Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Обновление дистрибутива chromium-gost: chromium-gost-55.0.2883.75-win32.7z (36.4 МБ)
Security Fixes and Rewards
Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
This update includes 36 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.
[$N/A][664411] High CVE-2016-9651: Private property access in V8. Credit to Guang Gong of Alpha Team Of Qihoo 360
[$7500][658535] High CVE-2016-5208: Universal XSS in Blink. Credit to Mariusz Mlynski
[$7500][655904] High CVE-2016-5207: Universal XSS in Blink. Credit to Mariusz Mlynski
[$7500][653749] High CVE-2016-5206: Same-origin bypass in PDFium. Credit to Rob Wu (robwu.nl)
[$7500][646610] High CVE-2016-5205: Universal XSS in Blink. Credit to Anonymous
[$7500][630870] High CVE-2016-5204: Universal XSS in Blink. Credit to Mariusz Mlynski
[$5000][664139] High CVE-2016-5209: Out of bounds write in Blink. Credit to Giwan Go of STEALIEN
[$3000][644219] High CVE-2016-5203: Use after free in PDFium. Credit to Anonymous
[$3500][654183] High CVE-2016-5210: Out of bounds write in PDFium. Credit to Ke Liu of Tencent's Xuanwu LAB
[$3000][653134] High CVE-2016-5212: Local file disclosure in DevTools. Credit to Khalil Zhani
[$3000][649229] High CVE-2016-5211: Use after free in PDFium. Credit to Anonymous
[$500][652548] High CVE-2016-5213: Use after free in V8. Credit to Khalil Zhani
[$N/A][601538] Medium CVE-2016-5214: File download protection bypass. Credit to Jonathan Birch and MSVR
[$3000][653090] Medium CVE-2016-5216: Use after free in PDFium. Credit to Anonymous
[$3000][619463] Medium CVE-2016-5215: Use after free in Webaudio. Credit to Looben Yang
[$2500][654280] Medium CVE-2016-5217: Use of unvalidated data in PDFium. Credit to Rob Wu (robwu.nl)
[$2000][660498] Medium CVE-2016-5218: Address spoofing in Omnibox. Credit to Abdulrahman Alqabandi (@qab)
[$1500][657568] Medium CVE-2016-5219: Use after free in V8. Credit to Rob Wu (robwu.nl)
[$1000][660854] Medium CVE-2016-5221: Integer overflow in ANGLE. Credit to Tim Becker of ForAllSecure
[$1000][654279] Medium CVE-2016-5220: Local file access in PDFium. Credit to Rob Wu (robwu.nl)
[$500][657720] Medium CVE-2016-5222: Address spoofing in Omnibox. Credit to xisigr of Tencent's Xuanwu Lab
[$N/A][653034] Low CVE-2016-9650: CSP Referrer disclosure. Credit to Jakub Żoczek
[$N/A][652038] Low CVE-2016-5223: Integer overflow in PDFium. Credit to Hwiwon Lee
[$N/A][639750] Low CVE-2016-5226: Limited XSS in Blink. Credit to Jun Kokatsu (@shhnjk)
[$N/A][630332] Low CVE-2016-5225: CSP bypass in Blink. Credit to Scott Helme (@Scott_Helme, scotthelme.co.uk)
[$N/A][615851] Low CVE-2016-5224: Same-origin bypass in SVG. Credit to Roeland Krak
We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.
As usual, our ongoing internal security work was responsible for a wide range of fixes:
[669928] CVE-2016-9652: Various fixes from internal audits, fuzzing and other initiatives
Many of our security bugs are detected using AddressSanitizer, MemorySanitizer, Control Flow Integrity, or libFuzzer.
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 9
|
Можно вопрос. Попробовал ваш браузер на ЕИС, все понравилось, можно выбрать сертификат в отличии от фокса, все быстро грузиться и достаточно нормально отображает в отличии от IE8, не в одном месте при попытке вызвать справочник в хроме выходит вот такая адресная строка "https://zakupki.gov.ru/controls/public/action/inspection/control/result/check-plan-chooser/list/show?callback=jsIcrGlobalControlInfo.selectCheckPlan&flowExecutionKey=e2s1&isIcb=false" и ругается что страница не найдена а в IE: "https://zakupki.gov.ru/controls/public/action/inspection/control/result/check-plan-chooser/list/show?callback=jsIcrGlobalControlInfo.selectCheckPlan&flowExecutionKey=e2s1&isIcb=false" и справочник нормально открывается. Техподдержка ЕИС говорит что это косяк браузера, от них ничего другого и не ожидалось, сделали же такое убожество, да еще и заточеное под конкретный браузер. Можно что-либо сделать с браузером, может настройки какие есть Отредактировано пользователем 8 декабря 2016 г. 13:56:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: AlexXXL  <...> ругается что страница не найдена <...>
<...> а в IE <...> нормально открывается. <...>
<...> Техподдержка ЕИС говорит что это косяк браузера <...> В этом вопросе вряд ли поможем. Особенно если поддержка даёт понять, что сайт заточен под IE. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 9
|
Ну официально у них написано:
Требования к установленному программному обеспечению для работы
в ЛК ЕИС
Установленный Интернет-браузер: Internet Explorer (версии 10.0), либо
любой другой браузер поддерживающий Transport Layer Security (TLS v.1.1 и выше, RFC 5246), с использованием российских криптографических стандартов;
Ваши браузеры под эти требования подходит, а то что очень мало людей знают что кроме ослика есть еще браузеры подходящие под это требование это отсутствие инструкции по настройке и немного рекламы.
Например у ЕИС в инструкции по настройке рабочего места написано: В данном документе настройки описываются на примере Интернет-
браузера Internet Explorer 11.0. Для осуществления аналогичных настроек в других Интернет-браузерах см. документацию на данное ПО. Невсякий пользователь прочитав это попытается искать документацию на другое ПО, а не найдя плюнет и будет мучаться с IE
p.s. Извиняюсь за многословие, наболело уже это засилие продуктов MS, да еще и на фоне борьбы за импортозамещение, маразм какой то
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.12.2016(UTC)
Сообщений: 3
Откуда: Иваново
|
На первый взгляд отличнейшее решение для работы с ЕИС. В конкретном нашем случае в IE8 не работала отправка в ФК бюджетных обязательств измененного контракта. Хотя для полного счастья нужно, конечно, тестировать на разных операциях работы с ЕИС. Ложка дегтя: под WinXP путем подбора версий заработала только 49.0.2623.112 (ну и видимо сборки версиями ниже). Чем это грозит в будущем? P.S. Если есть интерес, то могу оставить ссылку на эту сборку на форуме закупок, т.к. такие проблемы, где решением заявлено только установка WIn7 и IE11, есть у многих ... Отредактировано пользователем 13 декабря 2016 г. 17:10:50(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,505
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 474 раз в 338 постах
|
Автор: dUK под WinXP путем подбора версий заработала только 49.0.2623.112 (ну и видимо сборки версиями ниже). Чем это грозит в будущем? Да, поддержка XP в Chromium ушла относительно давно. Вот актуальный список ОС, на которых поддерживается текущая версия Chrome (Chromium): https://support.google.c...e/a/answer/7100626?hl=enГрозит это тем, что нельзя сказать насколько 49 версия безопасна с точки зрения использования в агрессивной среде, ведь в Chromium постоянно закрывают бреши в безопасности и исправляют ошибки. Но если вы пользуетесь XP, к которому уже годы не выходят обновления, то вне зависимости от версии Chromium, вы потенциально уязвимы. Если ходить только на ЕИС, возможно, всё будет хорошо ещё пару лет, например, пока не сменится протокол TLS или что-то подобное. Автор: dUK Если есть интерес, то могу оставить ссылку на эту сборку на форуме закупок, т.к. такие проблемы, где решением заявлено только установка WIn7 и IE11, есть у многих ... Мы всегда за — если это кому-то будет полезным. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 9
|
dUK а у вас подписывание работает на закупках? Если да, то как настроили? У меня при подписывании ругается "В ходе публикации были сформированы некорректные подписи. Завершение размещения невозможно." И на тестовой странице http://www.etp-micex.ru/index/test-page/ ругается что не Capicom / КриптоПро ЭЦП Browser plug-in Не установлен. А наверху вылазит предупреждение что плагин не поддерживается Отредактировано пользователем 14 декабря 2016 г. 11:33:17(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.12.2016(UTC)
Сообщений: 3
Откуда: Иваново
|
К сожалению, фокус не удался :( Придется на 11 АРМ переустанавливать ОС и прочее ПО, а его на этих АРМ немало ...
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.12.2016(UTC)
Сообщений: 9
|
Богатые вы, а нам придется работать в Хроме, а подписывать в IE8, он криво косо но еще работает Отредактировано пользователем 14 декабря 2016 г. 14:49:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
