Chrome и Firefox более года сливали данные пользователей Facebook

Олег Иванов 01 Июня 2018 - 09:55

Домашние пользователи

Google

Mozilla

Системы защиты от утечек конфиденциальной информации (DLP)

...

Более года браузеры Mozilla Firefox и Google Chrome раскрывали данные об именах пользователей Facebook, а также фотографии профилей и лайки, если те посещали сайт, на котором был установлен специальный скрипт. К такому выводу пришли исследователи в области безопасности.

Такая катастрофическая ошибка была спровоцирована так называемой уязвимостью сторонних каналов (side-channel vulnerability), которая возникла благодаря реализации браузерами новых стандартов для CSS введенных в 2016 году.

Одна из новых возможностей, получившая имя «mix-blend-mode», приводила к утечке размещенного на Facebook контента на сторонние сайты, которые содержали iframe и соответствующий код для сбора таких данных.

Как мы помним, «Правило ограничения домена» (Same Origin Policy, Принцип одинакового источника) запрещает доступ одного домена к содержимому, размещенному на другом домене. Именно потому, что данная брешь позволяла обойти эту политику, она считается крайне серьезной.

Проблема утечки была обнаружена двумя отдельными группами исследователей. Chrome устранил ее в версии 63, а две недели назад то же самое сделала Mozilla в Firefox 60.

Несмотря на то, что конкретно эта уязвимость более не угрожает пользователям, обновившим свои браузеры до актуальных версий, специалисты крайне озабочены все более мощными графическими возможностями, которые постепенно добавляют в HTML5 и CSS.

Эксперты считают, что эти возможности могут привести к появлению новых похожих проблем безопасности в будущем.

«CSS, HTML и JavaScript обладают многими функциями, которые могут стать проблемой для безопасности», — говорит эксперт Дарио Вейссер.

Специалист разработал PoC-код, который использовал iframe и социальный плагин Facebook для извлечения информации о профиле Facebook (имена, фото профиля, лайки). Демонстрацию работы proof-of-concept можно наблюдать ниже:

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 08:42

Linux Домашние пользователи

Разработчик пропатчил Wine, чтобы Photoshop 2021 и 2025 заработали на Linux

В мире Linux случилось то, во что многие дизайнеры и ретушёры уже почти перестали верить: современный Photoshop всё-таки удалось запустить. Не старые версии с костылями и танцами с бубном, а вполне себе свежие релизы — вплоть до Photoshop 2025. И нет, Adobe внезапно не полюбила Linux. Всё сделал один упрямый и очень внимательный разработчик.

Проблема, как известно, в Creative Cloud. Начиная с версии 2021, установщики Photoshop жёстко завязаны на Windows-компоненты, которые Wine «из коробки» просто не переваривает.

Речь идёт прежде всего о MSHTML и MSXML3 — системных модулях Windows, отвечающих за HTML/JS-интерфейс установщика и разбор XML-конфигов. В итоге установка на Linux обрывалась ещё до старта, и на этом всё обычно заканчивалось.

Но разработчик под ником PhialsBasement решил копнуть глубже — и нашёл, где именно всё ломается. Он подготовил набор патчей для Wine, которые аккуратно обходят проблемы строгого XML-парсинга (через CDATA), чинят обработку ID внутри Wine и главное — заставляют окружение вести себя так, как будто это Internet Explorer 9.

Именно на такое поведение и рассчитывают установщики Adobe времён Creative Cloud. В результате интерфейс инсталлятора начинает нормально работать — без падений, белых экранов и странных ошибок.

И да, это не просто теория. По словам автора, Photoshop 2021 и 2025 после установки работают «как по маслу» — плавно и без видимых проблем. Патчи даже пытались протолкнуть в репозиторий Proton от Valve, но там логично предложили сначала идти в WineHQ — всё-таки история не совсем про игры. Сам разработчик, правда, посетовал, что апстрим в Wine движется медленно, а Valve обычно работает куда оперативнее.

Пока что это, скорее, задел на будущее. Чтобы повторить фокус у себя, придётся собрать Wine вручную с патчами из GitHub PhialsBasement. Не самый дружелюбный путь для массового пользователя, но сам факт уже важен. Если эти изменения в итоге попадут в основной Wine, Linux может стать куда более привлекательным для профессионалов, которые годами держались за Windows и macOS исключительно ради Adobe.

А если возиться с патчами не хочется — виртуальные машины по-прежнему никто не отменял. Но впервые за долгое время кажется, что настоящая совместимость Adobe CC и Linux — это уже не фантазия, а вопрос времени.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »