeType. Firefox также использует FreeType, а последнее изменение файла, в котором присутствует уязвимость, было произведено в мае. Судя по всему, уязвимость может быть эксплуатирована в Chrome/Chromium и Firefox при обработке внешних шрифтов при открытии сайтов злоумышленников.

Дополнение 2: Проблема также затрагивает платформу Android.

Дополнение 3: Опубликовано обновление FreeType 2.10.4 с устранением уязвимости.

Дополнение 4: Доступно обновление Chrome 86.0.4240.111, в котором устранена связанная с FreeType уязвимость. Лидер группы Project Zero из компании Google также подтвердил, что проблема относилась к категории 0-day и применялась в эксплоитах против Chrome до исправления уязвимости.

  1. Главная ссылка к новости (https://www.mail-archive.com/f...)
  2. OpenNews: Релиз шрифтового движка FreeType 2.10.3
  3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
  4. OpenNews: Новая критическая уязвимость в Ghostscript, эксплуатируемая через ImageMagick
  5. OpenNews: Уязвимость в библиотеке SDL, приводящая к выполнению кода при обработке изображений
  6. OpenNews: Уязвимость в библиотеке обработки шрифтов Libgraphite
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53922-freetype
Ключевые слова: freetype
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (179) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 06:58, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Через Web Font в браузуре или встроенный в документ шрифт в офисном пакете эксплуатировать можно? Или там свои движки отрисовки шрифтов?
     
     
  • 2.3, timur.davletshin (ok), 07:28, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно наверняка, судя по описанию. Другой вопрос, можно ли выйти на пределы песочницы браузера.
     
     
  • 3.5, Lex (??), 07:45, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А с чего бы нельзя, если речь о выполнении кода злоумышленника в обычном потоке ?
    Песочница - она обычно только для жс и его подобий( и то, скорее, в виде некоторых ограничений и нюансов при JIT'е )
     
     
  • 4.9, timur.davletshin (ok), 07:55, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Level 4 песочниц FF для этого и придуман же - от уязвимостей через Xorg, шрифтов и некоторых видеодрайверов. Именно он у подавляющего кол-ва пользователей.
     

  • 1.2, Аноним (2), 07:26, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –66 +/
    >PNG

    PNG уже давно пора на помойку истории. Есть же например JPG и TIFF

     
     
  • 2.4, timur.davletshin (ok), 07:29, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    TIFF - это контейнер. А PNG тот же всеми установленный Noto Color Emoji использует.
     
     
  • 3.139, Аноним (139), 22:36, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А PNG тот же всеми установленный Noto Color Emoji использует.

    Если проверенный TTF-шрифт установлен в девайс, то и узвимости нет.

    Другой вопрос, как предотвратить подгрузку TTF-шрифтов на Android-девайс ('без root'), для которых обновлений безопасности уже не выпускают.

     
  • 2.7, m.makhno (ok), 07:48, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +16 +/
    А JPG у нас разве многослойный формат? В PNG то есть альфа.
     
  • 2.8, Аноним (8), 07:51, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    >jpg

    жпег - лосси, пнг - нет

    >tiff

    контейнер

    еще варианты?

     
     
  • 3.23, Аноним (23), 08:42, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Только tga, всё остальное хлам (я проверял). Png вроде тоже лосси может быть, но действительно, распространение у него примерно такое же, что и у lossless webp (даже меньше, и по-моему он вовсе не lossless), а артефакты выедают глаза. Бтв, вроде именно png мы обязаны за существование zlib сегодня -- это свободная реализация алгоритмов zip. Так что теперь каждый раз, когда ты жмёшь свой файлик в gzip, думай о великом.
     
     
  • 4.25, timur.davletshin (ok), 08:44, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Только tga, всё остальное хлам (я проверял). Png вроде тоже лосси может
    > быть, но действительно, распространение у него примерно такое же, что и
    > у lossless webp (даже меньше, и по-моему он вовсе не lossless),
    > а артефакты выедают глаза. Бтв, вроде именно png мы обязаны за
    > существование zlib сегодня -- это свободная реализация алгоритмов zip. Так что
    > теперь каждый раз, когда ты жмёшь свой файлик в gzip, думай
    > о великом.

    Там же deflate... Ладно, на самом деле они с zlib только заголовком отличаются.

     
  • 4.52, Аноним (52), 10:57, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Png вроде тоже лосси может быть

    Не может.

     
     
  • 5.54, Аноним (23), 11:05, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Я сейчас проверил, и, видимо, именно поэтому первая ссылка в выдаче сообщает, что png может быть lossy. На самом деле все ссылки говорят, что может. Где ты взял свою информацию? Просто, я-то исхожу из личного опыта.
     
     
  • 6.69, Аноним (69), 13:00, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://www.libpng.org/pub/png/book/chapter09.html#png.ch09.div.2
    >The PNG specification defines a single compression method, the deflate algorithm, for all image types.
     
     
  • 7.70, Аноним (23), 13:04, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это так, но можно удалить часть информации незаметно для глаза, восстановив её уже при открытии. Собственно, это именно то, чем лосси и является.
     
     
  • 8.72, Аноним (72), 13:29, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лосси это когда фотку сжал, расжал, а расжатая фотка отличается То, что ты опис... текст свёрнут, показать
     
     
  • 9.74, Аноним (23), 13:33, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не вижу смысла это обсуждать, это точно такой же препроцессинг с потерями как у ... текст свёрнут, показать
     
  • 8.73, Аноним (69), 13:30, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это лосслесс ... текст свёрнут, показать
     
     
  • 9.75, Аноним (23), 13:34, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вернуть всё никто не обещал ... текст свёрнут, показать
     
  • 3.68, Чума (?), 12:57, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    bmp.gz
     
  • 3.140, Аноним (139), 22:38, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > еще варианты?

    Жил, GIF и будет GIF

     
  • 2.10, bergentroll (ok), 07:56, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    JPEG вообще PNG не заменяет. PNG позволяет компактно хранить примитивные изображения (типа блок-схем) без потери качества. TIFF — проприетарный формат, старше PNG.
     
     
  • 3.11, timur.davletshin (ok), 08:01, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Побойтесь Бога, панове! Какая проприетарщина и формат? В tiff и факсы с 2-мя кодеками шлют и JPG туда можно жать, и PNG, и RLE, и голый deflate/zlib поток, и, о боже мой, проприетарные форматы большинства цифровых фотоаппаратов (выше уровня "мыльница"), тоже tiff'ом являются.
     
     
  • 4.67, llolik (ok), 12:56, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > тоже tiff'ом являются

    Так TIFF в общем-то, если уж совсем упрощённо, набор меток, который, согласно заранее определённому "соглашению", позволяет разобрать упакованый blob. Есть базовый стандартный набор меток, который все понимают, а уж в расширенных вот там уже кто что и как в тот blob наскладывал - NRG, CDR и прочие RAW-ы.

     
     
  • 5.92, timur.davletshin (ok), 15:10, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. TIFF :)
     
  • 2.35, б.б. (?), 09:28, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    правильно, все на PCX
     
     
  • 3.40, Онаним (?), 09:44, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Или на TGA.
     
  • 2.37, fooser (?), 09:31, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    толсто же
     
  • 2.120, Аноним (120), 17:51, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты что наркоман или прикидываешься? PNG и на помойку? Да я тебя...!
     
  • 2.170, Аноним (170), 22:01, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ээ, почему именно  jpg и tiff?
    Почему не webp, не av1?
     
  • 2.180, Олег (??), 23:14, 24/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как это можно сравнивать :-D?
    png сжимать картинку без потерь, в отличии от jpeg. png умеет прозрачность, в отличии от jpeg. Png не заменить в web jpeg'ом. И уж если на свалку и гнать кого, так jpeg.
     

  • 1.6, timur.davletshin (ok), 07:47, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эх, тестовый шрифт что-то у меня отказался крашится на Debian Stable.
     
     
  • 2.77, Анонимно (ok), 14:01, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Патч может уже прилетел? Под Linux Mint патч присутствует, видимо портирован с Debian или Ubuntu
     
     
  • 3.98, timur.davletshin (ok), 15:24, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не было никаких патчей давно на него.
     

  • 1.12, timur.davletshin (ok), 08:05, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://savannah.nongnu.org/bugs/?59308 — тестовый файлик отсюда у кого свалился вообще? Или у меня просто старый фритайп.
     
  • 1.13, Аноним (13), 08:06, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В HarfBuzz такой ошибки нет?
     
  • 1.14, Fracta1L (ok), 08:11, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Проблема вызвана переполнением буфера

    Ахахахахахахахаха

     
     
  • 2.15, Fracta1L (ok), 08:11, 20/10/2020 Скрыто модератором
  • –12 +/
     
     
  • 3.17, i (??), 08:24, 20/10/2020 Скрыто модератором
  • –6 +/
     
     
  • 4.26, Аноним (26), 08:46, 20/10/2020 Скрыто модератором
  • –1 +/
     
     
  • 5.27, Fracta1L (ok), 08:47, 20/10/2020 Скрыто модератором
  • –3 +/
     
  • 4.49, Аноним (49), 10:38, 20/10/2020 Скрыто модератором
  • –1 +/
     
  • 3.51, Аноним (51), 10:56, 20/10/2020 Скрыто модератором
  • +/
     
     
  • 4.65, Аноньимъ (?), 12:47, 20/10/2020 Скрыто модератором
  • +2 +/
     
     
  • 5.89, Аноним (51), 15:06, 20/10/2020 Скрыто модератором
  • –2 +/
     
     
  • 6.126, Аноньимъ (?), 18:45, 20/10/2020 Скрыто модератором
  • +/
     
  • 4.71, Ordu (ok), 13:16, 20/10/2020 Скрыто модератором
  • +2 +/
     
     
  • 5.85, эти ваши интернеты (?), 14:47, 20/10/2020 Скрыто модератором
  • +1 +/
     
     
  • 6.110, Ordu (ok), 16:12, 20/10/2020 Скрыто модератором
  • +1 +/
     
     
  • 7.127, Аноньимъ (?), 18:53, 20/10/2020 Скрыто модератором
  • +1 +/
     
     
  • 8.138, Ordu (ok), 22:32, 20/10/2020 Скрыто модератором
  • +/
     
  • 5.88, Аноним (51), 15:04, 20/10/2020 Скрыто модератором
  • –1 +/
     
     
  • 6.113, Ordu (ok), 16:34, 20/10/2020 Скрыто модератором
  • +/
     
  • 2.33, YetAnotherOnanym (ok), 09:07, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Щястье-то какое!
     
  • 2.41, Аноним (41), 09:59, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И то, что ФФ на расте, не помогло.
     
     
  • 3.46, Аноним (46), 10:13, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты уверено, что этот кусок кода написан именно на расте?
     
     
  • 4.57, Аноним (41), 11:23, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про то, что растоманы всё равно используют крестовые и сишные либы
     
  • 3.58, Аноним (58), 11:32, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://wiki.mozilla.org/Oxidation

    Здесь перечислены компонены лисы, которые написали или переписали на rust.
    С указанием мотивов зачем так сделали.

     
  • 2.95, Аноним (51), 15:20, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Когда тебя забанят?
     
     
  • 3.115, Fracta1L (ok), 16:39, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда вы перестанете полыхать и примете факт дырявости сишки
     
     
  • 4.117, Аноним (51), 17:45, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты пишешь заведомо не полную информацию то есть лжёшь, провоцируешь тем самым окружающих на спор с тобой, это называется «троллинг», это очевидное нарушение правила ресурса, но тебя не банят.

    Почему?

     
     
  • 5.128, Аноньимъ (?), 18:55, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты пишешь заведомо не полную информацию то есть лжёшь, провоцируешь тем самым
    > окружающих на спор с тобой, это называется «троллинг», это очевидное нарушение
    > правила ресурса, но тебя не банят.

    1. В чем лож то?
    2. Если не банят, то может не нарушает?

     
     
  • 6.163, Аноним (51), 11:07, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    https://ru.wikipedia.org/wiki/%D0%9B%D0%BE%D0%B6

    Изучай.

     
     
  • 7.167, Аноньимъ (?), 12:35, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > https://ru.wikipedia.org/wiki/%D0%9B%D0%BE%D0%B6
    > Изучай.

    Ложь заключается в странице википедии о лжи?
    С вами всё в порядке?

     
  • 6.184, Michael Shigorin (ok), 19:50, 29/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. Если не банят, то может не нарушает?

    Чтобы добиться технического бана на опеннете, надо быть куда более ушибленым (видал N малое прецедентов).

     
  • 2.104, Аноним (104), 15:40, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://www.opennet.ru/openforum/vsluhforumID3/122156.html#100
     

     ....большая нить свёрнута, показать (29)

  • 1.16, Аноним (23), 08:23, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята, не переживайте, в генту уже приложили патч к ебилду и теперь мы все защищены в будущем (в теории, все эти сляпанные на коленке патчи рулетка ещё та). Но тестовый шрифт что-то не работает, могли бы и тестовое демо замутить. К слову, ublock origin блокирует удалённые шрифты по-умолчанию, в результате чего атака может производиться только через любимые сайты с красивыми шрифтами.
     
     
  • 2.21, Аноним (23), 08:35, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, я наверное понял, почему не работает. У меня freetype без png. И без harfbuzz.
     
  • 2.30, timur.davletshin (ok), 08:51, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ребята, не переживайте, в генту уже приложили патч к ебилду и теперь
    > мы все защищены в будущем (в теории, все эти сляпанные на
    > коленке патчи рулетка ещё та). Но тестовый шрифт что-то не работает,
    > могли бы и тестовое демо замутить. К слову, ublock origin блокирует
    > удалённые шрифты по-умолчанию, в результате чего атака может производиться только через
    > любимые сайты с красивыми шрифтами.

    По-умолчанию юблок ничего из шрифтов не блокирует, не выдумывай. Но пунктик есть для тех, кто в about:config ленится лезть.

     
     
  • 3.31, Аноним (23), 08:54, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не по-умолчанию? Я сколько ни ставил его, всегда казалось, что по-умолчанию это как раз включено в настройках. Может, поменяли дефолты?
     
     
  • 4.34, timur.davletshin (ok), 09:25, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У тебя просто настройки из учётки FF автоматом грузятся.
     
  • 3.50, Аноним (50), 10:45, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    NoScript зато блокирует.
     
  • 3.66, Аноним (13), 12:48, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О, спасибо, поставил галочку. Пару байт сэкономлю, пару мс отрисовки надеюсь тоже.
     
     
  • 4.94, timur.davletshin (ok), 15:15, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > О, спасибо, поставил галочку. Пару байт сэкономлю, пару мс отрисовки надеюсь тоже.

    Оно экономит значительно больше. Там обычно запрос идёт на какой-нибудь левый сервис веб-шрифтов вроде гугловского, что занимает несколько десятков мс на резолвинг имени. Потом скачивание нескольких сотен килобайт шрифтов. Рендеринг осуществляется асинхронно, поэтому сначала рисуется системными шрифтами, а потом делает reflow, который сам по себе очень дорогостоящий и в итоге даже в лучшем случае это хозяйство занимает пару-тройку сотен миллисекунд. Порнография натуральная.

     
  • 3.152, Карабьян (?), 02:52, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, как в хроме настраивают это все? У них вроде about:congig нету
     
  • 2.103, Аноним (104), 15:37, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > генту уже приложили патч к ебилду

    С генты жидо-масоны выкинули hardened-sources который защищал от ВСЕХ уязвимостей переполнения буфера и СМЕНИЛИ сами цели Hardened projects!

    Выкинули binutils необходимых версий для правильной линковки hardened-sources.

    Микрософт похерил Python чтобы его невозможно было без патчей сорцов использовать со строгой настройкой hardened-sources.

    .....

    Вселенная в опасности!

     
     
  • 3.111, Аноним (23), 16:15, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня были проблемы с java и wine на hardened. И с nvidia-drivers. Шутки ради накатил на несколько инстансов vpsок, некритичных к версиям и процессу обновления. Количество проблем со всякими перлами мне не понравилось. Хороший проект запороли, конечно, но что-то уже взяли в ядро из grsecurity. Пока МС не пришёл, всем было наплевать на безопасность и не брали.
     
     
  • 4.112, Аноним (23), 16:16, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А, ещё для адоб флеша приходилось отключать. Как можно пользоваться ПК без адоб флеша в наше время, сегодня… А хотя да, сегодня уже электрон в моде.
     
  • 4.123, Аноним (123), 18:07, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > но что-то уже взяли в ядро из grsecurity.

    Ты посмотри реализации и сравни. В GrSecurity строгая, бескомпромиссная реализация, а в Linux дыряво пишут: https://www.linux.org.ru/news/security/15947216?cid=15954516

     

  • 1.19, ryoken (ok), 08:30, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Кто-то ещё использует шрифты сайтов, а не свои, в браузерах? Ну тогда - ССЗБ.
     
     
  • 2.29, timur.davletshin (ok), 08:49, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кто-то ещё использует шрифты сайтов, а не свои, в браузерах? Ну тогда
    > - ССЗБ.

    Было бы всё классно, если бы добрая часть вебдизайнеров не использовала кастомные шрифты для элементов интерфейса вроде всяких там иконок. Нафейхоа? Ну используй ты стандартные из символьных шрифтов. Нет же, надо очередную лупу засунуть в fontforge в webfont в 3 форматах, залить сомнительной надёжности заголовок (чтобы каждому браузеру его любимый формат отдавать) из статьи на каком-нибудь ресурсе по обмену премудростями.

     
     
  • 3.53, Аноним (52), 11:00, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Потому что ожидать, что у всех будет символьный шрифт с нужным тебе символом это сомнительное удовольствие. Продвигайте какой-нибудь во все ОС или браузеры (второе проще и быстрее).
     
     
  • 4.99, Аноним (51), 15:24, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В общераспространённых шрифтах вполне достаточно символов для любых нужд.
     
  • 4.118, timur.davletshin (ok), 17:47, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В твоём линуксе есть, инфа 100%.
     
     
  • 5.136, Аноним (52), 21:35, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В моём линуксе и Noto Color Emoji есть, но всё-таки.
     
     
  • 6.155, timur.davletshin (ok), 05:08, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда у тебя есть Opensymbol и Noto Symbols/Noto Symbols 2
     
     
  • 7.164, Аноним (164), 11:20, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я тонко намекаю, что мой локалхост ≠ локалхосту пользователей всех времён и народов.
     
     
  • 8.165, timur.davletshin (ok), 11:26, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты переоцениваешь свою уникальность Символьные шрифты есть на всех десктопах Е... текст свёрнут, показать
     
     
  • 9.168, Аноним (164), 12:40, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Символьные шрифты, в которых есть все символы, которые тебе понадобятся Евгений... текст свёрнут, показать
     
     
  • 10.169, timur.davletshin (ok), 12:47, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чо ты чешешь Какие там тебе глифы нужны, которых нет в дефолтной поставке любог... текст свёрнут, показать
     
  • 2.105, Аноним (105), 15:51, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-то ещё замарачивается шрифтами?
     
     
  • 3.119, timur.davletshin (ok), 17:51, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Практически все. Вот какой резон новостному ресурсу использовать кастомный шрифт? И ладно, если это что-то приличное, заточенное под экранное отображение, так дебилы везде тулят thin начертания или какой-нибудь кастом, обработанный ttfautohint'ом, чтобы глаза совсем уж не текли у пользователей. Задолбали вообще уже этими ресурсами и JS библиотеками, подгружающимися с левых серверов.
     

  • 1.20, Иваня (?), 08:32, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Эх, кто бы переписал на Rust или на Go лучше?
     
     
  • 2.79, Растишка (?), 14:20, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уже:

    https://github.com/mooman219/fontdue
    https://github.com/raphlinus/font-rs
    https://gitlab.redox-os.org/redox-os/rusttype

     
     
  • 3.101, Аноним (51), 15:31, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > There is an optional SIMD module for cumulative sum, currently written in C SSE3 intrinsics.
    > The code isn't well organized, and it's basically not ready for prime time. However, it runs well enough to run benchmarks
    > does not support
    > Font hinting.
    > Ligatures of any kind.

    Нет, всё ещё нет. Плюс непонятно как это использовать из других языков, где .so, где .h?

     
  • 2.100, Аноним (104), 15:28, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Раст с го ненужны. Необходимо соблюдать элементарные правила которые нам деды с 1960-тых завещали: https://www.opennet.ru/openforum/vsluhforumID3/122156.html#96
     
     
  • 3.107, Andrii (?), 15:55, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, раст не нужен. Просто нужно не делать ошибок при программировании которые приводят к переполнению буфера!
     
     
  • 4.108, Аноним (108), 16:06, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет! Ошибки приводящие к переполнения буфера были есть и будут.

    Дело в ядре OS которое должно давать гарантии невозможности эксплуатации переполнения буфера:

    https://www.opennet.ru/openforum/vsluhforumID3/122116.html#89

    https://www.opennet.ru/openforum/vsluhforumID3/122116.html#90

    https://www.opennet.ru/openforum/vsluhforumID3/122119.html#96

     
     
  • 5.134, Аноним (50), 20:18, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да хватит уже своей панацеей торговать. Прочитал древнюю статейку и возомнил себя самым умным? ROP давным-давно придумали, чтобы таких хитрых иметь.
     
     
  • 6.159, Карабьян (?), 07:48, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Да хватит уже своей панацеей торговать. Прочитал древнюю статейку и возомнил себя
    > самым умным? ROP давным-давно придумали, чтобы таких хитрых иметь.

    Один про сишные дыры орет, второй про якобы панацею от них, называя при том почему-то словом, исторически означающим совсем иное (DAC)

     
  • 4.182, Аноним (182), 23:13, 26/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Задрали тупые программисты, и зачем же эти кретины делают ошибки?
     
  • 2.106, Аноним (105), 15:52, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего бы это не дало. Да ещё и не работало бы от слова совсем.
     

  • 1.22, Иваня (?), 08:38, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чёрт, в Android ещё не пофиксили https://android.googlesource.com/platform/external/freetype/+/refs/heads/maste
    😢
     
     
  • 2.24, Иваня (?), 08:43, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А нет, пофиксили и уже давно https://android.googlesource.com/platform/external/freetype/+/54abd22891bd51ef
     
     
  • 3.32, Аноним (1), 09:00, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А нет, пофиксили и уже давно https://android.googlesource.com/platform/external/freetype/+/54abd22891bd51ef

    Нет не пофиксили, там не в том месте проверка. См исходный патч https://git.savannah.gnu.org/cgit/freetype/freetype2.git/commit/?id=a3bab162b2
    Вероятно в 2014 без лишней огласки пытались устранить эту дыру, но добавили проверку размера не в то место.

     
     
  • 4.36, Аноним (36), 09:29, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да нет, пофиксили
     
  • 2.38, Аноним (36), 09:31, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А ничего, что большинство вендоров Android не обновляет?
     
     
  • 3.39, timur.davletshin (ok), 09:44, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Андроид давно стал самой перспективной для дыр платформой. Практически все китаефоны не получат обновлений после продажи, сосунги тоже весьма условно поддерживают около года или чуть больше. Топовые модели ещё иногда фиксы получают, ширпотреб нет. Другой совсем вопрос, что selinux и песочницы очень сильно урезают шансы фейлов из разряда "лбом в штангу со всего размаху".
     
     
  • 4.56, Аноним (56), 11:16, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В 10ом гугль сам обновляет блоки, которые не зависят от вендора. Наступает эра модульности андроида, потому все меньше кастома у того же Xiaomi в их MIUI остается. Скоро будут только нескучные обои.
     
     
  • 5.90, timur.davletshin (ok), 15:07, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие он там блоки и как обновляет? А то у меня десятка и ещё не получил обновки фритайпа.
     
  • 4.63, Аноним (63), 12:40, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Самсунги получают 2 глобальных обновления андроида и ещё год фиксов после этого
     
     
  • 5.83, Аноним (56), 14:41, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все современные вендоры должны делать минимум два глобальных обновления делать, такова политика гугля. Иначе заберет лицензию на гапсы.
     
     
  • 6.91, timur.davletshin (ok), 15:08, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все современные вендоры должны делать минимум два глобальных обновления делать, такова
    > политика гугля. Иначе заберет лицензию на гапсы.

    Сказки венского леса.

     
     
  • 7.102, Аноним (56), 15:34, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Google требует двухлетний цикл с двумя крупными обновлениями для смартфонов, которвые вышли с Android 10, иначе потеряешь лицензию на гапсы. Под это требование были сделаны Project Treble и Project Mainline. Какбы давно не новость.
     
  • 4.129, Kuromi (ok), 19:06, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Китаефоны получают обычно одно мажорное обновление ОС, с мелкими обновлениями и обновлениями безопасности обычно хуже, но так чтобы вообще без обновлений - это совсем дно. С "ретейловыми" девайсами обычно все зависит от производителя. Скажем Lenovo кидает пару мелких обнов и быстро забивает, может даже без мажорного апгрейда оставить, по опыту телефоны они сопровождают лучше чем планшеты, а Motorola, которая как бы подразделение Lenovo - очень даже активно делает обновления безопасности для своих устройств. Самсунг у меня с Андроид 8 получал обновления до 9 и 10.
     
  • 3.60, deb (?), 12:15, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Покупать телефон без LineageOS

    Что тут еще сказать.

     
  • 3.166, Аноним (166), 11:31, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    1. Андроидный ВебВью обновляется из плеймаркета вместе с хромом?
    2. Он таскает с собой свой собственный ФриТайп?
     
  • 2.43, Аноним (41), 10:01, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поэтому я не ставлю банковские клиенты на свой рутованый древний кастом. И AWFall обязательно.
     
     
  • 3.61, deb (?), 12:21, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Банковские зонды с рекламой и пуш уведомлениями о новых условиях епотеки ты хотел сказать?
    Зачем это вообще ставить если есть браузер?
     
     
  • 4.64, zzz (??), 12:46, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А это уже к Вашему банку вопросы - мне не шлют и даже всё работает без доступа к камере, контактам и смс
     
     
  • 5.87, deb (?), 14:51, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Держите в курсе.
     
  • 3.141, Аноним (139), 23:19, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И AWFall обязательно.

    Каким образом это поможет тебе уберечь твой смарт от данной уязвимости? Разве что на твоем девайсе FreeType не обновлялся после версии 2.6 - https://sourceforge.net/projects/freetype/files/freetype2/2.10.4/README/downlo

     

  • 1.42, Аноним (42), 10:00, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот поэтому я и отключаю внешние шрифты в браузере (browser.display.use_document_fonts). PDF и офисные документы особенно опасны в этом плане.
     
     
  • 2.76, пох. (?), 13:46, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И вместо ВСЕЙ модной-современной навигации - разглядываешь рядок одинаковых квадратиков? А ты, смотрю, остороооожный!

    (зачем делать навигацию дерьмошрифтами вместо обычных картинок, которые ТОЧНО ТАК ЖЕ (ибо и шрифт, ну кто бы мог подумать и было ли чем - тоже набор картинок) - ну потому что их в дизайнерском ПТУ так учили.)

    P.S. ну нет, не совсем так - конечно для открытия кнопки "profile" надо использовать не шрифт, а картику 16x16px с gravatar. Во-первых так моднявее, во-вторых может еще какие собиратели бигдейты не в курсе интимных подробностей жизни посетителя твоего сайта.

     
     
  • 3.81, Дон Ягон (ok), 14:32, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  И вместо ВСЕЙ модной-современной навигации - разглядываешь рядок одинаковых квадратиков? А ты, смотрю, остороооожный!

    Я тоже режу сторонние шрифты (umatrix'ом/ublock'ом). И, честно говоря, не наблюдал квадратиков на посещаемых мной сайтах.

    Для понимания, можно пример сайта, который у меня, вероятно, сломается?

     
     
  • 4.82, Аноним (82), 14:34, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gsmarena.com навигация исчезает полностью
     
     
  • 5.93, Дон Ягон (ok), 15:10, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждаю, спасибо.
     
  • 3.177, Аноним (42), 22:52, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да хрен с ними со шрифтами - в них иконки специально пихают, чтобы вынудить нас позволить себя ломать полностью. Хорошо что хоть по тексту URL всё нужное видно. А на GitLabе я и так помню что где.
     
  • 2.80, Аноним (82), 14:27, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    3/4 популярных сайтов ломаются полностью без кастомных шрифтов, ибо навигация сделана через них.

    Удачи.

    // b.

     
     
  • 3.131, пох. (?), 19:47, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 3/4 популярных сайтов ломаются полностью без кастомных шрифтов, ибо навигация сделана через
    > них.

    ну не полностью, квадратики-то останутся. Можешь их наугад тыкать, так даже интереснее ;-)

     
  • 3.137, онанимуз (?), 21:48, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    даже плагины umatrix и ublock квадратики показывают)
    благо есть всплывающие подсказки при наведкнии курсора.
     
  • 3.149, fuggy (ok), 01:35, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Иконочные шрифты должны уже давно умереть, как вёрстка таблицами. SVG иконки и удобнее, и весят меньше, и перекрасить легко.
    Да просто через userstyles подключаешь свой проверенный локальный шрифт или используешь unicode emoji вместо (чего хипстеры там любят использовать?) font awersome. А остальные запрещаешь через ublock и настройки браузера, и к тебе больше ни какие левые шрифты не загрузятся. Будет быстрее — не надо ждать ответа от CDN. В большинстве случаев даже по квадратикам можно понять кнопки. Ещё бы они писали подсказки и проблем бы не было, для тех кому совсем не нравятся иконочные шрифты.
     
     
  • 4.183, Аноним (182), 23:18, 26/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Круче PostScript иконки, чем SVG.
     
  • 2.121, timur.davletshin (ok), 17:55, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    pdf в браузере не опаснее обычного веба, а не в браузере у многих смотрелкам хотелки apparmor'ом порезаны. В Debian и Ubuntu например.
     
     
  • 3.142, Аноним (139), 23:22, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > pdf в браузере не опаснее обычного веба

    Да, как же быстро время идет... Люди уже и о SHAttered стали забывать - https://shattered.io

     
     
  • 4.154, timur.davletshin (ok), 05:05, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какое отношение коллизия имеет к безопасности? Ляпнул вообще не в ту корзину.
     
     
  • 5.160, Аноним (139), 09:39, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Какое отношение коллизия имеет к безопасности?

    Как рендерятся в браузере шрифты встроенные в PDF?

     
     
  • 6.161, timur.davletshin (ok), 10:19, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поглифно рисуются при помощи https://github.com/mozilla/pdf.js/blob/master/src/core/font_renderer.js

    С учётом того, что делается это в песочнице, про выход из которой нет сообщений, то твои инсинуации напрасны. Ещё вопросы?

    Ды, ты так и не ответил, какое отношение твоя ссылка про коллизии в SHA1 имеет к шрифтам и PDF...

     

  • 1.45, Аноним (46), 10:11, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    - хей, бро, тебя как взламали?
    - через шрифты...
     
  • 1.48, Moomintroll (ok), 10:23, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уже выпустили 2.10.4 с фиксом
     
     
  • 2.143, Аноним (139), 23:26, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И? В большинстве реп самых популярных дистров обновлений все еще нет - https://repology.org/project/freetype/versions
     

  • 1.55, Zenitur (ok), 11:16, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я думал, что когда изобретали TTF, никаких PNG не было. Впервые TTF я увидел в Windows 3.1, а PNG - в Windows 2000.
     
  • 1.62, TormoZilla (?), 12:23, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как отключить поддержку шрифтов?
     
     
  • 2.145, Аноним (139), 23:43, 20/10/2020 Скрыто модератором
  • +2 +/
     

  • 1.78, Аноним (23), 14:11, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поэтому, бандленные либы -- зло, передаю привет пользователям void linux (или кто там статические экзешники делал).
     
  • 1.84, Аноним (84), 14:47, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему это в мининовостях, если затрагивает вообще всех, независимо от браузера и того, используется ли в браузере системный фритайп?
     
     
  • 2.97, Аноним (104), 15:22, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не всех, а только тех кто разрешает исполнятся изменяемому коду. Используете нормальные дистрибутивы.
     
     
  • 3.144, Аноним (144), 23:33, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это вы про какие?
     
     
  • 4.146, Аноним (139), 23:46, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    См. дистры в репах которых уже есть FreeType 2.10.4 - https://repology.org/project/freetype/versions
     
  • 3.150, Карабьян (?), 02:40, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не всех, а только тех кто разрешает исполнятся изменяемому коду. Используете нормальные
    > дистрибутивы.

    Это вы про нетбсд опять? Вы бы лучше написали бы, как в обычном линуксе все это настроить

     

  • 1.96, Аноним (104), 15:20, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Проблема вызвана переполнением буфера
    > уязвимость может быть эксплуатирована в Chrome/Chromium и Firefox

    Все что исполняется никогда не должно изменятся, а все что изменяется никогда не должно исполнятся!!! Соблюдение этого правила дает гарантию защиты от переполнения буфера.

    JIT ненужен, все программы которые используют JIT, включая бровзеры необходимо выкинуть с вашей системы.

     
     
  • 2.109, Аноним (84), 16:08, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона. Поэтому идея W^X, будучи весьма здравой, все же нуждается в своем дальнейшем развитии. (wxallowed пока выглядит как грубейший workaround).
     
     
  • 3.114, Аноним (114), 16:37, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    JIT, и все программы которые эту технологию используют не нужны, даже java, fire... большой текст свёрнут, показать
     
     
  • 4.116, Аноним (84), 16:47, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона.
     
     
  • 5.122, Аноним (123), 17:59, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    1. JIT нужен ТОЛЬКО для того, чтобы обеспечить возможность эксплуатации уязвимостей переполнения буфера.

    2. Чтобы сохранять уязвимость ваших систем вам пытаются навязать ошибочное мнение, что без JIT на надцатиядерниках с несколькими гигагерцами у вас будут тормоза. И код для вас специально пишут так, чтобы он тормозил и возникала ложная необходимость в JIT.

     
     
  • 6.125, Аноним (84), 18:33, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    3. JIT придуман инопланетянами для установления контроля над человечеством посредством эксплуатации важных человеческих систем.

    4. Эксплуатация будет вестись непосредственно из планеты Нибиру.

     
  • 5.151, Карабьян (?), 02:44, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона.

    Сколько разновидностей джаваскрипт машин осталось? Единый байт код на все не поможет?

     

  • 1.124, Kuromi (ok), 18:14, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Firefox также использует FreeType, а последнее изменение файла, в котором присутствует уязвимость, было произведено в мае."

    Tue, 20 Oct 2020 14:56:07 +0300 - уже поправили походу, обновляйтесь до ночнушки и будет вам радость.

    А вообще - gfx.downloadable_fonts.enabled переключите

     
     
  • 2.173, Аноним (173), 12:01, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В ESR ещё не пофиксили, даже в 78.4
     
     
  • 3.174, Kuromi (ok), 17:01, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В ESR ещё не пофиксили, даже в 78.4

    Честно говоря не понимаю почему. Смотрю по багам закрытым в последних билдах нчонушки (после релиза 82) - там идет вал того что отложили до перехода 83 из ночнушки в бету. Сейчас, в начале цикла там вообще все что угодно можно делать.


    Поправка - вчера пофиксили, https://hg.mozilla.org/mozilla-central/log/tip/modules/freetype2/src/sfnt/pngs

    Bug 1672223 - [sfnt] Fix heap buffer overflow.

     

  • 1.130, Аноним (130), 19:43, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Tor подвержен уязвимости?
     
     
  • 2.133, annual slayer (?), 20:10, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    только если NoScript по-умолчанию UnTrusted для всех (я не помню какие там дефолтные настройки в тор-браузере)
     
  • 2.135, анон111 (?), 21:05, 20/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gfx.downloadable_fonts.enabled;false
    gfx.downloadable_fonts.woff2.enabled;false
    browser.display.use_document_fonts  set to 0

    настройки для анонов с торбраузером пока не выпустят обнову или нет возможности обновить.

     

  • 1.132, annual slayer (?), 20:09, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как всегда, NoScript рулит
     
  • 1.147, Аноним (144), 23:50, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какие версии FreeType уязвимы?
     
     
  • 2.156, Аноним (139), 07:00, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие версии FreeType уязвимы?

    Конкретно к этому CVE уязвимы версии после 2.6. Ранние версии имеют свои CVE

     

  • 1.148, макароновирус (?), 00:05, 21/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В убунте уже.

    freetype (2.6.1-0.1ubuntu2.5) xenial-security; urgency=medium

      * SECURITY UPDATE: heap buffer overflow via integer truncation in
        Load_SBit_Png
        - debian/patches-freetype/CVE-2020-15999.patch: Update
          src/sfnt/pngshim.c to test and reject invalid bitmap size earlier in
          Load_SBit_Png. Based on upstream patch.
        - CVE-2020-15999

    -- Alex Murray <alex.murray@canonical.com>  Tue, 20 Oct 2020 12:53:06 +1030

     
     
  • 2.157, Аноним (139), 07:05, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В убунте уже.

    Да, они молодцы - http://changelogs.ubuntu.com/changelogs/pool/main/f/freetype/freetype_2.10.2+ ; А в Debian (ни в buster, ни в sid) все еще нет патчей - https://metadata.ftp-master.debian.org/changelogs//main/f/freetype/freetype_2.

     
     
  • 3.162, timur.davletshin (ok), 10:23, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> В убунте уже.
    > Да, они молодцы - http://changelogs.ubuntu.com/changelogs/pool/main/f/freetype/freetype_2.10.2+
    > ; А в Debian (ни в buster, ни в sid) все
    > еще нет патчей - https://metadata.ftp-master.debian.org/changelogs//main/f/freetype/freetype_2.

    В Дебиан оно банально не работает. ХЗ, почему, но у меня тот шрифт не вызывает никаких описанных в отчёте проблем.

     
     
  • 4.171, Аноним (139), 11:15, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В Дебиан оно банально не работает.

    Не знаю как у тебя, но Дебиан вчера накатил security патч в авральном режиме (но чейнджлога все еще нет) https://packages.debian.org/stable/source/freetype

     
     
  • 5.172, timur.davletshin (ok), 11:47, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, прилетел, но тесткейс у меня и до этого не работал и после него.
     

  • 1.153, Аноним (153), 04:54, 21/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Говорила мама не смотри на всяких левых сайтах порношрифты.
     
     
  • 2.158, Аноним (139), 07:08, 21/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > не смотри на всяких левых сайтах порношрифты.

    MyFonts, Open Font Library, вот это все

     

  • 1.175, Kuromi (ok), 17:08, 22/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Firefox Nightly уже прилетел фикс, Bug 1672223 - [sfnt] Fix heap buffer overflow.
     
     
  • 2.178, Аноним (42), 22:57, 22/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зато в дропнутую ведроверсию он не прилетит никогда. Желаю корпорацие Мозилла обанкротиться поскорее. Тогда с с мозилловой версией Firefox конкурировать будет не надо, авось кто-нибудь и возьмётся.
     
     
  • 3.179, Kuromi (ok), 23:02, 23/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато в дропнутую ведроверсию он не прилетит никогда. Желаю корпорацие Мозилла обанкротиться
    > поскорее. Тогда с с мозилловой версией Firefox конкурировать будет не надо,
    > авось кто-нибудь и возьмётся.

    Не знаю что вы так цепляетесь за нее. Да, конечно переход на новую версию прошел не очень гладко и в очередной раз пользователи потеряли тонну аддонов (мозилла как будто не замечает, что с каждым таким "переписыванием" аддонов становится все меньше), но вцелом - нормально.

     

  • 1.176, Аноним (176), 17:59, 22/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я открыл этот шрифт и линукс завис намертво
     
     
  • 2.181, Аноним (42), 21:17, 25/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А брат жив?
     

  • 1.185, ыы (?), 16:57, 31/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Запрошенный font.ttf не является файлом шрифтов...
    Упс...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру