Good news everyone! Чтение дампа системной памяти через JS

Народ на ушах стоит. Кто еще не читал, рекомендую ознакомиться:

Там же ссылки на оф. источники с пруф-оф-консепт на джаваскрипте. Кто что думает? 😊 Какая ж дичь всплывает через 20 лет процессоро-строения…

1 симпатия

Обсуждение на англоязычных источниках:

1 симпатия

Думаю обновиться везде где вышли патчи. Например сегодня прилетело обновление FF. Оно усложнит исопльзование уязвимости, но не защитит полностью от нее.

Опасность проистекает из 3-d party кода. Т.е. для виртуальных хостеров типа амазона и digital ocean, это код в виртуальных машинах. Для пользователей - это js в браузере. Поэтому никаких заходов на “серые” сайты, а-ля .onion и всякие пиратки.

Последствия явления мы ощутим в будущем. Это как появление wannacry через 2 месяца после публикации “vault 7” https://wikileaks.org/ciav7p1/. Не все машины обновят ПО, а умельцы понаделают программ для эксплуатации уязвимости. Новые армии ботов, утекших логин/паролей от почты.

Хорошее время изменить пароли, если, вдруг вы использовали пароль от почты на другом сайте. И включить двухфакторную авторизацию.

Сервер, на котором бежит этот форум, не содержит дополнительного ПО, кроме того которое необходимо для работы форума. Из дополнительных js скриптов только гугл аналитика. Операционка свежая, обновлюсь 9-10 явнваря когда выйдет патч убунты. Так что мы прикрыты максимально возможно.

3 симпатии