Техническое обсуждение RCE в Tox 1.17.6

[stderr]

QubesOS users be like:

For people who didn't get it, QubesOS has temporary VM feature which will neglect this or any kind of exploit to do any real damage.

 

[Quake3]

Я хз о чем тут говорить вообще. Есть jabber, есть pgp - что еще надо?
Вся эта мода на токс пошла от рансомварщиков, опять же, один написал (вроде ункноун), остальные подхватили.

Бредятину про проекты АНБ даже коментировать не хочу - какие проекты? Софт кодили какие-то чуть ли не студенты, ясно что там полно дыр и хз чего. Если в винде и хромиуме находят зиродеи, чего тут удивляться. Разве что удивительно, что так долго искали (или же в паблике не было).

А так - юзайте телеграм, все норм будет! Там стикер, войсы, котики есть. И никаких рце.

 

[WellDone]

Есть jabber, есть pgp - что еще надо?

Например что-нибудь удобное?
В жаббере насколько я помню даже фотку послать нельзя, надо заливать куда-то на имгур условный
Все клиенты выглядит как что-то из 2003 года
А на счет пгп, есть плагин который бы автоматически шифровал сообщения им?Не руками же все делать

 

[Quake3]

Например что-нибудь удобное?

Ну, удобства нет, зато безопасно. Тут уж такое дело. Были попытки закодить удобную жабу из коробки, типа Wime, хз чем закончились.

 

[WellDone]

Ну, удобства нет, зато безопасно. Тут уж такое дело. Были попытки закодить удобную жабу из коробки, типа Wime, хз чем закончились.

Неудобство клиентов для жабы это не трейдофф на безопасность, это просто неудобство клиентов.
В добавок написание клиента на memory unsafe языках просто с пустого места добавляет векторов атаки.
Короче как всегда - писали бы на шарпе и все было бы отлично(не удержался, сорян)))

типа Wime, хз чем закончились.

Index of /downloads/linux/debian/stretch/amd64/

Последний релиз почти 5 лет назад.Такое.

А так - юзайте телеграм, все норм будет! Там стикер, войсы, котики есть. И никаких рце.

Я понимаю что ты хочешь поиронизировать, но это на самом деле не правда:

Telegram : Security vulnerabilities

Security vulnerabilities related to Telegram : List of vulnerabilities related to any product of this vendor. Cvss scores, vulnerability details and links to full CVE details and references

www.cvedetails.com

По оверфлоу там 6 уязвимостей, формально можно засчитать как рце.
И наличие CVE на самом деле меня радует.Это означает что проект кто-то ковыряет и смотрит на наличие уязвимостей.
Не гарантирует что часть их не продается в АНБ, но хоть что-то, а не как с qtox.

Кстати тут вспомнил, для пиджина зиродиум покупал зиродеи в рамках своей временной программы:

Zerodium acquiring zero-days in Pidgin, an IM client popular with cybercriminals

Exploit broker Zerodium announced plans today to pay up to $100,000 for zero-days in Pidgin, a multi-protocol instant messaging desktop client and a popular IM tool used in cybercriminal circles.

therecord.media

Нашли или нет, тут уже хз.

 

[weaver]

В телеге есть стикеры\гифки которые крашат айфоны - гусеница. Совпадение ? не думаю. Медийный контент может быть вредоносным. Для андройда .PNG\MP4 для айфона Стикеры\Гифки. Помню на глаза попадалась CVE которая позволяла удаленно исполнить код в Android при просмотре PNG. Залил эксплойт-формата файла, скинул в телегу в раскрученный канал. Получил загрузки\инсталлы.

WellDone не понял ты моего юмора. Шутка была в том, чтобы использовать ransomware в место трукрипта\веракрипта.

 

[tor]

В любом ПО потенциально всегда есть уязвимости. Только где-то их чаще обнаруживают и обнаружить проще в силу специфики, например открытости кода и интенсивности использования, итд, а где-то реже. Только и всего. Вот такой подход к безопасности и должен быть по умолчанию. Тогда и проблем будет меньше в дальнейшем.

 

[admin]

Небольшое объяснение. Я ничего не знаю о данном RCE. Насколько я увидел, речь идет о qtox, а не toxcore. Поддержка tox была убрана с нашего сайта не из-за этой темы, а по совокупности проблем, прекращения или замедления развития основных tox клиентов (utox, qtox, toxygen, atox). Будем искать альтернативу или вернемся к tox'y, когда появится более качественный и поддерживаемый клиент с не таким слабым кодом, как тот же qtox. Альтернатива - это уж точно не telegram.

 

[anotherxss]

Небольшое объяснение. Я ничего не знаю о данном RCE. Насколько я увидел, речь идет о qtox, а не toxcore. Поддержка tox была убрана с нашего сайта не из-за этой темы, а по совокупности проблем, прекращения или замедления развития основных tox клиентов (utox, qtox, toxygen, atox). Будем искать альтернативу или вернемся к tox'y, когда появится более качественный и поддерживаемый клиент с не таким слабым кодом, как тот же qtox. Альтернатива - это уж точно не telegram.

почему бы кому-нибудь не написать новый клиент toxcore на языке rust?

 

[pepel]

Сделайте matrix кастомный, thesecure.
Я в этом дилетант, могу сильно ошибаться в плане анонимности, но китайские тимы на нём сидят.

 

[CheckerChin]

почему бы кому-нибудь не написать новый клиент toxcore на языке rust?

Вроде ответ очевиден. Это никому не нужно. Будто жаба исчезла))
Вроде и так было известно, что токс это дырявая помойка. Тем более это уже не первая RCE в нём (до этого были в самом ядре пару лет назад CVE-2021-44847). Скорее всего и не последняя.

 

[pepel]

клиенты не пишутся на расте, их косяк. Клиенты пишутся на чем угодно, хоть на электроне. Подключите элитного кодера Kotiki он на басе вам смастерит клиент, че. Но там подписка скорее всего будет, я х#й знает

 

[Quake3]

В добавок написание клиента на memory unsafe языках просто с пустого места добавляет векторов атаки.
Короче как всегда - писали бы на шарпе и все было бы отлично

Тут я не спорю, конечно на шарпе было бы меньше дыр; я против только малвари на шарпе (аргументировать не буду, т.к. дал слово не участвовать в срачах).

Последний релиз почти 5 лет назад.

На винде есть новее.

Я понимаю что ты хочешь поиронизировать,

Да, хочу, ибо смешно читать про "закладки АНБ!" в говнокоде.
Очень не люблю шизиков и параноиков, которые ищут ментов там где не надо, но при этом юзают ментовской ТГ.

Это никому не нужно. Будто жаба исчезла))

Конечно не нужно. Было бы нужно, рансомварщики вложились бы и закодили секьюрный клиент.
Хотя, о чем я - они свои лярды только на шлюх умеют тратить , на наркоту, а чето положительное сделать не к ним.

 

[Kotiki]

клиенты не пишутся на расте, их косяк. Клиенты пишутся на чем угодно, хоть на электроне. Подключите элитного кодера Kotiki он на басе вам смастерит клиент, че. Но там подписка скорее всего будет, я х#й знает

да бро уже разрабатываю скоро будет подписка 10к юсы для тебя

 

[x64boy]

Всегда считал токс ханипотом для рансомварщиков, пользоваться нужно только жабой, она проверена временем, а все остальное от лукавого. Тем кто беспокоится за свою безопасность должно быть очевидно, что все мессенджеры по которым ведется коммуникация с клиентами/партнёрами должны быть изолированы в отдельных контейнерах, завёрнутых в TOR. Вы только вдумайтесь, сколько человек были успешно сдеанонены сотрудниками органов, если эта уязвимость всплыла в паблике только сейчас

 

[Kotiki]

Конечно не нужно. Было бы нужно, рансомварщики вложились бы и закодили секьюрный клиент.

Большенство команд не юзают Токс для переписок он не очень удобен для работы тимой

 

[smelly__vx]

[я использую переводчик]

- Если вас беспокоит эксплойт uTox, используйте другой клиент
- Если вам не нравится Tox, переключитесь на другое средство связи
- Telegram хорош для общения с друзьями. Telegram не подходит для бизнеса

Интересен анализ, проведенный на этом форуме, и обнаружение 1016-байтового буфера. Приятно видеть, как сообщество объединяется для взлома =D

Счастливых выходных Дня поминовения из Америки <3

 

[Quake3]

пользоваться нужно только жабой, она проверена временем, а все остальное от лукавого.

Именно так. Будь я админом, запретил бы тот же ТГ вообще полностью. Уже говорил даже про те же арбитражи https://xss.pro/threads/72747/

Большенство команд не юзают Токс для переписок он не очень удобен для работы тимой

Я хз, у меня нет статы по рансом тимам, но моду на Тох ввели именно локеры. До этого про него знали в узком кругу параноиков / линуксоидов.

 

[x64boy]

Именно так. Будь я админом, запретил бы тот же ТГ вообще полностью. Уже говорил даже про те же арбитражи https://xss.pro/threads/72747/


Я хз, у меня нет статы по рансом тимам, но моду на Тох ввели именно локеры. До этого про него знали в узком кругу параноиков / линуксоидов.

Именно так. Будь я админом, запретил бы тот же ТГ вообще полностью. Уже говорил даже про те же арбитражи https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/72747/

Вряд ли админ сможет запретить людям пользоваться удобным им средством связи. Тут дело даже не в кидках, а в том что людям похер не только на свою безопасность, но и на безопасность клиентов и партнёров. Человека приймут, залезут в его компьютер и в телеграме все явки/пароли будут как на блюдечке)

 

[Kotiki]

А почему в твоём богатом списке нет любимых кидиссами (ну вы поняли) Соников? Потому что ты... "продолжите фаразу, чтобы двигаться дальше"

гуда нет щас будет добавлен ADFS и на подходе соники