Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в API IndexedDB, позволяющая идентифицировать пользователей Firefox и Tor Browser"	+/–
Сообщение от opennews (??), 23-Апр-26, 15:19
В браузерном движке Gecko выявлена уязвимость (CVE-2026-6770), позволяющая  формировать уникальные идентификаторы для отслеживания открытия из одного браузера разных сайтов. Проблема проявляется во всех браузерах на основе Firefox, включая Tor Browser, и работает даже в режиме приватного просмотра. Идентификаторы действуют в рамках текущего процесса браузера и сбрасываются после перезапуска браузера. Уязвимость устранена в выпусках Firefox 150/140.10.0 и Tor Browser 15.0.10... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65272
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Апр-26, 15:19	–1 +/–
>Уязвимость устранена в выпусках... Это хорошо. Просто иногда удивляюсь, как некоторые специально не обновляют браузер/ОС, в современном интернете это недопустимо. Это в начале 00-х ещё можно было год сидеть на одной версии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #9, #49, #61

2. Сообщение от вах (ok), 23-Апр-26, 15:20	+/–
Для Firefox это не предел! "Релиз Firefox 150 с устранением 359 уязвимостей" (с) https://www.opennet.ru/opennews/art.shtml?num=65260
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Аноним (1), 23-Апр-26, 15:25	+1 +/–
Так в первом же абзаце написано, что уязвимость устранена в выпусках Firefox 150/140.10
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13, #14

4. Сообщение от Bob (??), 23-Апр-26, 15:26	+/–
>действуют в рамках текущего процесса браузера и сбрасываются после перезапуска браузера даже с контейнерными вкладками?
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 23-Апр-26, 15:28	+17 +/–
Если бы браузер так и оставался просмотрщиком документов, а не средой для запуска непроверенного кода, написанного непонятно кем и зачем, то можно было бы спокойно на одной версии сидеть хоть 5 лет. Когда ты в последний раз парился об обновлении смотрелки PDF? Вот именно. Вся эта игра в кошки-мышки с попытками не допустить побега троянов из песочницы порядком задостала уже, на самом деле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #7, #24, #43, #64

6. Сообщение от Аноним (6), 23-Апр-26, 15:38	+10 +/–
это документы всегда исполняли произвольный код, ещё с 90х
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #36

7. Сообщение от Фняк (?), 23-Апр-26, 15:45	+13 +/–
> Когда ты в последний раз парился об обновлении смотрелки PDF Ахахах, вот уж где дыр нашли чуть меньше чем во флэше, так это в просмотрщиках pdf
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

8. Сообщение от Аноним (8), 23-Апр-26, 15:50	+/–
Так не надо неделями держать браузер запущенным: попользовался - закрыл . Написано же при перезапуске сбрасывается .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11

9. Сообщение от Аноним (9), 23-Апр-26, 15:59	+/–
> Просто иногда удивляюсь, как некоторые специально не обновляют браузер Обновление браузера - это канал утечки для идентификации юзера. Цепочка версий обновления - и есть тот идентификатор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #15

10. Сообщение от Смузихлеб забывший пароль (?), 23-Апр-26, 16:02	+1 +/–
> включая Tor Browser, и работает даже в режиме приватного просмотра ви таки будете смеяться, но... )
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 23-Апр-26, 16:08	+3 +/–
И мобилу на ночь выключать! А то не известно сколько там в темноте зубных врачей!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #18, #32, #39

13. Сообщение от Аноним (13), 23-Апр-26, 16:18	+1 +/–
А сколько уязвимостей оставили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

14. Сообщение от Аноним (14), 23-Апр-26, 16:23	–1 +/–
А вы подумали, сколько они были открыты?! Прежде чем они были закрыты!!! Компенсацию за это  будут выплачивать? Нет. А в Chrome всё нормально!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #23, #33

15. Сообщение от Аноним (1), 23-Апр-26, 16:27	–2 +/–
Так с 4.0 уже можно обновляться ? https://opennet.ru/29978-firefox
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #34

18. Сообщение от Аноним (18), 23-Апр-26, 17:04	+1 +/–
Это будет идеальный вариант
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

19. Сообщение от Аноним (19), 23-Апр-26, 17:11	+2 +/–
Разве это проблема? Грамотные люди еще много лет назад советовали: browser.privatebrowsing.autostart    true dom.indexedDB.privateBrowsing.enabled    false То, что опеннет, после стольких лет толерантности к анонимам, теперь разрешает комментировать только с включенными скриптами и куками (с чего бы бы это вдруг?) - вот это *действительно* проблема. Теперь опеннет ждет судьба ЛОРа. А жаль!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #37, #46, #54, #58, #59

21. Сообщение от Аноним (6), 23-Апр-26, 17:26	+/–
Зачем она тебе вообще? user_pref("dom.indexedDB.enabled", false);
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от aname (ok), 23-Апр-26, 17:33	+/–
А сколько надо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

23. Сообщение от Аноним (1), 23-Апр-26, 17:40	+3 +/–
Chrome в этом плане не сильно отличается от Firefox, в каждом релизе рассказывают сколько закрыли уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

24. Сообщение от Аноним (1), 23-Апр-26, 17:49	+/–
>порядком задостала уже, на самом деле А какие есть варианты, сделать браузер такой, чтобы раз и навсегда оставался актуальным и безопасным и работал на всех ОС ? Такого не будет. Хотя глобально сейчас и так всего три браузера Firefox, Chrome (разные "скины" на chromium не в счёт) и Safari. Раньше были IE и Opera на своих движках но с быстрым развитием интернета и требованиями безопасности они уже не успели. https://www.google.com/intl/ru/chrome/other-platforms/ https://www.firefox.com/ru/download/all/desktop-developer/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

25. Сообщение от Аноним (25), 23-Апр-26, 17:52	+1 +/–
Сколько скажут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #41

27. Сообщение от Аноним (25), 23-Апр-26, 17:54	+/–
Случайная случайность.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (29), 23-Апр-26, 18:23	+/–
>> Когда ты в последний раз парился об обновлении смотрелки PDF > Ахахах, вот уж где дыр нашли чуть меньше чем во флэше, так это в просмотрщиках pdf Да персонаж просто не в курсе, что в PDF может быть и JavaScript, и даже видосы с аудио.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #31

31. Сообщение от Аноним (6), 23-Апр-26, 18:55	+/–
PostScript сам по себе почище жс -- не было ни дня, чтобы в нём не нашли очередное исполнение произвольного кода. Человек, утверждающий, что программы просмотра PDF обновлять не нужно, совершенно безумен. В самом деле, это всегда был основной канал распространения малвари после адоб флеш.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #57, #60

32. Сообщение от Аноним (8), 23-Апр-26, 18:57	+/–
С учётом количества шпионов - мобилу приговорить к хард резету .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

33. Сообщение от Аноним (8), 23-Апр-26, 19:02	+/–
А в хроме на неопределённый срок решили вознаграждения за уязвимости не выплачивать - даже у гугла денег не хватит .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #35

34. Сообщение от Аноним (9), 23-Апр-26, 19:11	+/–
У меня есть сертификат Мозилы за скачивание FF 3.0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

35. Сообщение от Аноним (1), 23-Апр-26, 19:12	+/–
>не выплачивать Почему? https://bughunters.google.com https://opennet.ru/64978-google
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #50

36. Сообщение от Аноним (36), 23-Апр-26, 19:28	+/–
Не документы исполняли, а читалка. Причем некоторые читалки (на Линуксе) эту багофичу не поддерживали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #45

37. Сообщение от Аноним (37), 23-Апр-26, 19:32	+/–
> browser.privatebrowsing.autostart true Не очень удобно то, что в приватном режиме из адресной строки убирается возможность очистить куки текущего сайта. Например, если нужно это сделать, не прерывая текущий сеанс и не теряя открытые вкладки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

39. Сообщение от Аноним (36), 23-Апр-26, 19:34	–1 +/–
Отключение мобилы в некоторых странах приводит к тому, что утром эта мобила сразу не включается, а только через несколько суток. А то, ведь, не известно сколько террористов прячется среди мирного населения и мечтает свергнуть узурпатора с трона.. Или это другое, xep-майор?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #42

41. Сообщение от aname (ok), 23-Апр-26, 19:39	+/–
> Сколько скажут. Это про те, которые не должны найти сразу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

42. Сообщение от Аноним (42), 23-Апр-26, 19:46	+/–
Ооо, а че так можно было? Надо попробовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #51

43. Сообщение от Аноним (43), 23-Апр-26, 19:54	+/–
>последний раз парился об обновлении смотрелки в этой жизни примерно никогда, ведь обновление смотрели приходит из репы вместе со всем остальным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

45. Сообщение от Аноним (6), 23-Апр-26, 20:22	+/–
В случае с pdf, других вариантов у тебя нет -- он интерпретируемый и позволяет слишком много. И Ghostscript, у тебя установленный, примерно то же самое, что Adobe Flash. А так,  Netscape Navigator тоже распарсить html не мог без исполнения произвольного кода, а ведь, казалось бы, "просто текст".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #56

46. Сообщение от mma (?), 23-Апр-26, 20:28	+/–
Breaks Extensions: Major privacy and utility extensions, including uBlock Origin (version 1.14.0+), uMatrix, and sometimes NoScript, require IndexedDB to store filter lists and settings.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #47

47. Сообщение от Аноним (6), 23-Апр-26, 21:06	+/–
Не могу подтвердить, не знаю, где ты это взял. Твоя нейронка сосёт? Может быть, опционально использует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от Аноним83 (?), 23-Апр-26, 21:22	+/–
А зачем? Я вот последний раз обновлял ОС и систему 3 месяца назад, у меня такой вот аптайм. Ещё есть один комп - там я вообще ничего обновлять не буду, ибо риск сломать сильно выше рыска чем возмоность других последствий, а чинить там только через третьих людей. И в данном случае - ну сможешь ты трекать что я хожу на полтора твоих сайта, и что дальше? У меня IPv4 статический, по нему проще оттрекать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

50. Сообщение от Аноним (8), 23-Апр-26, 21:57	+/–
Напомню что сейчас 26 год , а не 25 . Гуглите :) по "Anthropic" .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #62

51. Сообщение от Аноним (51), 23-Апр-26, 22:31	+1 +/–
Это он "охлаждение" в смысле имеет ввиду. "«Здравствуйте! Информируем вас, что после возвращения в Россию доступ к мобильному интернету будет ограничен на 24 часа» - такие смски стали получать россияне, приехавшие из-за границы. Родная мобилка превращается чуть ли не в кирпич: позвонить можно, а воспользоваться мессенджерами и приложениями - никак. Такси не заказать, билет на электричку онлайн не купить. Даже смс не отправить (и не получить). Но «охлаждают» не только интуристов. Ведущий аналитик компании «Мобайл Ресерч груп» Эльдар Муртазин объяснил, что мобильный интернет на сутки заблокируют еще и тем людям, у кого SIM-карта в течение 72 часов не была зарегистрирована в сотовых сетях на территории России. Проще говоря, даже если вы никуда не выезжали, но телефон был выключен минимум трое суток." Добро пожаловать в мордор или вход воспрещён.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #55

53. Сообщение от Аноним (53), 23-Апр-26, 22:36	+1 +/–
1. Не уязвимость, а бэкдор 2. Даже не читая новости понял, что дела в uuidах. 3. TorBrowser не затронут, так как его полагается использовать с отключённым JS, а кто юзает с включённым - тот ССЗБ. Апстрим защиты от фингерпринтинга от проекта Тор - он был не для проекта Tor, а для обычного использования обычного Firefox.
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (54), 23-Апр-26, 22:40	+/–
Куки-то чем не угодили? Они же через стандартизованный интерфейс, работают стандартизованным образом, полностью под твоим контролем. Хотя не исключаю, что аналог данного бэкдора может быть и для кук, без всякого JS. В принципе даже на чистый CSS этот бэкдор можно портировать, где-нибудь сгенерить uuid, и в зависимости от него делать рендеринг, всё для параллелизма, всё для декорреляции доступа в тредах, чтобы на раст реализация была попараллельнее!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

55. Сообщение от Аноним (6), 23-Апр-26, 22:47	+/–
ну, если это работает, знаешь ли это более адекватно чем простые блокировки интернета под этим предлогом -- имхо, навигация +- 100 метров тупо по вышкам идёт, а не по интернету. и вообще-то терроризм соседей утомил, тебе, видимо, не прилетает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

56. Сообщение от Аноним (56), 23-Апр-26, 22:47	+/–
Да, PostScript исполняемый и при его реализации можно накосячить. Но тем не менее, в рамках исполнения он позволяет манипулировать графикой на холсте и только. А вот JavaScript, отдельно запиханный в спецификацию PDF как раз и позволяет исполнение произвольного кода и именно через него и эксплуатируется 99% дыр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

57. Сообщение от Аноним (56), 23-Апр-26, 22:50	–1 +/–
Давай списочек из хотя бы десятка уязвимостей конкретно в PostScript, которые возможно проэксплуатировать без JS и доступа в сеть. Или балабол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

58. Сообщение от Аноним (56), 23-Апр-26, 22:55	+/–
Приватный режим бесполезен, включать его по умолчанию при старте — глупость. Сайты замечательно трекают, ставят куки, большей анонимности он не даёт. «Приватный» он только для пользователя, у которого отваливается возможность чистить хистори и куки. На самом деле, там другие настройки есть, чтобы кэш, куки и хистори очищались при выходе из браузера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

59. Сообщение от Аноним (59), 23-Апр-26, 23:11	+/–
Ну значит на сайты для скота тебя не пустят. После чего босс тебя уволит. А потом придёт дядя полицай и накажет за неуплату дани.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

60. Сообщение от Аноним (60), 23-Апр-26, 23:42	+/–
PDF - это не постскрипт, а его ограниченное подмножество. Но большенство опенсорсных рендерилок почему-то юзают ghostscript, вместо mupdf, который тоже бесплатен. Потому что вредители.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

61. Сообщение от Аноним (61), 23-Апр-26, 23:44    Скрыто ботом-модератором	+/–
Исполняем волю местного 15балльного клоуна, рассказывающего нам, что можно посидеть и на старых ядрах, и на старом софте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

62. Сообщение от Аноним (1), 23-Апр-26, 23:47	+/–
И что ? Ничего Гугл не отменяли, в каждой новости про Chrome внизу отчёт о выплатах: https://opennet.ru/65166-chrome
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

63. Сообщение от Аноним (63), 24-Апр-26, 00:35	+/–
А скрипты отключены и тоже могет идентифицировать да отслеживать?
Ответить | Правка | Наверх | Cообщить модератору

64. Сообщение от Аноним (64), 24-Апр-26, 01:18	+/–
> Когда ты в последний раз парился об обновлении смотрелки PDF? С пдф ты очень плохой пример привел, а вообще что угодно может специально сформированный файл открыть и сделать что-то плохое, например в WinRAR не так давно нашли ошибку, которая выполняла код при открытии специально сформированного zip файла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема