forum.opennet.ru

"Уязвимость в uBlock Origin, приводящая к краху или исчерпанию ресурсов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в uBlock Origin, приводящая к краху или исчерпани..."	+/–
Сообщение от n00by (ok), 17-Июл-21, 12:50
> Особенно, когда рекурсия не в твоем коде, а, как в данном случае, > скрыта внутри regexp. diff --git a/src/js/document-blocked.js b/src/js/document-blocked.js index 08b2fd732972..b0034ef3ae87 100644 --- a/src/js/document-blocked.js +++ b/src/js/document-blocked.js @@ -144,7 +144,9 @@ uDom.nodeFromId('why').textContent = details.fs; return s; }; - const renderParams = function(parentNode, rawURL) { + // https://github.com/uBlockOrigin/uBlock-issues/issues/1649 + // Limit recursion. + const renderParams = function(parentNode, rawURL, depth = 0) { const a = document.createElement('a'); a.href = rawURL; if ( a.search.length === 0 ) { return false; } @@ -165,9 +167,9 @@ uDom.nodeFromId('why').textContent = details.fs; const name = safeDecodeURIComponent(param.slice(0, pos)); const value = safeDecodeURIComponent(param.slice(pos + 1)); const li = liFromParam(name, value); - if ( reURL.test(value) ) { + if ( depth < 2 && reURL.test(value) ) { const ul = document.createElement('ul'); - renderParams(ul, value); + renderParams(ul, value, depth + 1); li.appendChild(ul); } parentNode.appendChild(li);
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в uBlock Origin, приводящая к краху или исчерпанию ресурсов, opennews, 16-Июл-21, 21:36 [смотреть все]

Уязвимости на уязвимости, уязвимостью погоняет Даже я стал уязвим Если раньше , Аноним, 16-Июл-21, 21:36 (1) //
- Дружище ходить к психологу в момент кризиса - не стыдно , Аноним, 17-Июл-21, 13:11 (73) //
  - Но дорого, Аноним, 17-Июл-21, 14:31 (88) //
    - И бессмысленно , Урри, 17-Июл-21, 18:24 (109)
      - Судя по твоим предыдущим комментариям, тебя стоит посадить в псих диспансер Кон, Аноним, 18-Июл-21, 11:45 (138)
  - А мы тут тогда зачем , нах.., 17-Июл-21, 15:09 (89)
Молодцы Уделали Смогли Серьезно, очень круто Надеюсь им дадут премии , Аноним, 16-Июл-21, 21:41 (2)
В 951 Matrix, форке uMatrix от проекта Pale Moon, уязвимость устранена в выпу, Kuromi, 16-Июл-21, 21:42 (3) //
- для этого надо уметь кодить, это не про аудиторию опеннета , пох., 16-Июл-21, 22:53 (16) //
  - ты первый в этом списке , Тинус Лорвальдс, 17-Июл-21, 00:47 (29) //
    - Ты второй, я третий Четвёртый ответит снизу , Аноним, 17-Июл-21, 01:07 (31)
      - Звали , Аноним, 17-Июл-21, 03:21 (39)
        
        Не Спи дальше , Аноним, 19-Июл-21, 11:08 (165)
    - Да в повершел то поди умеет , Другой аноним, 17-Июл-21, 13:33 (78)
      - вот, кстати, не угадал, них я ctrl-c ctrl-v со стека не считается Посоветуйт, пох., 17-Июл-21, 16:45 (97)
        
        Bertram Adam PowerShell for Sysadmins может не читал но а , Мамкин Хакер, 17-Июл-21, 17:32 (104)
        
        keeps crashing my Kindle every time - хорошая книжка, надо брать - , пох., 17-Июл-21, 19:32 (119)
        
        Книгу снаружи и раньше протирал дезин салфеткой, а сейчас еще 3-4 недели вылежи, Мамкин Хакер, 19-Июл-21, 19:53 (172)
- Никто не мешает его форкнуть, это же СПО , Аноним, 17-Июл-21, 00:24 (25) //
  - Угу можо самому тоже мотор в машине перебрать, сантехнику дома отремонтироват, OpenEcho, 17-Июл-21, 12:56 (70) //
    - Правильной дорогой идёте товарищ стоп а делать детей вы тоже кому то делегиру, Аноним, 17-Июл-21, 13:57 (84)
      - Дети не нужны, только ресурсы сьедают , нах.., 17-Июл-21, 15:11 (90)
        
        Это смотря как воспитывать, тогда отдача от вложенных ресурсов может быть значит, OpenEcho, 20-Июл-21, 14:05 (180)
- В uBlock есть продвинутый режим, который покрывает немалую часть возможностей uM, Аноним, 17-Июл-21, 11:10 (54) //
  - То есть, я либо блокирую все 3rd party скрипты, либо все разрешаю А как с одног, BSD_Cucks_BTFO, 17-Июл-21, 11:51 (59) //
    - нет, те же белые черные списки через ublock origin никак, Аноним, 17-Июл-21, 12:07 (60)
    - Успешно переехал на ублок, для кук заюзал чистилку Если хочется удалять куки из, ананоша, 17-Июл-21, 13:28 (76)
    - В правой графе - для этого, в левой - для всех квадратик красный, да , Мамкин Хакер, 17-Июл-21, 16:12 (94)
Забавно конечно, однако ublock реже нужен чем umatrix Чё делать, альтернатив то, Аноним, 16-Июл-21, 21:56 (5) //
- удваиваю вопрос Очень странно что у такой нужной штуки не завелось популярного , Аноним, 16-Июл-21, 22:02 (6)
- Таки, с ублоком больше шансов увидеть говносайт, а не рандомный набор кусков эле, InuYasha, 16-Июл-21, 22:06 (7) //
  - В среднем пару скриптов и медиафайлов с цнд разрешить, редко когда больше Буква, Аноним, 16-Июл-21, 22:09 (9) //
    - Вот и сидишь часами, разбирая, где телеметрия, а где 4 разных 1С-цдн-а у очередн, InuYasha, 16-Июл-21, 22:12 (12)
      - NoScript в первую очередь нужные элементы показывает, остальное дерьмо и счетчик, КО, 17-Июл-21, 06:28 (41)
        
        NoScript Сильно сдал после перехода на WebExt Хоть Маоне и приложил усилия, но , Kuromi, 18-Июл-21, 03:43 (133)
    - Двачую Те, кто вот и сидишь часами по видимому от страха даже пробовать не буд, Аноним, 16-Июл-21, 23:05 (18)
      - Когда сидишь на паре одноглазников - можно и над настройками посидеть , за компа, Ищооо, 17-Июл-21, 02:22 (36)
      - Вообще почта тоже бывает загажена антиублочными скриптами со случайными именами,, Аноним, 17-Июл-21, 13:31 (77)
- Вообще конечно разраб поступает нехорошо, он хоть формально и не обязан, но вооб, Kuromi, 17-Июл-21, 00:31 (26) //
  - Не надо закрывать Надо наоборот оставить Я бы на месте автора сделал следующее, Аноним, 17-Июл-21, 08:05 (44) //
    - Чувак, вынужден огорчить - нажатие кнопочки fork на шитхабе не создает настоящ, пох., 17-Июл-21, 11:25 (58)
    - А Issues и Pull Requests , Андрей, 17-Июл-21, 16:10 (93)
    - Неужели А что же тогда Реймонд не удалил uMatrix из AMO Вот оно, лежит, всем д, Kuromi, 18-Июл-21, 03:47 (134)
      - чтобы не создали левый экстнш с освободившимся названием История с ublock пока, пох., 18-Июл-21, 09:23 (135)
Утечка памяти на JS У него же есть сборщик мусора, Хан, 16-Июл-21, 22:07 (8) //
- ну так кол-во ещё нужного мусора становится слишком многои всё, капут, Аноним, 16-Июл-21, 22:22 (13) //
  - Сборщик мусора спину срывает , Аноним, 16-Июл-21, 22:43 (15) //
    - Его не приглашают, Аноним, 17-Июл-21, 23:09 (124)
    - В V8 мусор собирается каждые N секунд В Хроме я только один раз смотрел, тогда , Аноним, 18-Июл-21, 20:17 (149)
- Что за глупости Сборщик мусора занимается освобождением неиспользуемых ресурсов, username, 17-Июл-21, 01:30 (34) //
  - Подожди, утечка памяти это выделение памяти в куче, то что ты говоришь это переп, Хан, 17-Июл-21, 19:21 (116) //
    - man чтение_не_только_заголовкаman paging, Аноним84701, 17-Июл-21, 22:09 (123)
      - Всмысле Что мне задвигаешь Утечка памяти это когда программа забивает своими д, Хан, 17-Июл-21, 23:19 (128)
        
        Сам что-то придумал про стек, сам что-то оспорил Сам себе придумал свое опре, Аноним84701, 17-Июл-21, 23:47 (132)
  - Размер стека статический, как утечка васян , Хан, 17-Июл-21, 19:22 (117) //
    - Может тебе сменить ник на Хам На форуме без году 2 недели, а уже своим хамств, Аноним, 17-Июл-21, 22:03 (122)
      - Я тут уже 10 лет лол, Хан, 17-Июл-21, 23:13 (125)
        
        Значит просто постарел, Аноним, 17-Июл-21, 23:15 (127)
- А откуда взялось слово утечка В новости не нашлось , Аноним, 17-Июл-21, 23:13 (126)
Любите рекурсию Тогда мы идём к вам Хотя, наверное, рекламу хеbнR без рекурсивн, InuYasha, 16-Июл-21, 22:10 (10) //
- _любая_ рекурсия может быть переписана в виде цикла А уж когда речь о разборе ин, пох., 17-Июл-21, 00:20 (23) //
  - Ну будет вместо бесконечной рекурсии бесконечный цикл, сильно поможет , Аноним, 17-Июл-21, 03:11 (37) //
    - В случае с рекурсией огромное количество данных валится в стек, тогда как в случ, Lex, 17-Июл-21, 05:25 (40)
      - На самом деле данные стека валятся в кучу и количество их не огромно Попроб, n00by, 17-Июл-21, 07:52 (43)
        
        Ну, например, CPython валит на стек процессора , Аноним, 17-Июл-21, 10:58 (53)
        
        Не вижу примера , n00by, 17-Июл-21, 12:40 (65)
        
        import syssys setrecursionlimit 100500 def fuuuu fuuuu fuuuu , Аноним, 17-Июл-21, 14:22 (87)
        
        И где там стек процессора , n00by, 17-Июл-21, 15:15 (91)
        
        sapienti sat, Аноним, 17-Июл-21, 17:08 (101)
        
        Вот типичная работа со стеком виртуального процессора, исполняется инструкция RE, n00by, 17-Июл-21, 17:55 (106)
        
        При вызове функции, в стек падает адрес возврата все передаваемые аргументы с, Lex, 17-Июл-21, 12:48 (68)
        
        Ещё раз читаем внимательно ИНТЕРПРЕТАТОР Какое отношение имеет стек JS-машины , n00by, 17-Июл-21, 12:59 (71)
        
        Мистер не в курсе, что жс движки уже лет сто как с джИтом, а не примитивные толь, Lex, 17-Июл-21, 18:42 (110)
        
        Алёша, я не удивлён, что ты своё утверждение доказать не можешь Ты уже был пойм, n00by, 17-Июл-21, 18:52 (113)
        
        Забавно Почему я не в курсе ловле на пустозвонстве хотя в предыдущие разы ты с, Lex, 20-Июл-21, 15:02 (181)
        
        Потому что у тебя проблемы с памятью https www opennet ru openforum vsluhforum, n00by, 20-Июл-21, 17:02 (183)
        
        И в чем конкретно ложь Заодно и на себя сошлись со своим не_бу_а_списанным_обор, Lex, 21-Июл-21, 15:34 (184)
        Пустозвонство, это когда тебя попросили привести пруфы, но ты их не предоставил , n00by, 22-Июл-21, 13:40 (185)
        
        Нет, Алёша, это так было обычно, когда ты в школе на уроке истории книжку Зубков, n00by, 17-Июл-21, 19:05 (115)
        
        , pavlinux, 18-Июл-21, 19:05 (144)
        
        Вот это, кстати, пёрл редкостного качества Вроде как есть у человека какое-то п, n00by, 17-Июл-21, 18:45 (112)
      - в принципе, одинаково, но при написании цикла гораздо быстрее осознаешь, что да,, пох., 17-Июл-21, 11:19 (57)
  - Так точно Только это не имеет отношения к вопросу В данном случае рекурсия о, n00by, 17-Июл-21, 07:41 (42)
  - А что мешает потечь циклу Да ничего не мешает В грамотных руках он потечет даж, Аноним, 17-Июл-21, 08:31 (46) //
    - не потечь, а просто оказаться бесконечным Ну или достаточно длинным чтобы сожра, пох., 17-Июл-21, 11:15 (56)
      - code diff --git a src js document-blocked js b src js document-blocked jsindex , n00by, 17-Июл-21, 12:50 (69)
        
        надо ж, то есть тут регексп был обычный, честная рекурсия на функциях Ну вот по, пох., 17-Июл-21, 13:08 (72)
        
        Ну если в _эталонной_ реализации вычисления числа Фибоначчи https www opennet , n00by, 17-Июл-21, 13:20 (75)
        
        ой - return array num просто прекрасно Кстати, никто ж и не заметил что с эт, пох., 17-Июл-21, 13:45 (81)
        
        Там даже начали доказывать, что массив -- это правильно https www opennet ru , n00by, 17-Июл-21, 15:38 (92)
        
        да, я уже просветился Причем новость-то я читал, где были мои глаза, спрашивает, пох., 17-Июл-21, 16:50 (98)
Бррр, кокой ужос , Аноним, 16-Июл-21, 22:10 (11) //
- Сразу видно пользователя, который хотя бы раз офсайт открывал, НяшМяш, 16-Июл-21, 23:27 (20) //
  - Лучше бы не открывал, Аноним, 17-Июл-21, 12:26 (64)
  - что не так с сайтом Я уж подумал - линька опять началась, но нет, сайт как сайт, пох., 17-Июл-21, 13:46 (82) //
    - С сайтом всё нормально, это аноним не в порядке, НяшМяш, 17-Июл-21, 21:23 (121)
Обновлю ublock Делов то А так все равно все заблочено на роутере по dns Хрен , Гоша7778, 16-Июл-21, 22:35 (14) //
- Есть готовый и проверенный список или днс сервер , KT315, 17-Июл-21, 00:49 (30) //
  - В любом роутере уже поддерживается, в два клика У меня diversion для Asus к при, Гоша7778, 17-Июл-21, 03:15 (38)
- Кому ты врёшь К тебе никто никогда не приходит в гости , Аноним, 17-Июл-21, 18:13 (107)
Чем оно лучше adblock , Аноним, 16-Июл-21, 23:04 (17) //
- Тем, что работает, в отличие от , Аноним, 17-Июл-21, 00:36 (27)
- ничем зато на отличненько ломает дофига страниц, в отличии от адблока , Анон123амм, 17-Июл-21, 16:29 (96)
- Тем, что имеет частично функционал uMatrix У AdBlock Plus и им подобных такого , 123, 17-Июл-21, 16:53 (99)
Народ а как его обновить не настройках не нашел нечего подобного Ну кроме как , Аноним, 16-Июл-21, 23:16 (19) //
- В лисе на странице дополнений кнопка с шестерёнкой - проверить наличие дополнен, НяшМяш, 16-Июл-21, 23:38 (21) //
  - Докатились - учим на опенете как обновлять расширения в брузере, ананоша, 17-Июл-21, 13:36 (79) //
    - херли ты ждал другого - из всей аудитории двое отметились что умеют кодить , пох., 17-Июл-21, 13:50 (83)
Неправильно сформулирована новость Правильно было бы - разработчики системе блок, Аноним, 17-Июл-21, 00:11 (22) //
- Многие тысячи других расширений , в том числе и блокировщиков , подобного не выз, Total Anonimus, 17-Июл-21, 00:20 (24) //
  - Как и многие миллионы страниц в интернете ничего подобного не вызывают Что ни о, Имя, 17-Июл-21, 01:20 (32) //
    - То есть , это браузеры виноваты , что в одном расширение намертво зависает , а д, Total Anonimus, 17-Июл-21, 01:36 (35)
      - Я тебе больше скажу С помощью WebGL одно время можно было намертво завесить ком, Аноним, 17-Июл-21, 08:10 (45)
        
        С помощью баша можно уронить решительно любой сервер , Аноним, 17-Июл-21, 10:32 (52)
        
        Вот только баш это терминал, а js в браузере должен выполняться изолированно , Аноним, 19-Июл-21, 23:55 (174)
      - Странно даже что ты смог до такого сам догадаться Макровирусы пока что никто не, Аноним, 17-Июл-21, 08:36 (49)
        
        Уже макровирусы и WebGL начали приплетать , лишь бы не признавать очевидное С , Total Anonimus, 17-Июл-21, 12:09 (61)
        
        Вспоминается и сколько воплей из за запрета расширениям валить браузер , из за к, Total Anonimus, 17-Июл-21, 12:17 (62)
        
        мущина, вы уж определитесь, туда или сюда, а то туда-сюда, туда-сюда То есть с б, пох., 17-Июл-21, 13:12 (74)
        
        Ты бы новость почитал Там не само расширение сжирает память, а страница, котору, kai, 19-Июл-21, 02:55 (157)
Итак, удя по вот этому коммиту - https github com gorhill uBlock commit b75921, Kuromi, 17-Июл-21, 00:43 (28) //
- Правильно понимаю, похоже, т к бажный код был напрямую скопипащен в Юматрикс из, Kuromi, 17-Июл-21, 01:26 (33)
- Под видом уязвимости выпиливают фичи , Аноним, 17-Июл-21, 08:33 (48) //
  - Да когда было иначе Всегда так делают эти недобезопасники , Аноним, 17-Июл-21, 17:00 (100) //
    - Надо запретить недобезопасников , Аноним, 17-Июл-21, 17:21 (103)
Да все понятно все эти юблоки, шмублоки надо делать отдельной тулзой написано на, Аноним, 17-Июл-21, 08:32 (47) //
- Мысль об ИИ, как и много лет назад,все еще будоражит хэкерные умы и не дает поко, n00by, 17-Июл-21, 09:23 (50) //
  - Например что для хорошего ИИ нужна видюха Nvidia с CUDA желательно последней мод, Аноним, 17-Июл-21, 10:25 (51) //
    - Простите, что Фишечка NVIDIA например в том, что на линуксе CUDA работает совер, Аноним, 17-Июл-21, 11:12 (55)
      - Если ты про проприетарное ненужно, то ставь эти зонды себе сам знаешь куда , Аноним, 17-Июл-21, 12:24 (63)
        
        - Закончу ИИ в следующий раз - с такими словами и тяжестью на сердцевыключает с, n00by, 17-Июл-21, 12:43 (66)
        Ты, например, понимаешь, что, допустим, любые карты, идут с, тащем-то, шифрованн, Аноним, 17-Июл-21, 12:47 (67)
      - Нет Бред Конечно есть общая база, но всё равно 8212 бред А со всеми этими ик, iPony129412, 17-Июл-21, 13:40 (80)
        
        Например, да, допустим, с точки зрения, например, приложения, там, тащем-то, сов, Аноним, 17-Июл-21, 14:13 (85)
        
        Ну нет конечно Всё по разному Вон недавно статья на Phoronix была, что пару иг, iPony129412, 18-Июл-21, 14:55 (139)
        
        Так проблемы вейланда Я лично сравнивал на glx и игры opengl, и эмуляторы, и бе, Аноним, 18-Июл-21, 16:10 (143)
        
        Так не работает в реальном мире, что проблема одной стороны, а другой до лампочк, iPony129412, 18-Июл-21, 19:18 (146)
        
        Проблема тут только с той стороны, что композитинг на вейланде не отключается А, Аноним, 18-Июл-21, 19:32 (147)
        
        Нет Практика это показывает , iPony129412, 19-Июл-21, 05:10 (158)
        И тут само-собой про тот же Wayland - как это до сих пор так себе работает с nvi, iPony129412, 19-Июл-21, 05:20 (159)
        
        С точки зрения софта, на линуксе есть только glx, а gles это мобильные платформы, Аноним, 19-Июл-21, 15:29 (166)
        
        Например, вейланд -- это, тащем-то, спецификация, по которой можно жонглировать , Аноним, 17-Июл-21, 14:18 (86)
ЛОЛ, всегда говорил что это кривое поделие ненужно Оно же и без уязвимостей лом, Анон123амм, 17-Июл-21, 16:25 (95) //
- Проблема явно в тебе раз у тебя APB все вырезает И в тех сайтах на которые ты з, Аноним, 17-Июл-21, 17:20 (102)
Версия 1 36 3b5, pavlinux, 17-Июл-21, 18:20 (108)
Кстати, давно хотел спросить Есть сайт с рекламными гифками, имена у которых ра, pavlinux, 17-Июл-21, 18:43 (111) //
- открой лог и посмотри, почему подсказка в нем есть фильтр Возможо ты пооверра, пох., 17-Июл-21, 19:47 (120) //
  - У него лог есть D Вот прям ощущение, что идейно GIF не хочет ловить ---В обще, pavlinux, 18-Июл-21, 19:17 (145) //
    - о А может этот gif и не image ниразу А браузер тебе его все же показывает толь, пох., 18-Июл-21, 20:20 (150)
казалось бы, при чём тут раст но JS - это типа безопасный язык, прямо как раст, rust всё, 17-Июл-21, 19:05 (114)
Че за бред как может быть учечка памяти в сцуко статическом стеке Это не куч, Хан, 17-Июл-21, 19:24 (118) //
- Нет там никакой утечкиПрочитай заголовок, потом новость , Аноним, 17-Июл-21, 23:31 (131) //
  - А фраза наблюдается исчерпание памяти в Firefox это што , Хан, 18-Июл-21, 15:25 (140) //
    - Исчерпание - в ff аддон выделяет память, пока она не кончится В хромом выделяет , Аноним, 18-Июл-21, 21:41 (156)
  - С такой дэбильной формулировкой, можно и выход за пределы массива назвать исчерп, Хан, 18-Июл-21, 16:01 (142) //
    - у тебя такое удивление будто ты никогда такого не видел такое есть в любых яз, rust всё, 19-Июл-21, 09:02 (164)
Почему в FF происходит исчерпание памяти, а не просто крах процесса дополнения , Аноним, 18-Июл-21, 19:50 (148) //
- точно, каждому аддону - по процессу Нет, лучше по пятнадцать Зато бебебебзопаст, пох., 18-Июл-21, 20:55 (151) //
  - Что ты несешь Отдельные потоки не только в Firefox, но и даже в js через worker, Аноним, 20-Июл-21, 00:00 (175) //
    - Поток - это то что исполняется Процесс -- это адресное пространство, где исполн, n00by, 20-Июл-21, 08:53 (178)
УРА-А Реймонд обновил uMatrix до версии 1 4 2 с устранением уязвимости https , Аноним, 19-Июл-21, 17:37 (171) //
- Ой, не надо торопиться с обновлением Там, похоже, проблемы большие Например, у , Тот самый, 19-Июл-21, 20:28 (173)
Хаха, опять javascript У растоманов рушится мир, Аноним, 20-Июл-21, 16:10 (182)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру