Notice: file_put_contents(): Write of 18191 bytes failed with errno=28 No space left on device in /var/www/tgoop/post.php on line 50 Linux / Линукс@linux_gram P.8451
В GNOME Help и GIMP нашли критические уязвимости, позволяющие запустить чужой код через файлы. Вот что известно:
▪️GNOME Help (Yelp): — УязвимостьCVE-2025-3155 — открыли page-файл → JavaScript украл ваш .ssh/id_rsa. — Атака через ghelp:// + поддельный документ с SVG-скриптом. ▪️GIMP: — CVE-2025-2761/2760 — открыли картинку XWD/FLI → выполнился код злоумышленника. — Исправлено в версии 3.0.0.
Как это работает? (на примере Yelp) 1. Шаг 1: жертва скачивает вредоносный index.page (например, через фишинговую ссылку). 2. Шаг 2: файл использует XInclude, чтобы встроить ваш SSH-ключ в документ. 3. Шаг 3: SVG-скрипт через fetch() отправляет данные на сервер хакера.
Фишка атаки: Yelp преобразует XML в HTML через WebKitGtk, а <svg:script> не фильтруется.
В GNOME Help и GIMP нашли критические уязвимости, позволяющие запустить чужой код через файлы. Вот что известно:
▪️GNOME Help (Yelp): — УязвимостьCVE-2025-3155 — открыли page-файл → JavaScript украл ваш .ssh/id_rsa. — Атака через ghelp:// + поддельный документ с SVG-скриптом. ▪️GIMP: — CVE-2025-2761/2760 — открыли картинку XWD/FLI → выполнился код злоумышленника. — Исправлено в версии 3.0.0.
Как это работает? (на примере Yelp) 1. Шаг 1: жертва скачивает вредоносный index.page (например, через фишинговую ссылку). 2. Шаг 2: файл использует XInclude, чтобы встроить ваш SSH-ключ в документ. 3. Шаг 3: SVG-скрипт через fetch() отправляет данные на сервер хакера.
Фишка атаки: Yelp преобразует XML в HTML через WebKitGtk, а <svg:script> не фильтруется.
Click “Save” ; On Tuesday, some local media outlets included Sing Tao Daily cited sources as saying the Hong Kong government was considering restricting access to Telegram. Privacy Commissioner for Personal Data Ada Chung told to the Legislative Council on Monday that government officials, police and lawmakers remain the targets of “doxxing” despite a privacy law amendment last year that criminalised the malicious disclosure of personal information. fire bomb molotov November 18 Dylan Hollingsworth yau ma tei With the sharp downturn in the crypto market, yelling has become a coping mechanism for many crypto traders. This screaming therapy became popular after the surge of Goblintown Ethereum NFTs at the end of May or early June. Here, holders made incoherent groaning sounds in late-night Twitter spaces. They also role-played as urine-loving Goblin creatures. The Standard Channel
from us
